BLOG – De voortschrijdende digitalisering bij zowel bedrijven als overheden brengt talloze voordelen met zich mee, zoals gemak, efficiency en kostenbesparingen. Maar er schuilt ook een gevaar: de kwetsbaarheid van onze kritieke digitale infrastructuur. We realiseren ons onvoldoende wat de eventuele gevolgen zijn en welke maatregelen er nodig zijn om deze te beheersen.
Een belangrijke vraag is: hoe ontstaat deze beperkte aandacht voor de kritieke digitale infrastructuur? En hoe komt het dat we ons onvoldoende realiseren hoe kwetsbaar we zijn als de digitale infrastructuur niet op orde is? Een van de antwoorden hierop is dat bedrijven en overheden alleen de voordelen zien van digitalisering. Daarbij blijft wat nodig is om het digitaliseringsproces effectief te ondersteunen, namelijk een robuuste kritieke infrastructuur, vaak onzichtbaar.
Gebrek aan interesse
We weten dat een gebrek aan zichtbaarheid vaak resulteert in een gebrek aan interesse. Toch is hier een achterliggende reden voor. Overheden en bedrijven zijn vaak onvoldoende in staat zijn de relevantie van infrastructuur in te schatten. Want als ze zich bewust zouden zijn dat een robuuste digitale infrastructuur een absolute randvoorwaarde is bij het slagen van elk ITitproject, dan zouden ze er heel anders mee omgaan. Neem een bedrijf dat een nieuw erp-systeem implementeert. Het bedrijf ziet vooral wat de nieuwe tool de organisatie gaat brengen, zoals het stroomlijnen van hun fabrieksprocessen of hogere productiviteit. Pas als de nieuwe applicatie draait, zien ze wat er mist aan kritieke infrastructuur om het systeem veilig draaiende te houden, zodat het al snel kwetsbaarder is dan zou moeten.
Te weinig aandacht in de onderliggende infrastructuur kan de fundamenten van onze digitale samenleving bedreigen
Het gebrek aan inzicht over ‘wat er onder de motorkap’ nodig is en de blinde focus op de voordelen van digitalisering vormen niet alleen een bedrijfsrisico. Te weinig aandacht in de onderliggende infrastructuur kan uiteindelijk de fundamenten van onze digitale samenleving bedreigen, omdat onze kwetsbaarheid voor cyberaanvallen toeneemt. Denk aan het platleggen van de websites van Nederlandse havens in 2023 of de recente cyberaanval op de websites van meerdere Nederlandse provincies.
Het is dan ook tijd het belang van een goede digitale infrastructuur meer aandacht te geven. Een eerste stap is het breder kijken dan alleen de implementatie van een applicatie. Een efficiënte nieuwe applicatie is fantastisch, maar kijk voor de implementatie ook wat nodig is om het systeem in operationeel te houden en dat gaat verder dan alleen het netwerk.
Maak bij elk digitaliseringstraject een impactanalyse over wat er gebeurt als de applicatie niet meer draait. Denk na over welke gevolgen dit kan hebben en vraag je af wat er gebeurt als de data binnen de applicatie in verkeerde handen vallen. Beslis op basis daarvan hoe hoog het beveiligingsniveau moet liggen. Pak de hele keten mee, de hele infrastructuur eromheen. Dat betekent niet per direct dat je hele digitale infrastructuur aangepast moet worden, maar neem het mee in de overwegingen.
Meer weten
Wie meer wil weten, verdiept zich in het nieuwe boek van Volkskrant-journalist Huib Modderkolk: ‘Dit wil je écht niet weten; over de onvoorstelbare wereld achter je scherm’.) Omdat bij bedrijven en overheden het belang van een robuuste digitale infrastructuur bij digitalisering kennelijk niet zien, is het tijd voor een awareness-campagne. De naam van de campagne laat zich raden: ‘Het belang van een robuuste digitale infrastructuur, dit wil je echt wél weten.’
Maarten Vervoorn is cto bij YaWorks
Wat betreft het beheersbaar maken van de dingen die je niet weet ben ik bekend met de processen onder de motorkap. Neem bijvoorbeeld zoiets als het configuratiemanagement wat volgens Wikipedia een proces is voor het vaststellen en onderhouden van producten of diensten gedurende gehele levenscyclus. Awareness in de kosten van het onderhoud zal dan ook de fundamenten van onze digitale samenleving versterken want dat een kritieke infrastructuur vol zit met kwetsbare code als gevolg van het achterstallige onderhoud of vol zit met dubieuze Chinese chips vanuit een kostenoverweging is een bewuste keuze geweest vanuit andere geopolitieke bedreigingen.
Recentelijk bewustzijn over bedreigingen die er altijd al waren maar genegeerd werden vanuit een politieke naïviteit gaat om prioriteiten. Daarom leuk dat CTO bij YaWorks wijst op het digitale residu want probleem van applicatie-gericht denken gaat om silo’s welke aan alle kanten lekken door een verkeerd beveiligingsniveau. Een robuuste infrastructuur is leuk maar een bedenkelijke architectuur zorgt nog altijd voor 99% van de datalekken. Middels export-functie van een applicatie gegevens extracten of gewoon een kopie maken van de onversleutelde data maakt duidelijk dat de digitale infrastructuur alleen maar de snelweg is en toegang en controle hierop gaan om IDAAM.
DIAAM of IDAM ?
vergaande automatisering, misschien een nieuwe benaming voor legacy. Ooit fantastisch maar nu gedegenereerd, verwelkt en verschrompeld. Vervangen door virtualisatie op Virtualisatie tot we de bodem niet meer zien. Of het nou om financiele of technische oplossingen gaat.
Waar was ik ook alweer ?
Owja, vroeger was alles beter.
Dino had kunnen weten dat IDentity Access & Audit Management IDAAM maakt. De laatste A van audit is een compliance issue omdat ‘wir haben es nicht gewusst’ niet op gaat als uit logfiles blijkt dat je de informatie hebt ontvangen en/of bekeken. Chain of Custody in een voortschrijdende digitalisering gaat niet om virtualisatie (of emulatie) van de code die datatoegang geeft maar om een controle op de informatie die in het digitale residu zit. Want één van de onderbelichte gevaren is desinformatie als we kijken naar het opblazen van een pijplijn. Een ander gevaar is het ontbreken van vergetelheid in alle digitale annalen waardoor ransomware als medicijn heel effectief is voor een bewustzijn over Tipp-Ex, de witte inkt welke veelal pas gebruikt wordt bij WOO/WOB verzoeken om duidelijkheid in publiek-bestuurlijke beslissingsprocessen.