In een wereld waar het fysieke en digitale domein steeds meer met elkaar zijn vervlochten, is cybersecurity al lang geen statisch concept meer. Dreigingen en risico’s evolueren voortdurend, wat organisaties dwingt om flexibel te blijven. Een veelgemaakte fout is risico's en dreigingen als synoniemen te zien. Het verschil begrijpen is cruciaal voor de weerbaarheid, veerkracht én wendbaarheid van organisaties in het digitale tijdperk.
Twee verschillende grootheden
Een dreiging is een potentiële bron van schade of gevaar voor een organisatie[1], zoals een hacker, een foutje of kwetsbaarheid in een systeem, of een natuurramp. Iets wat kan leiden tot een verstoring, reputatieschade of financieel verlies. Het is een abstract concept: de mogelijkheid dat er iets misgaat. Een risico is in essentie de kans op schade of verlies gecombineerd met de impact die deze schade op de organisatie heeft[2]. Simpel gezegd: de kans dat een dreiging werkelijkheid wordt en daadwerkelijk schade veroorzaakt in de organisatie.
Waarom is het onderscheid tussen dreiging en risico zo belangrijk? Omdat het bepalen van de juiste maatregelen niet enkel gebaseerd moet zijn op het herkennen van dreigingen, maar juist op het inschatten van risico's. Je hebt immers weinig invloed op dreigingen, maar kunt wel de impact en waarschijnlijkheid van risico's minimaliseren door weerbaar, veerkrachtig en wendbaar te zijn.
Weerbaarheid als sleutelbegrip
Weerbaarheid kent verschillende definities. In de Wet weerbaarheid kritieke entiteiten (Wwke/CER) luidt de omschrijving als volgt: ‘het vermogen van een kritieke entiteit om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van een incident’.
Volgens de AIVD[3] is weerbaarheid het ‘vermogen om tegenstand te bieden aan dreigingen door de kans dat dreigingen zich voordoen te verkleinen, de schade te beperken in het geval dreigingen zich toch manifesteren en adequaat herstel mogelijk maken’.
De NCSC [4] definieert het begrip in vergelijkbare termen: ‘het vermogen om risico’s tot een aanvaardbaar niveau te brengen door middel van een verzameling van maatregelen om cyberincidenten te voorkomen en wanneer cyberincidenten zich hebben voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken’.
De gemene deler is enerzijds het bieden van tegenstand en anderzijds, als een organisatie geraakt is, schade te beperken en te herstellen. In essentie gaat het om het vermogen van een organisatie om operationeel te blijven ondanks stressvolle of uitzonderlijke omstandigheden. Denk bij het bieden van tegenstand tegen risico’s primair aan firewalls, detectiesystemen en andere verdedigingsmechanismen die voorkomen dat aanvallers een systeem binnendringen. Een weerbaar systeem is als een fort: het vangt klappen op en probeert die zo goed mogelijk af te weren. Maar in de moderne digitale wereld is tegenstand bieden alleen niet genoeg. Dreigingen veranderen constant, en hetzelfde geldt voor de methodes en tactieken van aanvallers. Dit betekent dat statische verdedigingsmechanismen, hoe robuust ook, uiteindelijk kwetsbaar worden. Vandaar dat ‘schade beperken’ en ‘adequaat herstel’ in termen van veerkracht en wendbaarheid minstens zo belangrijk zijn.
Veerkracht: herstellen en sterker worden
Veerkracht gaat een stap verder dan sec tegenstand bieden en geeft nadere invulling aan het aspect van ‘schade beperken’. Naast het afweren van aanvallen gaat het ook om het vermogen om snel te herstellen en zelfs beter te worden na een verstoring. Een veerkrachtige organisatie leert van een incident of crisis en komt sterker terug. Hier komen mens, processen en technologie samen. Na een aanval reflecteert en evalueert de organisatie, trekt lessen en neemt of wijzigt eventuele beheersmaatregelen. Denk hierbij aan het (nader) opleiden en trainen van personeel, het verbeteren van incident-, crisis- of herstelplannen en het implementeren van detectie- en responsmechanismen.
Wendbaarheid: snel en efficiënt reageren
Omdat dreigingen constant in beweging zijn, dienen organisaties, systemen etc. zich snel te kunnen aanpassen. Denk aan een proces of systeem dat een melding over een kwetsbaarheid direct verwerkt, zodat maatregelen genomen kunnen worden nog voordat het risico toeslaat. Te denken valt aan afspraken over 24/7 wacht- of piketdienst. Dit vergt idealiter een dynamische infrastructuur en bovenal medewerkers en (crisis)teams die snel kunnen schakelen.
Deze wendbaarheid is in feite de verbindende schakel tussen weerbaarheid en veerkracht. Dan is een organisatie niet alleen in staat om klappen op te vangen en te herstellen, maar ook om real-time te reageren en proactief veranderingen door te voeren wanneer dat nodig is. Zonder wendbaarheid loopt zelfs de meest veerkrachtige organisatie het risico verstrikt te raken in verouderde systemen, processen, etc.
Zoeken naar de perfecte balans
In een snel veranderende wereld van digitale dreigingen is het vinden van de juiste balans tussen weerbaarheid, veerkracht en wendbaarheid essentieel. Weerbaarheid combineert meerdere strategieën en zorgt er in eerste instantie voor dat aanvallen afgewend worden; veerkracht expliciteert het vermogen te herstellen van aanvallen; wendbaarheid maakt - als verbindende schakel of conditio sine qua non - het mogelijk om snel te reageren en zich aan te passen aan nieuwe dreigingen.
Organisaties die inzetten op een smalle benadering van weerbaarheid (‘bieden van tegenstand’), lopen het risico te stagneren. Terwijl organisaties die te veel focussen op veerkracht (door bijvoorbeeld een (te) hoge risicobereidheid) of wendbaarheid (en mogelijk te laat reageren), mogelijk kwetsbaar zijn voor directe aanvallen. Daarom is het verstandig om in cybersecurity een integrale aanpak te hanteren waarin weerbaarheid, veerkracht en wendbaarheid elkaar versterken.