'Steeds meer bedrijven, overheden, systemen en applicaties worden met elkaar verbonden, terwijl er nauwelijks wordt nagedacht over de digitale veiligheid in deze keten. Dit kan grote economische gevolgen hebben.' Dat stelt de Security Raad. Dat adviesorgaan van het kabinet met vertegenwoordigers uit de publieke, private en wetenschappelijke sector roept op om de risico’s in de keten in kaart te brengen. Volgens de raad ligt de nadruk bij cybersecurity nog te veel op risico's binnen de eigen organisatie en is een integrale aanpak tussen ketenpartijen een belangrijke stap naar verbetering van de beveiliging.
Volgens de raad staan bedrijven en overheden nauwelijks stil bij het feit dat zij voor het ontwikkelen of leveren van producten en diensten onderdeel uitmaken van een digitale keten. ‘Zij zijn aan de ene kant van het productie- of dienstverleningsproces digitaal verbonden met leveranciers en aan de ander kant van het proces met hun afnemers. Dat kunnen bedrijven zijn die zelf nog weer een bewerking uitvoeren of eindgebruikers.’
De Cyber Security Raad constateert dat maar weinig bedrijven en overheden zicht hebben op de digitale ketens waar zij afhankelijk van zijn en die afhankelijkheid verder toeneemt als gevolg van het ‘internet of things’. ‘Steeds meer productiemachines, apparatuur, consumentenproducten en sensoren worden met internet verbonden en gekoppeld aan bedrijfsnetwerken. Deze netwerken worden daardoor kwetsbaarder en in potentie kan het effect van een cyberaanval daardoor groter worden.’
De raad wijst erop dat de bedrijfscontinuïteit op spel kan komen te staan, met grote economische schade tot gevolg. De Cyber Security Raad roept daarom alle bedrijven, overheden en sectoren op te onderzoeken van welke digitale ketens zij deel uitmaken, welke risico’s zij lopen en welke cyberveiligheids-maatregelen zij zouden moeten treffen.
Gratis analysemethode energiesector
De raad haalt een voorbeeld uit de energiesector aan. Daar hebben verschillende partijen een risicoanalyse gemaakt. Operationeel directeur bij netwerkbeheerder TenneT, Ben Voorhorst, vertegenwoordigt in de raad de Nederlandse vitale infrastructuur. Naar aanleiding van gesprekken in de raad heeft hij samen met Shell, Gasunie, Nuon, Alliander en het Nationaal Cyber Security Centrum een risicoanalyse cybersecurity uitgevoerd binnen de energiesector. Centrale vragen zijn: ‘Wie is van wie afhankelijk? Welke kritieke ict-systemen zijn er? Welke risico’s lopen de verschillende partijen in de sector? Welke digitale veiligheidsmaatregelen moeten we nemen?’
Voorhorst: ‘Al die vragen hebben ons anders naar onze bedrijfscontinuïteit laten kijken. Je kunt de fysieke processen wel op orde hebben, maar de digitale informatiestromen zijn zeker zo belangrijk. Uitval bij de één kan zo maar leiden tot uitval bij de ander.’ Volgens de betrokkenen was er nog geen effectieve analysemethode voor digitale ketenveiligheid en heeft de energiesector daarop besloten deze zelf te ontwikkelen. Die methode is gratis te downloaden via de website van de Cyber Security Raad.
Cyber Security Raad
De Cyber Security Raad (CSR) is het onafhankelijke en strategische adviesorgaan van het kabinet als het gaat om cybersecurity in Nederland. De raad adviseert onder andere over nieuwe cybersecurity-ontwikkelingen en -dreigingen die op Nederland afkomen. De raad bestaat uit vertegenwoordigers uit de publieke, private en wetenschappelijke sector. ‘Door die vertegenwoordigers uit de publieke, private en wetenschappelijke sector bekijkt de CSR de nationaal strategische cybersecurity-uitdagingen vanuit meerdere invalshoeken en worden gewogen adviezen aan het kabinet gegeven’, aldus de raad.
De leden van de Cyber Security Raad
Private sector
– Dhr. drs. E. Blok (co-voorzitter) – Voorzitter Raad van Bestuur en CEO van KPN, lid van CSR namens VNO-NCW
– Dhr. R. de Mos – Senior Vice President en General Manager CGI Nederland, lid van CSR namens Nederland-ICT
– Dhr. M. Krom – CIO PostNL, lid van CSR namens CIO Platform
– Mw. T. Netelenbos – Voorzitter ECP
– Dhr. J. Nijhuis – CEO Schiphol Group, lid van CSR namens sector Vervoer
– Dhr. Ir. B.G.M. Voorhorst – COO TenneT, lid van CSR namens de Vitale Infrastructuur
Publieke sector
– Dhr. drs. H.W.M. Schoof (co-voorzitter) – Nationaal Coördinator Terrorismebestrijding en Veiligheid
– Dhr. Mr. R.A.C. Bertholee – Directeur-Generaal Algemene Inlichtingen- en Veiligheidsdienst (AIVD)
– Dhr. Mr. G.W. Van der Burg – lid van het College van procureurs-generaal, lid van CSR namens Openbaar Ministerie
– Dhr. drs. M.E.P. Dierikx – directeur-generaal Energie, Telecom en Mededinging bij het ministerie van Economische Zaken,
lid van CSR namens Ministerie van Economische Zaken
– Dhr. drs. H.B. Eenhoorn – Digicommissaris
– Dhr. D.G.T.M. Heerschop – CIO Nationale Politie
– Dhr. Dr. S.J.G. Reyn – Directeur Integraal Beleid Ministerie van Defensie, lid van CSR namens Ministerie van Defensie
Wetenschappelijke sector
– Mw. Dr. B. Van den Berg – Universitair Hoofddocent Faculteit Rechtsgeleerdheid, Instituut voor Metajuridica, eLaw@Leidene
– Dhr. Prof. Dr. M.J.G. Van Eeten – Hoogleraar Technische Bestuurskunde TU Delft
– Dhr. Prof. Dr. B.P.F. Jacobs – Hoogleraar Computerbeveiliging Radboud Universiteit Nijmegen
– Mw. Prof. mr. E.M.L. Moerel – Senior Of Counsel Morrison & Foerster LLP, Hoogleraar Universiteit Tilburg
