Wat als het internet faalt?

Voor zover er scenario’s waren onderzocht, bestonden best veel zorgen over de beschikbare bandbreedte en capaciteit. Veel organisaties zijn echter zo tevreden dat inmiddels wordt gedacht aan een ‘nieuw normaal’ waarin thuiswerken een belangrijke plaats in neemt. Tegen deze achtergrond maak ik me zorgen over het ‘near-miss’ effect, namelijk dat het soepel opvangen van deze uitdaging kan leiden tot ‘overconfidence’ voor toekomstige crises. In zijn boek “Behavioural Risk Management” adviseert dr. ir. René Doff om gedrags-risico’s te mitigeren door scenario-analyse, dus laat ik deze er maar eens in gooien: “Wat als het internet faalt”.

Niet denkbeeldig

Verstoringen in het internet treden regelmatig op. Iedereen heeft in zijn privésfeer wel eens haperingen die de sfeer in huis (als je omringd bent door gamende en Netflix-kijkende tieners) behoorlijk kunnen verstoren. Problematischer wordt het als je in zakelijke sfeer wordt getroffen, zeker als dit hardnekkig en langdurig blijkt te zijn. Dan pas blijkt hoe afhankelijk je bent. Alleen al het niet langer toegang hebben tot je email kan de bloeddruk al behoorlijk doen stijgen. Dat dit niet denkbeeldig is blijkt wel uit de lange lijst van ransomware aanvallen, in 2020[1] alleen al. Een extra vervelende ontwikkeling van de laatste jaren is ook dat ‘digitale inbrekers’ vaak al tijden binnen zijn voordat ze echt toeslaan.

[1] Zie bijvoorbeeld: https://www.security.nl/search?keywords=ransomware+2020

Behalve dat criminelen uw digitale omgeving bedreigen kunnen ook ‘gewone’ zaken misgaan zoals stukgetrokken kabels, een kapotte server, brand op een netwerklocatie of langdurige regionale stroomuitval.

Afhankelijkheid neemt steeds verder toe

Bijna zonder het te merken is onze afhankelijkheid van het internet in de loop der jaren toegenomen en dat wordt nooit meer minder. Daarmee neemt ook de kwetsbaarheid toe. Het verplaatsen van datasystemen naar ‘de cloud’ heeft in deze Corona pandemie veel organisaties geholpen om bijna probleemloos locatie-onafhankelijk te kunnen werken, maar het weerspiegelt tegelijk hoe virtueel onze werkprocessen zijn geworden. We kunnen nauwelijks meer terug naar ‘papier en pen’, hooguit voor een paar dagen en zelfs dat vaak niet eens.

Meer cybersecurity

De combinatie van meer afhankelijkheid en meer dreiging is niet onopgemerkt gebleven. Organisaties besteden steeds meer tijd en geld aan het inrichten van preventieve maatregelen, aan het (onafhankelijk) testen daarvan, aan bewustwordingsactiviteiten en ook de interne auditor wordt vaak gevraagd om de effectiviteit te beoordelen.

De regelgever

De overheid volgt deze ontwikkelingen op enige afstand, maar wellicht ook met enige zorgen. Financiële instellingen zijn immers ‘organisaties van openbaar belang’ en mogen niet falen. Tegelijk zijn er nog weinig incidenten binnen de financiële sector die meer toezicht rechtvaardigen. Maar de overheid hoeft natuurlijk niet op een incident te wachten. In een recent interview met prof. Karel van Hulle (grondlegger van Solvency II) werd gevraagd wat hij nog zou willen verbeteren aan Solvency II: “… dat de review wordt gebruikt om het bouwwerk te verstevigen zodat verzekeraars de uitdagingen beter kunnen ‘bemeesteren’. Daarmee doel ik, naast klimaat-verandering en de duurzaamheid, ook op een risico als cybersecurity”[2]. Als de (voormalige) regelgever dit risico zo uitdrukkelijk poneert, dan is nadere regelgeving nooit ver weg.

[2] Zie: https://www.verzekeraars.nl/publicaties/actueel/karel-van-hulle-je-kunt-niet-alles-met-kapitaal-oplossen

Kapitaal helpt niet

Veel focus van het Solvency II raamwerk ligt op de beheersing van de financiële risico’s. Zo is bijvoorbeeld ook de ORSA opgebouwd, namelijk door het projecteren van ‘events’ op een termijn van drie tot vijf jaar om vervolgens de impact op de solvabiliteit te bepalen en de effectiviteit van mogelijke managementacties. Als het om het risico van bedrijfsonderbreking door het uitvallen van het internet gaat, helpt kapitaal niet.

Vergelijk het met het risico van een ramp met een kerncentrale: je kunt wel een schatting maken van de financiële impact, maar die doet helemaal niet ter zake. Het mag niet gebeuren, dus moet je meerdere lagen van veiligheidsmaatregelen nemen, deze voortdurend actualiseren en monitoren.

Preventie alleen helpt ook niet

Het voorkomen van verlies van data of toegang tot systemen is zeker belangrijk, maar het zal nooit voorkomen dat er toch wel eens iets mis gaat. Heeft u al op één van de hyperlinks geklikt waarin we onze bronnen melden? (Geen zorgen, die zijn veilig … voor zover wij weten). 

Het is in zekere zin een ongelijke strijd. Cybercriminelen hoeven maar één keer geluk te hebben, terwijl u steeds voortdurend alles moet bewaken. Zeker als u een kleine organisatie bestuurt: hoe moet u zich staande houden in deze wedloop ?

Het is vrijwel zeker dat er altijd wel iets is waarmee u kwetsbaar bent. Het kan zelfs iets eenvoudigs zijn als een printer die met een onbeveiligd wachtwoord (is het bij u ook “1234” ?) via uw netwerk is verbonden met het internet. Heeft u ook al eens gecheckt hoe vaak uw mail-adres is opgedoken in (bekende) gekraakte websites ?[3]

[3] https://haveibeenpwned.com

Ook goede voetballers trainen

Als we iedereen bewust hebben gemaakt van het belang van cybersecurity en het geheim houden van wachtwoorden en inlogcodes, wil dat nog niet zeggen dat daarmee de risico’s worden beheerst. Hoe meer techniek ons helpt om verdachte mails tegen te gaan, hoe groter de kans dat we daarop gaan vertrouwen en scherpte verliezen. We zijn immers mensen. 

Focus op de voorbereiding

In het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (“WRR”) “Voorbereiden op digitale ontwrichting”[4] wordt gesteld dat vrijwel alle cybersecurity maatregelen zijn gericht op het voorkomen van incidenten, maar dat de voorbereiding op incidenten veel te weinig aandacht krijgt.

[4] https://www.wrr.nl/publicaties/rapporten/2019/09/09/voorbereiden-op-digitale-ontwrichting

“De ongemakkelijke waarheid dat volledige digitale veiligheid niet bestaat, is een boodschap die stelselmatig naar de achtergrond verdwijnt.” De logische conclusie is daarom dat we in onze risico-analyses ook scenario’s moeten opnemen die ervan uitgaan dat het internet op enig moment langdurig kan falen. (En uiteraard doorgaan met preventie en hopen dat dit nooit gebeurd).

Bij het onderzoeken van een dergelijk scenario zal de consequentie op het aanwezig vermogen minder relevant zijn. Om deze reden zal een dergelijk scenario bij de ORSA minder aandacht krijgen. Ik zou daarom willen pleiten voor een aanpak die meer lijkt op de voorbereiding op een grote brand in het kantoorgebouw.

De jaarlijkse ‘black-out’ dag

Het scenario dat het internet langdurig ‘op zwart’ gaat is inmiddels al moeilijk voor te stellen, laat staan als je dit gaat uitwerken in de zin van: is het lokaal, regionaal, nationaal, inclusief of exclusief telefonie en/of email etc.

Hierin komt de creativiteit van de risicomanagers aan de orde. Het gaat er bij scenario’s om dat deze consistent zijn, plausibel, relevant en voldoende verrassend zijn (zie MAB[5], Nuhn en Doff).

[5] https://mab-online.nl/article/54831/

Het doel van de scenario’s is niet om de toekomst te voorspellen, maar juist om deze te onderzoeken en de uitkomsten ervan te vertalen naar een goede voorbereiding zodat iedereen weet wat er op een crisis moment moet gebeuren. Denk daarbij bijvoorbeeld aan de testen die piloten periodiek doen waarbij problemen in de cockpit worden gesimuleerd. Dat houdt de geest scherp. 

Naast training ter voorkoming van problemen, zou ik ook willen pleiten voor het voorbereiden en trainen voor een ‘event’. Denk daarbij aan het ontwikkelen van een draaiboek waarin de taken en rollen worden beschreven van betrokkenen, maar waarin ook een aantal voorbereidende stappen worden vastgelegd en getoetst. Bijvoorbeeld een jaarlijkse “black out” simulatie-dag.

Conclusie

De soepele wijze waarop vrijwel alle financiële instellingen zijn overgegaan op “Corona-proof” concepten zoals thuiswerken is een fantastisch succes van techniek en creativiteit. Tegelijk schuilt hierin het gevaar van zelfoverschatting als het gaat om toekomstige crises.

Een duidelijk voorbeeld van een ‘accident waiting to happen’ schuilt in onze toenemende kwetsbaarheid en afhankelijkheid van het internet.

Terwijl we alles moeten doen wat nodig is om problemen op dat vlak te voorkomen, moeten we de ogen niet sluiten voor de kans dat het ook ooit fout gaat. De bedreigingen kunnen van binnenuit komen, maar ook van buiten.

De vraag is of we dan net zo soepel kunnen overschakelen op alternatieven. Dit keer zijn geholpen door de techniek, maar wat als het juist die techniek is die zich tegen ons keert ?

In dit artikel heb ik gepleit voor het inzetten van scenario analyses die uitgaan van een ‘event’ en het daadwerkelijk oefenen en doorleven van deze scenario’s. Het helpt ook om je daarbij te laten ondersteunen door specialisten van buiten omdat ‘ontkenning’ een serieus gevaar is dat op de loer ligt. We zijn immers allemaal mensen.