Wat hebben de coronacrisis en het recente rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over digitale weerbaarheid en ontwrichting met elkaar gemeen? Ze laten zien dat de werkelijkheid de modellen voor wat vitaal is en wat niet compleet heeft ingehaald.
Op donderdag 16 april buigt de Tweede Kamer zich over de brief van minister Grapperhaus (Justitie en Veiligheid), die beschrijft hoe het ministerie tegen de conclusies van de WRR en de Citrixkwestie aankijkt. Naar mijn mening mist die brief waar het werkelijk om gaat. De pogingen om digitale weerbaarheid te verbeteren zijn niet effectief en zullen dat met het huidige beleid ook niet worden.
Het is evident dat we afhankelijk zijn van goed werkende ICT. Thuiswerken, online leren en communiceren houden op dit moment een belangrijk deel van onze samenleving en economie gaande. Internet, datadiensten, ICT/Telecom, internettoegang en dataverkeer staan in de B-categorie van vitale diensten. De criteria voor deze categorie zijn dat er bij uitval sprake moet zijn van meer dan vijf miljard euro schade, 1,0 procent daling van het nationale inkomen, meer dan 1000 doden of meer dan 100.000 personen die maatschappelijke of sociale problemen ondervinden. Het lijkt op het eerste gezicht eenvoudig om te bepalen of een ICT dienst in de B-categorie valt. Is er sprake van één van de genoemde gevolgen? Dan is de dienst vitaal.
Vitale ICT-diensten niet goed in kaart te brengen
Het ministerie van Economische Zaken en Klimaat heeft ICT-afhankelijkheden conform dit model in lijstjes gevat. In het kader van de Wet beveiliging netwerk- en informatiesystemen (WBNI) zijn onder andere zoekmachines, de Stichting Internet Domein Nederland (SIDN) en het internationaal vermaarde internetknooppunt AMS-IX op de lijst geplaatst van essentiële diensten. Maar de ICT-werkelijkheid is een stuk ingewikkelder dan dit klaarblijkelijk verouderde model.
Niemand zal van ontwrichting spreken als we in plaats van DuckDuckGo Google Search moeten gebruiken. Een probleem bij SIDN betekent niet dat het internetdomeinsysteem, DNS niet langer werkt. Voor DNS is niet een specifieke partij verantwoordelijk. Het is een zodanig intrinsiek betrouwbaar en gedistribueerd systeem dat het al tientallen jaren alle hacks en storingen probleemloos blijkt te kunnen weerstaan. En toen de AMS-IX een aantal jaren geleden een probleem had bleef het Internet gewoon werken. Het werd iets langzamer maar er was zeker geen sprake van ontwrichting.
In de praktijk bestaan moderne ICT-ketens uit allerlei diensten met veel onderlinge afhankelijkheden. De impact van uitval kan daardoor worden overschat én onderschat. De WRR stelt in haar rapport dat door uitval van een op het eerste gezicht onbelangrijke component schade kan ontstaan die in de B- of zelfs A-categorie valt, als die uitval maar lang genoeg duurt.
In 2017 zorgde een hack bij rederij Maersk bijvoorbeeld voor uitval van hun directory server. Na een paar dagen stagneerde het vervoer van containers. Een kwetsbaarheid in Citrix, software voor werken op afstand zorgde er begin dit jaar voor dat tienduizenden mensen niet konden inloggen vanuit huis en in de auto moesten stappen. Met als resultaat krantenkoppen, de eerste ‘Citrix files’ en grote schade voor bedrijven.
De conclusie dringt zich op dat de klassieke aanpak: het precies in kaart proberen brengen van afhankelijkheden en het maken van lijsten met ‘vitale’ ICT-diensten, niet werkt. Het creëert schijnveiligheid. De verkeerde zaken komen op de lijstjes terwijl er een gerede kans is dat juist afhankelijkheden die er wel toe blijken te doen over het hoofd worden gezien. Die afhankelijkheden zitten onder andere bij cloud diensten, hosting en datacenters – die een rol spelen in in de digitale ketens van vrijwel elk modern digitaal of maatschappelijk proces.
Hybride aanpak digitale weerbaarheid noodzakelijk
De oplossing is het hanteren van een hybride model. Er is op zich niets mis met aanwijzen van enkele diensten die bij uitval evident tot ontwrichting kunnen leiden. Internet access van een grote telecomprovider of DigID zijn zulke diensten. Maar tegelijkertijd moet de weerbaarheid van online ICT die niet in de klassieke ‘vitaal’ lijstjes staat zoals hosting, cloud en datacenters in brede zin worden betrokken. Daar wringt thans de schoen.
Voor vitale diensten en voor alle overheids-ICT heeft het ministerie van Justitie en Veiligheid het Nationaal Cyber Security Centrum (NCSC) ingericht. Dat biedt ook operationele ondersteuning. Het helpt circa 190 overheidsorganisaties en aangewezen private partijen als het misgaat en informeert hen continu en proactief. Daarbij gaat het ook om informatie die slechts het NCSC exclusief tot zijn beschikking heeft.
Voor alle andere ICT-organisaties is er vrijwel niets geregeld. Zij hebben geen toegang tot essentiële informatie over kwetsbaarheden en dreigingen. Ze kunnen terecht bij het Digital Trust Center dat die informatie niet heeft en alleen algemene adviezen geeft, bedoeld voor het generieke MKB. Daar worden de hosters, cloud providers, datacenters en securitybedrijven niet veel wijzer van.
Verbreding inzet NCSC en DTC
Het is noodzakelijk dat die bedrijven ook kunnen rekenen op de rechtstreekse gerichte informatie en steun van het NCSC. Zij hebben ook groot belang bij de actuele dreigingsinformatie en de notificaties van abuse en kwetsbaarheden. Essentiële informatie die de overheid heeft of die alleen het NCSC in haar rol als Nationale CERT kan verkrijgen. Maar nu niet met hen mag of kan delen. Of hen niet eens bereikt omdat sommige informatie door bedrijven en overheden die de informatie van het NCSC krijgen weer niet verder aan hun leveranciers in de digitale keten mag worden doorgegeven.
Het NCSC moet haar operationele backoffice gaan openstellen voor het DTC en voor aanbieders van hosting, cloud, co-locatie en security. NCSC moet haar informatie daartoe gaan delen met gespecialiseerde sectororganisaties zoals de Nationale Beheersorganisatie Internet Providers (NBIP). Die op hun beurt de genoemde aanbieders van generieke diensten kunnen bedienen en hen gevraagd en ongevraagd van die relevante en gerichte informatie kan voorzien.
Daar mag ook tegenover staan dat er eisen worden gesteld aan kwaliteit en veiligheid bij zulke partijen. Er is bijvoorbeeld niets mis met verplichte certificering voor aanbieders die kunnen weten dat hun diensten onderdeel zijn van maatschappelijke processen in onderwijs, zorg, transport en meer. Daar is geen lijstje voor nodig. Een verplichting om zo’n risico-analyse te maken en passende maatregelen te nemen volstaat.
De herhaalde pogingen om de nieuwe wereld in oude denkkaders te modelleren is schadelijk en levert risico’s op voor de digitale weerbaarheid. Het is de hoogste tijd voor een aanpassing van het beleid!
Deze column van Michiel Steltman verscheen op 10 april 2020 bij iBestuur.