Verslag: eerste digitale FERM Port Cyber Café

We trappen de bijeenkomst af met een algemene insteek; wat verstaan we eigenlijk onder digitale ontwrichting? Door de groeiende verwevenheid van de digitale wereld met de fysieke en de sociale wereld hangen verstoringen van het maatschappelijke leven steeds vaker samen met een ernstige verstoring of uitval van digitale processen. De WRR noemt dit type ontwrichting ‘digitale maatschappelijke ontwrichting’, of kortweg ‘digitale ontwrichting’. Van digitale ontwrichting is sprake wanneer het normale leven ernstig is verstoord. Met de groeiende verwevenheid van de digitale en fysieke wereld kunnen digitale incidenten resulteren in maatschappelijke ontwrichting met de zichtbare aantasting van belangrijke processen.

De afgelopen jaren hebben zich in Nederland en daarbuiten allerhande digitale verstoringen voorgedaan. Sommige daarvan zijn snel verholpen en veroorzaakten vooral ongemak. Er waren echter ook incidenten met aanzienlijk grotere consequenties. Als gevolg van de besmetting van computers van de Britse National Health Service door de vermeende gijzelsoftware WannaCry (2016) moesten 19.000 patiëntafspraken worden geannuleerd. De NotPetya-aanval (2017) trof in Nederland de Rotterdamse Haven, waardoor het containertransport via haven, snelweg en spoor deels stil kwam te liggen (Marijn van Schoote: “Als je ’s avonds op het 8-uur Journaal ineens zelf het onderwerp bent, dan mag je dat inderdaad wel een nachtmerrie noemen”). En in de vroege zomer van 2019 trof een urenlange storing zowel het noodnummer 112 als 0900-8844, het landelijke servicenummer van de politie. Bovendien waren ook ziekenhuizen, gemeenten en bedrijven lange tijd onbereikbaar.

Hoewel cyberaanvallen een belangrijke oorzaak zijn van incidenten, kunnen ook menselijke fouten, kapotte servers, softwareproblemen of externe factoren als kabelbreuken of elektriciteitsstoringen een groot effect hebben op het functioneren van digitale infrastructuur. De genoemde storing van het noodnummer 112, maar ook de uitval van Google Cloud, eveneens in juni 2019, vormen treffende illustraties.

Het zorgwekkende van deze incidenten is dat zij ook vitale processen in de samenleving aantasten. Zij brengen essentiële voorzieningen in gevaar zoals de zorg, het betalingsverkeer, overheidsdiensten en de elektriciteitsvoorziening. Vanzelfsprekend stijgen ook de economische en maatschappelijke kosten van dergelijke incidenten. Bovendien is duidelijk dat het potentieel voor schade en slachtoffers groeit naarmate de samenleving verder digitaliseert.

Bij de omgang met digitale ontwrichting spelen verschillende uitdagingen, waaronder het feit dat het fysieke en digitale domein inmiddels zeer sterk met elkaar verweven zijn. Door ontwikkelingen als dataficatie, het gebruik van algoritmen om beslissingen te nemen en de complexe verbindingen tussen systemen wereldwijd, vloeien het digitale domein en het fysieke domein inmiddels naadloos in elkaar over. Dit vergt van de overheid een doordacht beleid ten aanzien van maatschappelijke ontwrichting, dat zich nu nog voornamelijk richt op gebeurtenissen in de fysieke wereld. Bijzondere aandacht verdient daarbij de lijst met vitale processen, waarvan de uitval als maatschappelijk ontwrichtend wordt aangemerkt − hetgeen uiteraard aansluit op het gezelschap van vanmiddag.

Digitalisering maakt de samenleving op nieuwe manieren kwetsbaar voor verstoringen, vanwege instabiele en vaak slecht beveiligde software en hardware, en de complexe en grensoverschrijdende toeleverings- en productieketens, die kwaadwillenden veel mogelijkheden bieden om maatschappelijke processen te verstoren of zelfs geheel stil te leggen. Door het gebruik van generieke hard- en software kunnen deze verstoringen potentieel een enorme schaal en bereik hebben. Zoals we vaker zien bij de Port Cyber Café’s komen daar de verschillen tussen IT en OT om de hoek kijken. Uit de chat: Een kantoor (IT) plat door ransomware is anders dan ransomware die een productie omgeving (OT) plat legt.” Het teruglezen van het verslag van de bijeenkomst in februari is in die zin zeker de moeite waard.

Uiteraard is de bijeenkomst vanmiddag niet bedoeld om sec de uitdagingen en dreigingen op te sommen, maar veel meer om aan (preventieve) maatregelen te werken en te bekijken hoe we ons – al dan niet gezamenlijk – beter op die ontwikkelingen kunnen voorbereiden. Daar heeft het aanwezige team gelukkig veel ervaring mee, met TableTop oefeningen, crisisteams, allerhande simulaties van bijvoorbeeld cyberaanvallen, en het voorzien in actuele draaiboeken.

Dat laatste wordt ook vanuit de chat benaderd: biedt ondersteuning bij het realiseren van die draaiboeken, weet hoe te handelen op incidenten, en train behalve binnen de organisatie ook binnen de sector of keten. Wat vervolgens weer wordt onderschreven vanuit Rijkswaterstaat en Portbase, want voor een cybercrimineel is informatie uit de gehele keten interessant, en daarom is de vraag waar zit de zwakste schakel een hele belangrijke – voor beide kanten. “Oefeningen voor IT-Sec zijn gelukkig steeds meer geaccepteerd, net als de oefeningen (al dan niet verplicht) vanuit Safety”, wordt vanuit de chat aangevuld.

Tot slot was er uiteraard even aandacht voor het Cybersecuritybeeld Nederland 2020, dat afgelopen maandag werd gepubliceerd.