Kun je meten in welke mate Nederlandse organisaties digitaal weerbaar zijn? Uit een verkennend onderzoek blijkt dat er momenteel geen methoden zijn die een compleet beeld opleveren. Op deelaspecten binnen organisaties zijn er wel methoden om kennis over digitale weerbaarheid te vergaren, maar de betrouwbaarheid en validiteit van die methoden is nog niet aangetoond. Een aantal van de geanalyseerde benaderingen bieden wel aanknopingspunten voor het ontwikkelen van een toekomstige meetmethode voor digitale weerbaarheid van organisaties.
Het bevorderen van digitale weerbaarheid van organisaties is één van de speerpunten uit de Nederlandse Cybersecuritystrategie 2022-2028. RAND Europe onderzocht, in opdracht van het WODC, of en hoe de digitale weerbaarheid van Nederlandse organisaties meetbaar kan worden gemaakt. Het onderzoek verkent de mogelijkheden, de indicatoren die gebruikt of ontwikkeld kunnen worden en de betekenis en relevantie van de verzamelde gegevens. Het had dus niet als doel om tot een uitgewerkte meetmethode te komen voor de aanvrager van het onderzoek, de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Complexiteit bemoeilijkt meetbaarheid
Het beoordelen van de mate waarin Nederlandse organisaties digitaal weerbaar zijn, is buitengewoon ingewikkeld. Verschillende technische, procedurele, organisatorische en externe aspecten spelen hierbij een rol. Technologieën en bedreigingen veranderen bovendien constant en snel. En systemen zijn vaak te complex om te testen op alle kwetsbaarheden. Daarnaast zijn er lastig meetbare aspecten, zoals werkcultuur en sociale relaties tussen werknemers. Ook kunnen incidenten ontstaan via afhankelijkheden van bijvoorbeeld toeleveranciers. Om te weten in welke richting de digitale weerbaarheid van een organisatie zich ontwikkeld, zijn van al deze aspecten gegevens nodig. De onderzoekers concluderen dat er momenteel geen methoden bestaan die een dergelijk compleet beeld opleveren.
Beeld: © Pixabay
Aanknopingspunten toekomstige meetmethode
Over deelaspecten van de digitale weerbaarheid van organisaties kan wel kennis worden verzameld, vooral op kwalitatief vlak. Achttien benaderingen zijn geanalyseerd en bieden nuttige aanknopingspunten voor het ontwikkelen van een toekomstige meetmethode. Hierbij speelt het doel van die meetmethode een belangrijke rol. Wil je meten of basismaatregelen voor digitale weerbaarheid zijn ingevoerd, dan kan bijvoorbeeld het Britse Cyber Essentials-programma als nuttig uitgangspunt dienen. Wil je meten of organisaties klaar zijn om cyberincidenten te identificeren, detecteren, zich ertegen te beschermen, erop te reageren en ervan te herstellen, dan zou bijvoorbeeld een ISO-raamwerk geschikter kunnen zijn. En als het doel is om uitgebreidere en sectorspecifieke gegevens te verzamelen over prestaties in een real life digitale weerbaarheidscontext, kan worden gedacht aan een benadering die vergelijkbaar is met wat TNO heeft ontwikkeld voor organisaties in de financiële dienstverlening.
Aanbevelingen
Volgens de onderzoekers kan de NCTV het best stapsgewijs te werk gaan bij het ontwikkelen van een toekomstige meetmethode. Door te beginnen met het ontwikkelen van een universeel toepasbare maatstaf voor bijvoorbeeld het herstelvermogen van een organisatie na een cyberincident. En dit vervolgens uit te bouwen naar andere aspecten.
Aangezien de NCTV organisaties niet kan verplichten gegevens over digitale weerbaarheid te verstrekken, zal dataverzameling op vrijwillige basis moeten plaatsvinden. Als mogelijkheid om deelname en betrokkenheid van een groep organisaties uit kritieke sectoren te stimuleren, noemen de onderzoekers de meldplicht uit de Cyberbeveiligingswet. Deze wet is een vertaling van een Europese richtlijn, die een kader biedt om informatie te verzamelen over belangrijke cyberincidenten die de continuïteit of veiligheid van zogenoemde essentiële organisaties (zoals een elektriciteitsbedrijf) kunnen beïnvloeden. Met die informatie krijgt de NCTV meer inzicht in specifieke aspecten van digitale weerbaarheid. En daarmee kan het richting geven aan beleid om de digitale weerbaarheid van organisaties in Nederland te vergroten.
Bij dit rapport schreef het WODC deze aanbiednota.