Roelofsma: ‘Eén klein foutje kan een hele keten platleggen’
Eén klein foutje in één ICT-systeem kan ervoor zorgen dat de computers in een hele keten op zwart gaan. Je spreekt dan over het cyber cascade-effect. Hoe groot is dat risico? En hoe kunnen we hier meer grip op krijgen? Deze onderwerpen stonden centraal in de inauguratie-rede van Peter Roelofsma, lector Risk & Cyber Security aan de Haagse Hogeschool.
Iedereen kan zich nog goed de CrowdStrike-crisis herinneren. Een klein foutje in de beveiligssoftware van CrowdStrike legde wereldwijd de computers plat van banken, vervoersbedrijven, luchtvaartmaatschappijen en ziekenhuizen.
“Dit soort en andere cascade-effecten worden een steeds groter probleem. Denk daarbij bijvoorbeeld ook aan de risico's die via een derde partij in de keten terechtkomen," zegt Peter Roelofsma, lector Risk & Cyber Security aan de Haagse Hogeschool. Op 14 november hield hij zijn inauguratie-rede. Het EU-agentschap voor cybersecurity, ENISA, verwacht dat het aantal cascade-effecten de komende jaren alleen nog maar verder toeneemt. “In 2030 is dit naar verwachting het belangrijkste cybersecurity-risico.”
Hoe komt het dat dit probleem de komende jaren zo sterk toeneemt?
“Doordat onze ICT-systemen steeds meer met elkaar verbonden zijn en er onvoldoende gezamenlijke aanpak is om weerbaar te zijn in een keten. Veel organisaties hebben de kwetsbaarheden van de toeleveringsleveranciers en andere organisaties met wie ze samenwerken nog onvoldoende in kaart gebracht. Veelal weten mensen niet eens wie dat allemaal zijn. Daardoor kan één foutje in één systeem grote gevolgen hebben voor de hele keten.”
Wat is het grootste probleem bij een cascade-effect?
“Dat het steeds moeilijker wordt om vooraf te bepalen welke risico’s we precies lopen. De interacties tussen de kwetsbaarheden in het systeem zijn steeds moeilijker te voorspellen. Er zijn zoveel factoren die tegelijk een rol spelen dat je dit met het menselijke brein niet meer kunt overzien.
De tweede uitdaging is dat een klein software-probleem al snel kan uitgroeien tot een gigantisch probleem in de hele keten. Dit komt omdat er non-lineaire domino-effecten optreden. De dominosteentjes staan als het ware niet in een rechte lijn achter elkaar. Dus als één dominosteentje omvalt, kan dat ervoor zorgen dat er veel verschillende dominosteentjes op verschillende plekken omvallen. Dit proces is moeilijk te doorzien en zo ontstaat er relatief veel onvoorspelbaarheid. Door de communicatieproblemen die daarbij optreden wordt het steeds moeilijker om de beslisniveaus op één lijn te krijgen.
Een derde probleem is dat de feedback op de maatregelen die je neemt niet meteen effect hebben. Daar zit vaak vertraging in. Daardoor wordt er meestal harder ingegrepen dan nodig is of helemaal niet meer.”
Wat zijn de mogelijke oplossingen?
“In de eerste plaats dat je een gezamenlijke aanpak hebt in de keten met voldoende back-up systemen om als keten weerbaar te zijn. Nieuwe technologieën brengen ons veel. Maar ze geven ook neveneffecten die je vooraf niet had voorzien. Een onbedoeld neveneffect van de digitalisering in ziekenhuizen is bijvoorbeeld dat je je bestanden niet meer kunt raadplegen als de systemen eruit liggen. Daarom is het belangrijk om een stap terug te kunnen doen. Zorg dat je een back-up hebt en dat je systemen hebt die nog wel werken, als het grotere systeem eruit ligt. Zeker bij kritische processen is dat geen overbodige luxe.
In de tweede plaats: meer tijd besteden aan de verificatie en validatie van onbedoelde neveneffecten zodat je weet welk domino-effect en welke interacties er gaan optreden bij de innovatie van complexe en dynamische systemen. Wij hebben een AI-gebaseerde risico assement methode ontwikkeld waarmee je die risico’s vooraf goed in beeld kunt brengen. We zijn meer data aan het verzamelen om nog betere voorspellingen te doen voor cyberrisico’s in de keten”
Heb je daarvoor alleen cybersecurity-data nodig? Of heb je meer nodig?
“We hebben ook data uit de operatie nodig. Bijvoorbeeld wat zijn de grootste risico’s voor een organisatie? Waar zitten de kroonjuwelen? Hoe vaak vindt er een verstoring plaats? Hoe zit het werkproces in elkaar? En hoe handelen mensen als er een verstoring plaatsvindt?
'We hebben ook data uit de operatie nodig'
Natuurlijk zijn er altijd plannen, maar tijdens een crisis is er stress en tijdsdruk. Daardoor handelen mensen vaak anders dan in het plan omschreven staat. Bovendien hebben we met een taalbarrière te maken. ICT’ers, gebruikers en mensen in de operatie gebruiken vaak verschillende termen waardoor ze elkaar niet goed begrijpen. Daardoor kunnen mensen anders op verstoringen reageren dan je zou verwachten.”
Hoe verzamel je die data?
“We hebben samen met MBO Rijnland, de Haagse Hogeschool, Pinewood en Infinity IT een Cybersecurity Living Lab opgezet. Hierin werken we met andere organisaties, de overheid, de gemeente en het bedrijfsleven aan oplossingen. Studenten bouwen gezamenlijk met docenten, onderzoekers en het bedrijfsleven een Security Operation Center (SOC) die risico’s monitort in een incident respons management als er een dreiging optreedt.
Dat doen we daarnaast bijvoorbeeld met AI- Simulatie en met War Games waarin we echte incidenten naspelen. Zo brengen we in kaart hoe de keten reageert op cyberverstoringen. Het mooie aan de samenwerking met het bedrijfsleven is dat de studenten daardoor in een realtime-omgeving werken. Dat is belangrijk, want cybersecurity kun je vergelijken met zeilen. Dat leer je niet alleen uit een boekje, dat leer je het beste in een bootje op volle zee.”