Elke maand heeft Petra Oldengarm een blog in Security Management. Dit keer over het belang van testen en oefenen.
Het afgelopen half jaar is de wereld veranderd. Waar we in februari nog grotendeels onze schouders ophaalden bij het nieuws over het Corona-virus, ondanks de uitbraken in China en later ook Italië, veranderde dat half maart. Maar zelfs toen in het zuiden van Nederland de ziekenhuizen begonnen vol te stromen met Corona-patiënten leek het in de rest van Nederland nog een ver van mijn bed show. Inmiddels is dat anders en zitten we midden in een wereldwijde gezondheidscrisis die enorme economische, sociale en maatschappelijke gevolgen heeft.
En dat terwijl verschillende gezondheidsexperts al jarenlang waarschuwden voor een pandemie. Maar elke keer bleek het een gezondheidsincident (hooguit een epidemie) te zijn, maar geen gezondheidscrisis (pandemie). En konden we weer vrolijk verder met onze dagelijkse bezigheden.
Dezelfde paralellen zijn te trekken in de wereld van cybersecurity. Ook daar waarschuwen we al lange tijd voor de mogelijke digitale rampspoed die ons te wachten staat. Zo staat in het Cybersecurity Beeld Nederland 2020 (CSBN): “Net als in 2019 kan ook nu worden geconcludeerd dat de digitale dreiging een permanent karakter heeft en dat cyberincidenten kunnen leiden tot maatschappij-ontwrichtende schade. Hoewel maatschappelijke ontwrichting door cyberincidenten zich in Nederland nog niet heeft voorgedaan, valt dat in de toekomst niet uit te sluiten.” Toch halen deze alarmerende berichten van de overheid niet de voorpagina van de kranten en leiden ze maar zelden tot extra investeringen in cybersecurity.
Blijkbaar zijn we als maatschappij blind voor de waarschuwingen van de experts? Of het nou gaat over onze gezondheid of onze digitale kwetsbaarheid. Los van de vraag hoe dit komt, wil ik de vraag stellen: hoe bereiden we ons dan voor op incidenten en crises? Het krijgen van incidenten kun je namelijk niet managen, maar je kunt wel zorgen dat de impact van een incident zo klein mogelijk is waardoor de kans dat incidenten uitmonden in een crisis wordt verkleind.
Daarom is het belang van oefenen en testen zo belangrijk. Door te testen krijgen we inzicht in hoeverre onze digitale systemen en netwerken ook daadwerkelijk goed beveiligd zijn. Door te meten (testen) waar kwetsbaarheden zitten voorkomen we dat er een cyberincident ontstaat. We oefenen daarentegen op basis van een scenario. Door dit oefenen bekwamen we ons. Wanneer er daadwerkelijk sprake is van een incident weten we wat we moeten doen om te voorkomen dat een incident uitmondt in een crisis.
In de cybersecuritysector zit veel kennis over zowel testen als oefenen. Vanuit Cyberveilig Nederland willen we zo veel mogelijk van deze kennis inzetten. Zo zijn we onder andere bezig met een certificeringsschema rondom testen. Want je hebt een vulnerability scan en een vulnerability assessment. Je hebt red teaming en purple teaming. Allemaal kunnen ze worden ingezet om te testen, maar ze hebben allemaal een ander doel. Vanuit de sector vinden we het belangrijk om niet alleen aan te geven wat die verschillen zijn, maar ook om de kwaliteit van de verschillende testen meetbaar te maken. Zodat je zeker weet dat een test ook doet waarvoor je hem hebt ingezet: het vinden van kwetsbaarheden zodat je vervolgens maatregelen kunt nemen om weerbaarder te worden. Ook zijn we, met verschillende van onze leden, betrokken bij het maken van een interactieve oefentool vanuit de Cybersecurity Alliantie. Met de tool kun je als organisatie zelf een oefening in elkaar zetten die bij jou past. Ongeacht de grootte van je bedrijf en de ervaring die je (nog niet) hebt met oefenen. Op deze manier proberen we om het oefenen van een digitaal incident net zo vanzelfsprekend te maken als de jaarlijkse brandoefening bij organisaties.
Zo ben je tenminste goed voorbereid als er een incident optreedt. En door te testen en te oefenen beperken we het risico dat een incident kan uitgroeien tot een crisis.
Het artikel is te lezen via: https://www.securitymanagement.nl/petra-oldengarm-wanneer-verandert-een-incident-in-een-crisis/