Cybersec in een digitale oorlog
Afgelopen week liep ik rond op verschillende events: de drukbezochte Cybersec in de Jaarbeurs in Utrecht, een inhoudelijke ronde tafel bij Levi9 over soevereiniteit en de Immerse-bijeenkomst van Cloudflare. Wat mij opviel was niet alleen de belangstelling, maar ook de toon. Waar soevereiniteit en cybersecurity vroeger vaak werden gezien als een technische aangelegenheid voor specialisten, zie je nu dat de discussies steeds nadrukkelijker strategisch worden. En terecht: AI geeft zowel aanvallers als verdedigers een enorme nieuwe slagkracht. En daarmee is de digitale strijd en digitale onafhankelijkheid definitief geëscaleerd.
Van commerciële luchtvaart naar militair toestel
Vroeger konden we onze datacenters vergelijken met de commerciële luchtvaart. De buitenwereld was relatief veilig en het doel was vooral klanten zo veilig en comfortabel mogelijk hun “digitale reis” te laten maken. Natuurlijk waren er risico’s, maar die konden grotendeels met techniek en procedures worden ondervangen.
Vandaag is dat beeld achterhaald. In een digitale oorlog moeten diezelfde datacenters opereren als militaire vliegtuigen. Ze moeten hun eigen veiligheid borgen, maar ook voortdurend voorbereid zijn op actieve aanvallen uit een vijandige omgeving. Zoals elke generaal weet: je moet je niet voorbereiden op de vorige oorlog, maar op de volgende. Alleen: hoe ziet die eruit als ‘opeens’ AI overal wordt ingezet, zowel bij de aanval als de verdediging? Wat als je wordt aangevallen door honderden AI-agents die elke mogelijke zwakheid proberen te vinden? Of een AI-agent van je klant ‘ontspoort’ en laat een spoor van data-corruptie in je datacenter achter?
Wat als de dijk echt breekt?
Alles is het laatste jaar in een vreemde beweging geraakt. AI versterkt niet alleen onze verdedigingslinies, maar geeft aanvallers net zo goed nieuwe wapens. In dit spel van aanval en verdediging is het naïef te denken dat er toch geen doorbraken of ongelukken zullen gebeuren. De vraag is steeds serieuzer niet óf, maar wannéér je als organisatie wordt getroffen. Ruim 20.000 geslaagde ransomware aanvallen afgelopen jaar. Ongelooflijk!!
Wat gebeurt er als het ineens ‘alles zwart’ wordt en je datacenter, je internet en communicatie dagen of weken stilvalt? Hoe ga je om met gijzeling en losgeld, of met wekenlange onderbreking van kritieke processen? Voor sommige bedrijven kan dat letterlijk het einde betekenen als fabrieken opeens wekenlang niets meer kunnen produceren. Zoals afgelopen weken gebeurde bij Jaguar Land Rover in de UK en zo werd gedwongen wereldwijd de productie stil te leggen.
De verantwoordelijkheid ligt in de boardroom
Daarmee komt de verantwoordelijkheid nadrukkelijk in de boardroom te liggen. Risicomanagement gaat niet meer alleen over verzekeringen en brandveiligheid, maar over digitale continuïteit en overleven. Het is niet genoeg om “een pondje extra” bij je cloudleverancier af te nemen. Bestuurders moeten weten welke processen en data echt cruciaal zijn en welke mate van bescherming en soevereiniteit daarbij noodzakelijk is. Kun je al je eieren in één cloudmandje blijven leggen? Hoeveel mandjes moet je hebben om uitwijk van systeem of leverancier hebben? En moeten die mandjes misschien dichter bij huis staan, binnen de eigen wet- en regelgeving? Ondersteund door binnenlandse leveranciers of channelpartners die eindverantwoordelijkheid over die soevereiniteit nemen?
Wie zit er in de cockpit?
De luchtvaartanalogie blijft leerzaam. Een militair toestel is voorbereid op vijandige aanvallen, heeft mogelijkheden om die ‘af te schudden’ en heeft zelfs een schietstoel om de piloot te redden. In een commercieel toestel kan dat niet, daar moet je bij een storing alles doen om snel veilig en gecontroleerd te landen. Stel dezelfde vragen eens voor je digitale diensten en data. Wie zit er in de cockpit? Wie beslist wanneer een noodlanding nodig is, ook al is dat op een ongewenste plek? En altijd op een ongewenst moment. En wat betekent dat voor de continuïteit van je organisatie, voor je klanten? Zelfs als er geen slachtoffers vallen, kan de economische schade catastrofaal zijn. Heb je de noodscenario’s klaarliggen en zijn de mensen getraind?
En vooral niet voorbereiden op de vorige oorlog, maar op de volgende. Dat betekent: niet alleen repareren of toevoegen wat nog ontbrak, maar bedenken hoe een toekomstige aanval kan uitpakken. Niet alleen denken aan beschermen, maar ook aan wat er gebeurt als het toch een keer misgaat. Hoe overleef je? Hoe kun je achterhalen wat er fout ging? Hoe kun je geconditioneerd weer opstarten? Hoe communiceer je met klanten en shareholders, als je überhaupt nog communicatiemiddelen hebt? Heb je een overlevingspakket samengesteld voor het geval je datacenter en internet ineens wekenlang uitvallen? En is er een tijdelijke uitwijkoptie beschikbaar als een herstart langer – wellicht maanden – gaat duren? Heeft je leverancier of leveringspartner dit soort voorzieningen?
Wat te doen na de crash?
Ik heb eerder geschreven over het belang van forensische data om fouten en oorzaken te achterhalen, en daarmee de sector veiliger te maken – net zoals de luchtvaart dat met haar “luchtwaardigheid” heeft gedaan. Alleen door lessen te delen kan de digitale infrastructuur wereldwijd veiliger worden. Als je niet weet ‘wat’ er mis ging en ‘hoe’ ze binnenkwamen, kunnen ze het een volgende keer gewoon nogmaals kunnen doen. Ondanks de tien of meer bitcoins die je als losgeld hebt betaald.
De digitale oorlog is realiteit
Boven alles geldt dat de verantwoordelijkheid niet langer bij de ingehuurde CIO of CISO kan worden neergelegd. Bestuurders en toezichthouders moeten zich uitspreken over hoe digitale risico’s worden beheerst, of de afkoopsommen worden betaald en hoe de continuïteit wordt verzekerd. Met wereldwijd meer dan 20.000 geslaagde ransomware-aanvallen per jaar is de digitale oorlog geen toekomstscenario meer, maar een realiteit. En die realiteit raakt niet alleen bedrijven, maar ook nationale veiligheid en politieke stabiliteit.
Risicomanagement als Chefsache
De drukte op beurzen, de scherpe discussies bij rondetafels en de groeiende lijst van slachtoffers maken duidelijk dat digitale veiligheid geen operationele randvoorwaarde meer is, maar een strategisch vraagstuk. Het raakt direct aan de continuïteit van organisaties en zelfs aan nationale autonomie. De vraag welke digitale processen en data je zelf soeverein moet houden – binnen je eigen juridische en bestuurlijke kaders – en waar internationale leveranciers een rol kunnen spelen, moet in de boardroom worden beantwoord.
Bij mijn huidige activiteiten als ad interim CTO bij bedrijven zie ik dat security en business continuity als onderwerp steeds vaker terugkomen. Digitale transformatie vraagt ‘Safety and continuity by design‘ – intern, extern en als ingekocht product of dienst – en vraagt dus adequaat risicomanagement. Steeds vaker wordt dit ook onderdeel van mijn begeleiding van organisaties. Het is niet de snelheid maar vooral de volledigheid die de uiteindelijke kwaliteit bepaalt.
En om dit in eenvoudige bewoordingen aan board en toezichthouders uit te kunnen leggen, want helaas is bijna geen enkele bestuurder werkelijk ervaren op dit gebied. Daarna gaat het vooral om het vaststellen van de juiste vorm en inhoud, inclusief gecommitte slagkracht, noodzakelijke capaciteiten en natuurlijk de budgetten om dit binnen relatief korte tijd te implementeren.
Cybersecurity is niet langer “iets van IT”, maar een wezenlijk onderdeel van risicomanagement en governance. Of, zoals ik al vaker schreef op mijn blog: het is een discussie die gaat over vertrouwen, continuïteit en soevereiniteit. En het is een discussie die bestuurders niet langer kunnen uitstellen. Ik help hen hier – nog steeds – graag bij.
Door: Hans Timmerman (foto)
