NCSC: 'De grote uitdaging zit in de ketenafhankelijkheid'

Het Nationaal Cyber Security Centrum (NCSC) is het overheidsorgaan dat Nederland digitaal veilig moet houden. Wat kan het NCSC voor crisismanagers betekenen? Een interview met senior adviseur Kees Verkade.

“Het NCSC is het Nationale CERT, het computer emergency response team”, vertelt Kees Verkade. “Wij hebben als opdracht om Nederland digitaal veilig te houden. Dat betekent dat we continu bezig zijn om te begrijpen welke digitale dreigingen er spelen en wat deze dreigingen betekenen voor het IT-landschap binnen Nederland, maar ook welke fysieke uitstralingseffecten het heeft. Cyber is natuurlijk niet alleen maar IT, er zit ook een verbinding met de fysieke wereld.

Wij brengen dreigingen in kaart, informeren onze doelgroepenorganisaties daarover en bieden advies over mogelijke oplossingsrichtingen. Daarmee proberen we te voorkomen dat eventuele schade zo groot wordt dat er bijvoorbeeld een maatschappelijke ontwrichting ontstaat. Wij moeten ervoor zorgen dat de BV Nederland blijft draaien. Dat doen we niet alleen op nationaal niveau, maar we werken ook veel samen met NCSC’s in andere landen. Daarmee wisselen we informatie uit en stemmen internationaal af tijdens een mogelijke crisis. Op die manier hoeft niet ieder land zelf het wiel uit te vinden.”

Bieden jullie dreigingsinformatie aan alle Nederlandse organisaties?
“We hebben een wettelijke basis, de Wbni, de Wet Beveiliging Netwerk- en Informatiesystemen. Van daaruit zijn we momenteel nog gebonden aan een aantal doelgroepenorganisaties die we mogen helpen. We focussen ons nu nog op Rijksoverheids- en vitale instellingen.

Gelukkig wordt de wet aangepast zodat we meer organisaties kunnen gaan voorzien van belangrijke dreigingsinformatie. Inmiddels werken we ook samen met een landelijk dekkend stelsel van schakelorganisaties die niet direct onder onze doelgroepenorganisaties vallen, maar die wel goedgekeurd zijn om informatie te ontvangen. Zij verspreiden dit dan weer onder hun achterban. Zo zorgen we dat ook bijvoorbeeld de zorg en het mkb de juiste informatie krijgen om hun systemen veilig te houden.”

Wat heeft een crisismanager aan het NCSC?
“Niet alleen geven we handvatten en informatie over hoe om te gaan met cybercrises, we organiseren tweejaarlijks ook een nationale cybercrisisoefening: ISIDOOR.

Een veelvoorkomend euvel is dat niet alle werelden in een organisatie goed met elkaar kunnen praten. De IT-afdeling en cybersecurityspecialisten snappen een incident op digitaal niveau, maar zo’n incident heeft ook gevolgen voor de business en de bedrijfscontinuïteit. Om tussen die twee werelden goede afstemming te krijgen, is het belangrijk dat iedereen dezelfde taal spreekt. Daar proberen we actief informatie op te delen, onder meer door ISIDOOR, waarin we cyber en crisismanagement actief koppelen met elkaar.”

Hoe belangrijk is het dat een crisismanager kan samenwerken met de techneuten in een organisatie?
“Het is van wezenlijk belang dat een IT-afdeling en een crisisorganisatie met elkaar kunnen omgaan en elkaar begrijpen. Een cyberprobleem moet geduid worden en dat gebeurt op meerdere lagen: zowel technisch als tactisch-strategisch.

Daarom is het noodzakelijk dat je elkaar begrijpt en elkaars taal spreekt en dat een crisismanager iets van IT weet en techneuten iets snappen van crisismanagement. Dat geldt trouwens ook voor de bestuurstafel. Crisismanagement moet een volwaardig thema zijn aan de bestuurstafel, evenals cybersecurity en de integratie tussen die twee.”

Het NCSC biedt ook handige documenten voor crisisteams en technische afdelingen, zoals informatie over incident respons en aandachtspunten voor crisismanagement en crisiscommunicatie bij digitale incidenten. Wat kan een crisisorganisatie hiermee?
“Een incident responsplan richt zich meer op de technische aanpak van een incident, terwijl crisismanagement zich een laag hoger afspeelt. Het is belangrijk dat deze twee werelden op elkaar aansluiten. Een crisismanager moet dus zeker op de hoogte zijn van een incident responseplan en vice versa.

Het is nodig om te kijken waar en welke informatie uit de incident responsehoek moet doorsijpelen naar crisismanagementteams. Je moet weten hoe je informatie goed kunt duiden, maar ook hoe je omgaat met besluiten over en weer. Stel dat voor het mitigeren van een incident een bepaalde technische handeling noodzakelijk is die gevolgen heeft voor de bedrijfscontinuïteit, welk besluit is dan doorslaggevend?”

Wat moet je als crisisorganisatie op orde hebben om adequaat te kunnen reageren op een cybercrisis?
“Het begint allemaal met een risico-inventarisatie. Wat zijn de risico’s die je loopt en hoe wil je daarmee omgaan? Als je dat weet, is het belangrijk dat een aantal basis crisismanagementprocessen op orde is. Zo moet je hebben nagedacht over alarmering en opschaling. Wanneer moeten we er wat mee en hoe zorgen we dat we dan de juiste mensen bij elkaar krijgen? Wie zijn die mensen en in welke structuur werken zij samen?

Vervolgens gaat het om informatiemanagement: welke informatie heb je nodig om problemen op te lossen, waar is die beschikbaar en met wie ga je die afstemmen? Ook moet je nadenken over leiding en coördinatiestructuur: wie gaat er uiteindelijk over wat, welke besluiten kun je zelf nemen, waar heb je andere, externe organisaties bij nodig? En uiteindelijk is het goed om na te denken over hoe je plannen aansluiten op andere processen en afdelingen in de organisatie. Alles moet worden geïntegreerd in de crisismanagementstructuur om zo te zorgen voor een integraal verhaal.”

Heb je het idee dat Nederlandse crisisorganisaties voldoende zijn voorbereid op cyberincidenten?
“De echt grote spelers, de vitale partijen, zijn heel goed voorbereid. Neem de financiële sector, die lopen niet alleen voor op het gebied van cybersecurity, maar ook op het gebied van crisismanagement.

De grote uitdaging zit hem in de ketenafhankelijkheid als het gaat om cybersecurity. Je kunt als organisatie zelf nog zo goed voorbereid zijn, maar wanneer een van de partijen uit je supply chain dat niet is, levert dat grote kwetsbaarheid op.

Dat zag je vorig jaar toen een transporteur in de kaasketen werd getroffen en we met legen schappen kwamen te zitten. Dat was ‘maar’ kaas, maar het laat wel zien dat vrijwel alle systemen in Nederland zo afhankelijk van elkaar zijn geworden dat je bijna niet meer kunt spreken van een onderscheid tussen vitale en niet-vitale bedrijven.

Daarom zijn we zo blij dat de wet wordt aangepast, zodat we als NCSC ook veel meer direct hulp kunnen bieden aan organisaties die we nu nog niet bereiken. Dan verdwijnt het onderscheid tussen vitaal en niet-vitaal steeds meer en kunnen we kijken naar het volledige pallet van Nederland.”

Hoe belangrijk is opleiden, trainen en oefenen als het gaat om crisismanagement van cyberincidenten?
“Enorm. Dat is ook de reden dat we tweejaarlijks de ISIDOOR-oefening organiseren. Afgelopen jaar deden ruim tweeduizend mensen en zo’n honderd organisaties daaraan mee. Het groeit hard en laat zien hoeveel behoefte daaraan is.

Maar we interveniëren als overheidsorganisatie niet met de markt, waar veel oefeningen beschikbaar zijn. We kunnen daarentegen wel als sparringpartner dienen voor organisaties over hoe je je crisisorganisatie voorbereid en waar je rekening mee moet houden, maar we verzorgen geen trainingen of opleidingen. Wel houden we netwerkbijeenkomsten en kennisevents, en organiseren we rondom ISIDOOR een aantal masterclasses en sluiten we aan bij andere oefeningen in de markt.

Toch is het goed om je te realiseren dat het cruciaal is om je basis op orde te hebben in je crisisorganisatie, dus dat je mensen voldoende getraind en opgeleid zijn, voordat je het complexer maakt door in een grote oefening te springen. Dan ga je mensen bij wijze van spreken laten afzwemmen terwijl ze nog nooit zwemles hebben gehad. Dat komt over het algemeen het zelfvertrouwen niet ten goede.”

Heb je nog een laatste advies voor crisismanagers?
“Zeker. Onze informatievoorziening richt zich niet primair op crisismanagers, maar komt op een andere plek de organisatie binnen. Het is belangrijk om als crisismanager te weten dat deze informatiestroom er is en af te stemmen met de CISO (Chief Information Security Officer) over hoe die informatie binnen komt en afgestemd wordt.

Daarnaast is het belangrijk om in opleiden, trainen en oefenen gezamenlijk op te trekken met de verschillende werelden binnen een organisatie. En het is cruciaal om in crisisplannen en risico-inventarisaties rekening te houden met het thema cyber. Voor sommige organisaties kan een bepaald incident weinig directe problemen opleveren, waar dat voor een andere organisatie verregaande gevolgen heeft. Alleen wanneer je rekening houdt met het thema en daarover nadenkt, kun je tot een vakbekwaam een veerkrachtige crisisorganisatie komen.”