Herstelvermogen: de stand van zaken bij Nederlandse organisaties

Weblogbericht | 10-05-2021 | NCSC

Wat is herstelvermogen?

Het herstellen van verstoorde ICT is een concept dat terug te vinden is in onder andere de bredere onderwerpen cyberweerbaarheid en business continuity management. Laatstgenoemde onderwerpen zijn echter een stuk breder dan het herstellen van ICT en omvatten typisch ook het opstellen van preventieve en repressieve maatregelen. Aangezien het primaire doel van dit onderzoek zich beperkt tot het herstellen van verstoorde ICT wordt de scope van herstelvermogen een stuk smaller gedefinieerd. Na discussies binnen een expertgroep zijn we uitgekomen op de volgende werkdefinitie:

Herstelvermogen, is de mate waarin een organisatie efficiënt en effectief in staat is om functionaliteit, die voorzien wordt door ICT, weer beschikbaar te maken.

De onderstreepte termen uit de definitie zijn niet direct vanzelfsprekend en leggen we hieronder uit:

•  functionaliteit, die voorzien wordt door ICT: Met herstel wordt uiteindelijk beoogd om bepaalde functionaliteiten te herstellen. We beperken ons, in het kader van dit onderzoek, daarbij tot dergelijke functionaliteiten die geleverd worden door ICT. Denk hierbij aan diensten die een organisatie kan leveren waarbij er een directe relatie is tussen ICT en dienst (bijvoorbeeld het leveren van cloud diensten), maar ook aan bedrijfsprocessen die gebruik maken van informatiesystemen (bijvoorbeeld administratie).
• Het herstellen van ICT functionaliteit dient efficiënt en effectief te gebeuren. De middelen die ingezet worden voor herstel dienen op te wegen tegen de negatieve impact van een incident. Herstel dient doeltreffend en binnen passende tijd te worden uitgevoerd. Daarbij houden we dan ook rekening met het ‘acuut herstel’ (zo snel mogelijk weer up-and-running) en ‘duurzaam herstel’ (herstellen op een duurzame manier).
• Een organisatie is afhankelijk van bovenstaande functionaliteiten (voorzien door ICT) om diensten te kunnen leveren. Elke organisatie is eindverantwoordelijk voor de door haar geleverde diensten en de daarvoor gebruikte functionaliteit en daarbij het herstel van deze functionaliteit. Hiervoor is in de definitie expliciet de term “organisatie” opgenomen, refererend aan de organisatie die de diensten levert.

Resultaten interviews

Na een analyse van alle interviews concluderen we dat herstelvermogen bij alle geïnterviewde organisaties is ingeregeld en al voor langere tijd wordt opgepakt in de vorm van een samenvoeging / integratie van business continuity management en cyber security. Het valt op dat de awareness en het commitment bij het management een belangrijke indicator is voor goed ingericht herstelvermogen. De organisaties waarbij het herstelvermogen slechts beperkt tot recht kwam gaven allen aan dat herstelvermogen niet door de gehele organisatie leeft. In deze gevallen wordt herstelvermogen vaak gezien als een ‘feestje voor de ICT afdeling’, terwijl herstel meer elementen raakt dan puur ICT. Zo kan een effectieve en efficiënte keuze voor herstelmaatregelen alleen gemaakt worden als er een risico analyse is uitgevoerd die bedrijfsdoelstellingen, processen en functionaliteiten worden meegenomen. Ook vereist goed herstelvermogen dat er voldoende middelen beschikbaar zijn voor zowel technische inrichting, documentatie, training en opleiding. Door het gebrek aan awareness en commitment bij het hogere management zijn er bij deze organisaties onvoldoende mensen en middelen beschikbaar om herstelvermogen in de breedte op te kunnen pakken.

In het gepubliceerde rapport hebben we door middel van grafieken de belangrijkste bevindingen geprobeerd te visualiseren. Een voorbeeld is de weergave van de algemene bevindingen zoals die hieronder worden weergegeven. In het radardiagram hieronder betekent een lijn verder naar buiten dat organisaties op dat aspect aangeven er beter voor te staan. Het rapport gaat verder in op de individuele deelaspecten, zoals bijvoorbeeld de technische en procesmatige aspecten die tijden het 'voorbereiden op herstel' nodig zijn om 'goed herstelvermogen' mogelijk te maken.

Vergroot afbeelding

Aanknopingspunten voor verbetering en vervolg

Collectief herstelvermogen, het samenwerken op het gebied van herstelvermogen bij supply-chains of sector-breed, blijkt nog een lastig onderwerp. Het speelt weinig bij organisaties en wordt nauwelijks meegenomen in risico- en dreigingsprofielen, als die al bijgewerkt worden. Het blijkt dat dreigingsinformatie nog lastig te interpreteren en toe te passen is voor de meeste organisaties. Het oefenen van realistische, grootschalige incidenten wordt door veel organisaties als te riskant gezien, hoewel dit soort oefeningen een positieve bijdrage op herstelvermogen zouden kunnen hebben.

Het afgelopen jaar hebben we ingezet op het begrijpen van herstelvermogen, met name voor kantoorautomatisering. Dit jaar werken we verder aan het onderzoek en verbreden de scope ook naar Operational Technology (OT) omgevingen. Daarnaast werken we aan een self-assessment tool die we binnen enkele maanden beschikbaar zullen stellen.

Het volledige rapport vind je hier op onze website en hier op de website van TNO onder het kopje 'Versterken en ontwikkelen'.