V.l.n.r. Martin Keuzenkamp (COIN), Mariska de Gooijer (Crisiscentrale) en Daan Hoogendijk (Samen Digitaal Veilig
V.l.n.r. Martin Keuzenkamp (COIN), Mariska de Gooijer (Crisiscentrale) en Daan Hoogendijk (Samen Digitaal Veilig
De Wet Weerbaarheid Kritieke Entiteiten (WWKE) en de Cyberbeveiligingswet NIS2 stellen nieuwe eisen aan zo’n 10.000 organisaties. Lang niet iedereen is daar al op voorbereid. Waar zitten de zwakke plekken nog? Een interview met Daan Hoogendijk, programmadirecteur van Samen Digitaal Veilig, Mariska de Gooijer van de Crisiscentrale en Martin Keuzenkamp van COIN Business Continuity.
De crises buitelen over elkaar heen, zeker de laatste maanden. In mei blokkeerden meerdere universiteiten en hogescholen de studie-app Canvas, omdat deze gehackt was. Canvas wordt door studenten gebruikt om opdrachten in te leveren en lesmateriaal of cijfers in te zien.
In dezelfde maand lagen de digitale systemen van verschillende organisaties plat door een brand in een datacentrum in Almere. De Universiteit Utrecht was een van de getroffenen. Veel medewerkers en studenten konden niet meer inloggen, en ook de toegangspassen werkten niet meer naar behoren. Medewerkers en studenten konden daardoor de werk- en studieruimtes niet meer in. De noodzakelijke veiligheidsmaatregelen konden niet meer worden geboden.
Nieuwe wetgeving
Volgens de Wet Weerbaarheid Kritieke Entiteiten (WWKE) en de Cyberbeveiligingswet (NIS2) moeten organisaties aantoonbaar voorbereid zijn op dit soort crises. “In NIS2 staat omschreven dat essentiële én belangrijke organisaties hun cyberbeveiliging op orde moeten hebben”, zegt Daan Hoogendijk van het platform Samen Digitaal Veilig. “De aankomende wet bepaalt onder andere dat cyberveiligheid niet langer alleen een IT-feestje mag zijn. Directie en bestuurders moeten actief betrokken zijn. Ook moeten medewerkers getraind zijn en moeten organisaties controleren of hun risico-leveranciers hun cyberbeveiliging aantoonbaar op orde hebben, bijvoorbeeld via de NIS2 Supply Chain-certificering.”
Bestuurders zijn hoofdelijk aansprakelijk voor het op orde hebben van deze processen. Daarbij gaat het niet alleen om de impact op de eigen organisatie, maar vooral om de mogelijke gevolgen voor de samenleving.
Een belangrijk onderdeel van de wet is dat organisaties voorbereid moeten zijn op het ‘what if’-scenario. Dus: wie bel je als je IT-systemen platliggen? Volgens welk stappenplan ga je te werk? “In dat kader is het verstandig om je niet alleen voor te bereiden op een cyberaanval”, zegt Mariska de Gooijer, mede-eigenaar van de Crisiscentrale. “Je kunt namelijk ook door een andere crisis getroffen worden, zoals 72 uur stroomuitval. Dan valt plotseling alles uit, dus ook de telefonie en het internet. Het is verstandig om een crisisplan te maken waar je al die scenario’s in meeneemt.”
Uitwijklocatie
Martin Keuzenkamp, CEO van COIN Business Continuity, merkt dat veel organisaties hier nog onvoldoende mee bezig zijn. “Voor velen is het nog een ver-van-mijn-bedshow. Toch is het belangrijk om hier wél aandacht voor te hebben, want het is ook een stukje veiligheid.”
COIN levert uitwijklocaties. Dit zijn locaties met veel werkplekken waar (grote) teams meteen terecht kunnen als hun organisatie getroffen wordt door een crisis. “Er kunnen verschillende redenen zijn waardoor je eigen pand niet meer bruikbaar is”, zegt Martin. “Denk aan wateroverlast of een brand. Op een uitwijklocatie kunnen medewerkers hun werk meteen voortzetten, zodat de meest essentiële processen altijd doorgaan.”
Ook na een cyberaanval kan een eigen locatie niet bruikbaar meer zijn. “Medewerkers kunnen na een cyberaanval meestal niet meer inloggen op het systeem. Bovendien krijg je met allerlei neveneffecten te maken. Bij de Universiteit Utrecht werkten de toegangspassen niet meer. Maar het kan ook voorkomen dat bijvoorbeeld de verwarming stopt. Op een uitwijklocatie kunnen medewerkers in een schone, afgesloten IT-omgeving hun werk voorzetten. Ze kunnen hier als team samenwerken en bijvoorbeeld Teams-vergaderingen plannen.”
Essentiele processen
Martin en Mariska zeggen beiden dat het belangrijk is om vooraf na te denken over een crisisplan en een crisisorganisatie. “Natuurlijk kunnen wij organisaties altijd helpen als zij getroffen worden door een crisis”, zegt Mariska. “Maar de impact is veel kleiner en de schade is veel lager als je voorbereid bent.”
Dat betekent bijvoorbeeld dat je vooraf bepaalt wat de meest essentiële onderdelen van je organisatie zijn. Vervolgens kun je maatregelen nemen zodat die processen altijd doorgaan, ook als de elektriciteit en/of de IT-omgeving wegvalt. “Een gemeente kan bij een grote crisis bijvoorbeeld geen paspoorten meer uitgeven”, zegt Martin. “Dat is vervelend maar niet onoverkomelijk. Burgers kunnen voor een noodpaspoort namelijk ook nog terecht bij de marechaussee. Maar ik kan me wel voorstellen dat het problematisch is als je wekenlang geen bijstandsuitkeringen meer kunt uitkeren. Het is belangrijk om voor dat soort processen iets te regelen.”
Hakken over de sloot
Mariska zegt dat veel organisaties op dit moment nog niks geregeld hebben: ze hebben geen crisisplannen en geen crisisstructuur. Daan zegt dat het voor kleine organisaties misschien wel voldoende is om alleen het hoognodige te regelen. “Voor hen is ‘met de hakken over de sloot’ misschien wel genoeg. Maar voor grote organisaties die belangrijke of essentiële diensten leveren is het belangrijk om een 365 graden-analyse te maken en je bedrijfscontinuïteit op orde te brengen.” VNO-NCW en MKB-Nederland hebben recent een handreiking Weerbaarheid uitgebracht, die hier handvatten voor biedt.
De grote vraag is: wat gebeurt er als organisaties niet in actie komen? Hoe ziet hun bedrijfsvoering eruit als zij niets voorbereid hebben en bijvoorbeeld getroffen worden door een cyberaanval? “Dan ontstaat er complete chaos”, vertelt Daan. “De IT-afdeling gaat dan hard aan de slag om de digitale systemen te herstellen. Zij zijn van nature niet gewend om veel te communiceren over de voortgang, en daar zijn dan ook geen afspraken over gemaakt. Dat betekent dat iedereen zit te wachten tot de systemen weer beschikbaar zijn. Dat kan dagen of zelfs weken duren. Ondertussen gaan klanten bellen en gaan medewerkers ad hoc proberen om informatie te geven.”
Wél voorbereid
Dat is een wereld van verschil met organisaties die wél voorbereid zijn. Een goede voorbereiding zorgt voor overzicht en duidelijkheid. “Het zorgt ervoor dat je weet hoe je de juiste mensen kunt alarmeren”, zegt Mariska. “Ook weet je welke stappen je moet zetten om de crisis zo goed mogelijk door te komen. Snel en eerlijk communiceren is daar een onderdeel van, zodat klanten, medewerkers en alle andere belanghebbenden weten waar zij aan toe zijn.”
'Een alternatieve IT-omgeving is vaak al na 2 tot 4 uur operationeel'
Organisaties die voorbereid zijn, kunnen bovendien hun werk vrijwel direct voortzetten op een uitwijklocatie. “De organisaties waar wij mee samenwerken, testen hun uitwijklocatie jaarlijks”, vertelt Martin. “Dat betekent dat ze zeker weten dat alles werkt, als de nood aan de man is. In de praktijk zien we dat hun alternatieve IT-omgeving vaak al na 2 tot 4 uur werkt. Dat betekent dat de meest essentiële processen vrijwel direct door kunnen gaan, terwijl de IT-afdeling de IT-systemen op de eigen locatie nog aan het herstellen is.”
