Steeds meer mensen maken zich zorgen om de digitale weerbaarheid van Nederland, deel je deze zorg?
“Met een steeds grotere afhankelijkheid van ICT wordt de kans op ontwrichting door een verstoorde werking van diezelfde ICT groter. En het versterken van de digitale weerbaarheid in Nederland is dan ook een terecht thema in de i-strategie 2021-2025. Nu moet ik wel zeggen, dat het bij de gedefinieerde risico’s zeker niet alleen om statelijke actoren gaat. Het gevaar komt niet uitsluitend uit Iran of Rusland. In feite is toch ook vaak de boekhouder binnen een onderneming een risico. Als het om de sluitpost beveiliging gaat wordt vaak naar de leveranciers gewezen, maar zoals oud-minister Grapperhaus al constateerde, zijn de eigen afwegingen in het securitybeleid uiteindelijk net zo goed debet aan de kwetsbaarheden. We zijn vaak nog te goed van vertrouwen en investeren te weinig. Zoals overigens ook uit het duidingsrapport van Hof van Twente na een ransomware aanval bleek. Dit geldt ook voor wat ik noem de groeiende digitale dementie, zoals we leerden met de affaire over een bonnetje van een oud-officier van Justitie die daar uiteindelijk over struikelde. Politieke ontwrichting doordat we te goed van vertrouwen zijn is dan ook evenzeer een risico in de digitale weerbaarheid. Vooral het belang van goede archivering wordt vaak onderschat.”
Hoe kunnen we de digitale weerbaarheid van Nederland vergroten?
“Zoals gezegd is het goed dat eindelijk de olifant in de kamer ter sprake komt. En als ik kijk naar de speerpunten in de i-strategie 2021-2025, dan zou ik eerst beginnen met het inventariseren van hoe groot deze olifant eigenlijk is. Digitale weerbaarheid gaat namelijk niet om het voorkomen van incidenten, maar om je aan te passen aan een gemis, doordat je een alternatief op de plank hebt liggen. Ik moest dus glimlachen toen er paniek uitbrak met een tekort aan toiletpapier omdat daarmee een aloude wijsheid naar voren kwam dat je pas weet wat je hebt als je het mist. Ofwel: als pas na een incident blijkt dat de back-up niet goed functioneerde, dan ben je te laat. En die verantwoordelijkheid ligt niet bij de vendor of het externe datacenter.”
Licht dat eens toe?
“Simpel gezegd zullen we ons moeten richten op de back-up. Daarbij geldt dat het idee hierover wel zal moeten worden aangepast, omdat we sinds het gebruik van internet en de opkomst van externe datacenters in allerlei processen andere risico’s hebben dan voorheen. De 3-2-1 methodiek uit de jaren 80 is toe aan een modernisatie. Tenslotte is de back-up vaak als het sparen van de toiletrolletjes omdat iemand daar ooit om vroeg. En er wordt vaak keurig een back-up gemaakt, maar er wordt niet getest of de dienstverlening ermee mee hersteld kan worden. Of er is geen back-up vanwege miscommunicatie tussen klant en leverancier over verantwoordelijkheid en kosten.”
Er wordt dan snel naar de vendors gewezen…
“Wat betreft het vingerwijzen naar de leveranciers zijn inmiddels de kosten verschoven. Kijk bijvoorbeeld eens naar de compliance costs in de informatiebeveiliging, waarbij het steeds meer om data governance gaat. Dit gaat helaas ook gepaard met nieuwe risico’s, zoals ransomware. Zo beginnen kosten van software niet alleen uit de pas te lopen met de kosten van hardware door licentiemodellen, de inzet van cloud en SaaS en onderhoudscontracten, maar ook door de lifecycles.”
Er is nog veel laaghangend fruit voor IT-afdelingen te oogsten
Wat zou er volgens jou moeten veranderen aan de back-up?
“Ervan uitgaande dat het middel van de back-up een rol heeft in de digitale weerbaarheid, zou ik als eerste een weerbaarheidsscan doen om de olifant te dimensioneren. En waar mogelijk de back-up afslanken door op de juiste wijze te archiveren. Het is dus belangrijk wanneer je met een 3-2-1-strategie werkt, dat je geen historische last meesleept. Dat gaat namelijk werken als een molensteen qua kosten, zonder dat dit waarde heeft.
Dit is iets dat menig back-up-leverancier je ook niet vertelt als die een belang heeft in de grootst mogelijke omvang van de olifant met een ‘pay-per-use’-model op basis van volumes. Er is dus nog veel laaghangend fruit voor IT-afdelingen te oogsten. Realiseer je dat data jarenlang simpelweg bewaren in feite archiveren is – maar archivering heeft alleen zin als je informatie ook terug kunt vinden. Door middel van metadata, bijvoorbeeld.”
Je moet data classificeren?
“Inderdaad. Fujitsu heeft daarom samen met Veritas een dienst ontwikkeld die data rubriceren ongeacht waar deze zijn opgeslagen. Want hoewel iedereen weet dat je moet classificeren zit iedereen naar elkaar te kijken om het te doen. Daardoor is de digitale weerbaarheid afhankelijk van de investeringen die je doet. Anders heb je niet de macht om iets voor elkaar te krijgen en blijf je kwetsbaar voor ransomware.”
[Dit artikel is eerder gepubliceerd in Datacenter Cloud Dossier 2022]