Herstelvermogen: de stand van zaken bij Nederlandse organisaties
Expertblogs
Weerbaarheid is een van de thema's in de NCSC onderzoeksagenda. De reden hiervoor is dat de afgelopen tijd wel gebleken is dat de vraag niet is óf je kwetsbaar bent, maar wannéér je geraakt wordt door een aanval. Daarom is het belangrijk om niet alleen na te denken over preventieve beveiligingsmaatregelen, maar ook over (aanvullende) maatregelen voor het herstelvermogen en incidentafhandeling van een organisatie.
Het afgelopen jaar heeft TNO in samenwerking met NCSC onderzoek gedaan naar het herstelvermogen van organisaties. Als eerste stap hebben we gewerkt aan een werkdefinitie van 'herstelvermogen', om die daarna te bespreken met een aantal organisaties binnen en buiten de doelgroep van het NCSC. Aan de hand van die definitie zijn we het gesprek aan gegaan over hoe dit geregeld is binnen die organisaties. Uit deze gesprekken blijkt dat herstelvermogen een bekend en ingebed concept is. Er blijkt ook ruimte voor verbetering van herstelvermogen te zijn, vooral ten aanzien van het periodiek bijstellen van incidentscenario’s, oefenen van risicovollere scenario’s en het inrichten van collectief herstelvermogen.
Wat is herstelvermogen?
Het herstellen van verstoorde ICT is een concept dat terug te vinden is in onder andere de bredere onderwerpen cyberweerbaarheid en business continuity management. Laatstgenoemde onderwerpen zijn echter een stuk breder dan het herstellen van ICT en omvatten typisch ook het opstellen van preventieve en repressieve maatregelen. Aangezien het primaire doel van dit onderzoek zich beperkt tot het herstellen van verstoorde ICT wordt de scope van herstelvermogen een stuk smaller gedefinieerd. Na discussies binnen een expertgroep zijn we uitgekomen op de volgende werkdefinitie:
Herstelvermogen, is de mate waarin een organisatie efficiënt en effectief in staat is om functionaliteit, die voorzien wordt door ICT, weer beschikbaar te maken.
De onderstreepte termen uit de definitie zijn niet direct vanzelfsprekend en leggen we hieronder uit:
- functionaliteit, die voorzien wordt door ICT: Met herstel wordt uiteindelijk beoogd om bepaalde functionaliteiten te herstellen. We beperken ons, in het kader van dit onderzoek, daarbij tot dergelijke functionaliteiten die geleverd worden door ICT. Denk hierbij aan diensten die een organisatie kan leveren waarbij er een directe relatie is tussen ICT en dienst (bijvoorbeeld het leveren van cloud diensten), maar ook aan bedrijfsprocessen die gebruik maken van informatiesystemen (bijvoorbeeld administratie).
- Het herstellen van ICT functionaliteit dient efficiënt en effectief te gebeuren. De middelen die ingezet worden voor herstel dienen op te wegen tegen de negatieve impact van een incident. Herstel dient doeltreffend en binnen passende tijd te worden uitgevoerd. Daarbij houden we dan ook rekening met het ‘acuut herstel’ (zo snel mogelijk weer up-and-running) en ‘duurzaam herstel’ (herstellen op een duurzame manier).
- Een organisatie is afhankelijk van bovenstaande functionaliteiten (voorzien door ICT) om diensten te kunnen leveren. Elke organisatie is eindverantwoordelijk voor de door haar geleverde diensten en de daarvoor gebruikte functionaliteit en daarbij het herstel van deze functionaliteit. Hiervoor is in de definitie expliciet de term “organisatie” opgenomen, refererend aan de organisatie die de diensten levert.
Resultaten interviews
Na een analyse van alle interviews concluderen we dat herstelvermogen bij alle geïnterviewde organisaties is ingeregeld en al voor langere tijd wordt opgepakt in de vorm van een samenvoeging / integratie van business continuity management en cyber security. Het valt op dat de awareness en het commitment bij het management een belangrijke indicator is voor goed ingericht herstelvermogen. De organisaties waarbij het herstelvermogen slechts beperkt tot recht kwam gaven allen aan dat herstelvermogen niet door de gehele organisatie leeft. In deze gevallen wordt herstelvermogen vaak gezien als een ‘feestje voor de ICT afdeling’, terwijl herstel meer elementen raakt dan puur ICT. Zo kan een effectieve en efficiënte keuze voor herstelmaatregelen alleen gemaakt worden als er een risico analyse is uitgevoerd die bedrijfsdoelstellingen, processen en functionaliteiten worden meegenomen. Ook vereist goed herstelvermogen dat er voldoende middelen beschikbaar zijn voor zowel technische inrichting, documentatie, training en opleiding. Door het gebrek aan awareness en commitment bij het hogere management zijn er bij deze organisaties onvoldoende mensen en middelen beschikbaar om herstelvermogen in de breedte op te kunnen pakken.
In het gepubliceerde rapport hebben we door middel van grafieken de belangrijkste bevindingen geprobeerd te visualiseren. Een voorbeeld is de weergave van de algemene bevindingen zoals die hieronder worden weergegeven. In het radardiagram hieronder betekent een lijn verder naar buiten dat organisaties op dat aspect aangeven er beter voor te staan. Het rapport gaat verder in op de individuele deelaspecten, zoals bijvoorbeeld de technische en procesmatige aspecten die tijden het 'voorbereiden op herstel' nodig zijn om 'goed herstelvermogen' mogelijk te maken.
Aanknopingspunten voor verbetering en vervolg
Collectief herstelvermogen, het samenwerken op het gebied van herstelvermogen bij supply-chains of sector-breed, blijkt nog een lastig onderwerp. Het speelt weinig bij organisaties en wordt nauwelijks meegenomen in risico- en dreigingsprofielen, als die al bijgewerkt worden. Het blijkt dat dreigingsinformatie nog lastig te interpreteren en toe te passen is voor de meeste organisaties. Het oefenen van realistische, grootschalige incidenten wordt door veel organisaties als te riskant gezien, hoewel dit soort oefeningen een positieve bijdrage op herstelvermogen zouden kunnen hebben.
Het afgelopen jaar hebben we ingezet op het begrijpen van herstelvermogen, met name voor kantoorautomatisering. Dit jaar werken we verder aan het onderzoek en verbreden de scope ook naar Operational Technology (OT) omgevingen. Daarnaast werken we aan een self-assessment tool die we binnen enkele maanden beschikbaar zullen stellen.
Het volledige rapport vind je hier op onze website en hier op de website van TNO onder het kopje 'Versterken en ontwikkelen'.
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.