Cyber Security Raad: digitale weerbaarheid Nederland lastig te meten
Het is niet eenvoudig om vast te stellen hoe het met de digitale weerbaarheid van Nederland is gesteld en in welke mate de Nederlandse Cybersecurity Agenda (NCSA) daaraan beeft bijgedragen. Dat stelt de Cyber Security Raad (CSR) in een advies aan het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het ministerie van Justitie en Veiligheid.
De NCSA werd in 2018 opgesteld en bestaat uit zeven ambities die zijn uitgewerkt in doelstellingen en maatregelen en samen door overheid en bedrijfsleven zullen worden uitgevoerd. Jaarlijks wordt de Tweede Kamer geïnformeerd over de voortgang van de uitvoering van de agenda. Volgend jaar zal er een brede evaluatie van de NCSA plaatsvinden, met als belangrijkste uitkomst of, en in welke mate de agenda bijdraagt aan de digitale weerbaarheid in en van Nederland.
Volgens de CSR is het niet zo eenvoudig om vast te stellen hoe het met de digitale weerbaarheid is gesteld en of, en in welke mate, de agenda daaraan heeft bijgedragen. Dit heeft verschillende redenen. "In de eerste plaats is de impact van veiligheidsinterventies altijd lastig te meten, omdat veiligheidsinterventies tot doel hebben incidenten te voorkomen. Uitgebleven incidenten zijn lastig te meten", stelt de Raad.
Wanneer incidenten wel zijn te meten, rijst de vraag of deze zijn uitgebleven als gevolg van genomen maatregelen of door anderen zaken, of misschien zelfs wel door toeval. Verder is het lastig om een benchmark of meeteenheid te vinden voor het meten van digitale weerbaarheid. Daarnaast kent de NCSA drie verschillende doelgroepen namelijk burgers, bedrijven en vitale sectoren. Dit zal weer voor vragen zorgen over verschillen en overeenkomsten van metingen en meetinstrumenten.
Een andere uitdaging op het gebied van digitale weerbaarheid is het ontbreken van een "nulmeting" voordat de agenda van start ging. "Dit betekent dat het uitdagend is om de situatie anno 2021 rondom digitale weerbaarheid in Nederland te vergelijken met die van 2018. Zo lang niet bekend is vanuit welke startpositie met maatregelen is aangevangen, is het meten van resultaten geen optie", laat de CSR weten.
De Raad adviseert het ministerie van Justitie en Veiligheid dan ook om geen kwantitatieve meting uit te laten voeren, maar voor een andere aanpak te kiezen. Die aanpak bestaat uit een literatuurstudie, een quickscan van beleidsevaluaties op het terrein van cybersecurity in binnen- en buitenland, en een Nominal Group techniek waarbij experts worden ondervraagd.
De CSR benadrukt dat het hier om een advies gaat. De Cyber Security Raad is een nationaal en onafhankelijk adviesorgaan van het kabinet en bestaat uit vertegenwoordigers van publieke en private organisaties en de wetenschap (pdf).
Domme zelfingenomen directeuren en bestuurders zijn een ramp voor de Nederlandse weerbaarheid op het gebied van cybersecurity.
Veiligheid als in de tijd van het houten geweertje dus, we gaan nog wat beleven, als ik het zo op me laat inwerken.
J.O.
Veiligheid als in de tijd van het houten geweertje dus, we gaan nog wat beleven, als ik het zo op me laat inwerken.
J.O.
Addendum: het meest frustrerende was dat ze goede architecten in huis hadden, maar deze werden veelal genegeerd op goede inzichten.
Walgelijke spelletjes worden er achter de schermen gespeeld.
Domme zelfingenomen directeuren en bestuurders zijn een ramp voor de Nederlandse weerbaarheid op het gebied van
cybersecurity.
Niet alleen voor de Nederlandse weerbaarheid op het gebied van cybersecurity. Maar daar zal je wel mee eens zijn.
De overheid reageert nu eenmaal veel trager. Grote private organisaties ook. Het moet over vele schijven en dat kan behoorlijk frustrerend zijn, ik ken dat gevoel. Het is dan van belang om het via de juiste kanalen en processen te communiceren. Het zijn net olifanten waar je aan trekt en zodra ze eenmaal op gang zijn zijn ze niet meer te stoppen omdat er dan iemand op zit die het als taak / inkomen heeft en dan weer tekeer gaat als een olifant in een porseleinkast.
De risico analyse en het kostenplaatje wordt op een ander niveau uitgevoerd. (zie ook CISSP)
Wat helpt is in ieder geval dan een gedegen voorstel van hoe het beter zou kunnen.
Niettemin dient zoiets vastgelegd te worden in het security incident proces zover dat uberhaupt aanwezig is.
Ik heb mij erbij neergelegd dat de wereld nu eenmaal niet logisch is en dat er vele belangen afgewogen worden en een ieder zijn eigen realiteit ziet en wij ook niet alle ins en outs weten (geen kritiek naar jou, maar eerder mijn persoonlijke view).
De wereld en alle daarbij behorende processen bestonden al voor je komst op deze aardbol of voordat je je entree deed binnen dat bedrijf.
Je dient daar echt tegen te kunnen wanneer je een functie bekleed gerelateerd aan ICT Security.
Waar je alleen heel erg voor moet oppassen is dat je de zwarte of witte of gekleurde piet niet toegespeeld krijgt zodra de hel losbarst. Dus vooral vastleggen en communiceren via de daartoe bestemde kanalen en het incidentnummer en de email vooral goed bewaren.
Het is bijna een kunst om onder die omstandigheden je beroep goed uit te oefenen.
Ik ben in ieder geval blij dat ik dat zo afgehandeld had.
Maar ja ik ken dat gevoel als de beste. Bijzonder frustrerend zeker als je Nederland een graadje hoger wilt tillen op dat gebied. Je zal heel veel geduld moeten hebben....
En nee dat ga je niet versnellen door een ramp te veroorzaken. Misschien voor een paar maanden maar dan loop je risico op celstraf en jaren inkomsten verlies die je nog had kunnen incasseren. Mocht je überhaupt die gedachte hebben.
Houd de emoties laag en hou het vooral zakelijk anders is het gauw einde carrière. Maar dit geldt in principe voor bijna elk beroep. Of distantieer je.
Dat waren mijn persoonlijke belevenissen.
Dat leren ze je helaas niet op school... welkom in de wonderlijke wereld genaamd REALITEIT.
Ik hanteer 1 spreekwoord: "Als het overal naar stront ruikt, ben je het waarschijnlijk zelf"
Innerlijke balans is alles.
En nogmaals het is een algemeen verhaal en geen kritiek op jou als adviseur.
[quoteVolgens de CSR is het niet zo eenvoudig om vast te stellen hoe het met de digitale weerbaarheid is gesteld en of, en in welke mate, de agenda daaraan heeft bijgedragen. Dit heeft verschillende redenen. "In de eerste plaats is de impact van veiligheidsinterventies altijd lastig te meten, omdat veiligheidsinterventies tot doel hebben incidenten te voorkomen. Uitgebleven incidenten zijn lastig te meten", stelt de Raad.[/quote]
Het is toch belachelijk dat de CSR zoiets moet zeggen en uitleggen?
Welk gevaar loop je als je een peuterklas zonder toezicht laat functioneren?
De peuters gaan spelen met lucifers
De peuters verdrinken in 20 cm water.
Ze eten de krijtjes op
De peuters worden weggenomen door kwaadwillenden
Er bevinden zich onbevoegden op de peuterzaal
De peuters gaan met elkaar gooien
Er valt niet te bewijzen welke peuter waaraan zat met zijn tengels
Alle peuters zijn weggelopen met het materiaal van die peuterzaal
Kwaadwillenden lopen de peuterzaal op en vernietigen alles wat maar kan
Daarom doen wij investeringen in peuterzalen... we willen niet dat de peuters wat overkomt of dat de peuters zelf stoute dingen doen.
En dan vragen wij ons ook niet af hoeveel die beveiliging nou eigenlijk heeft opgeleverd.
En daar denken we niet eens over na. We nemen zelf ook maatregelen voor onze huizen en grenzen. Het hoort er nou eenmaal bij.
Het draait om RISK MITIGATION.
En daarbij wil ik zeker niet het Nederlandse volk met peuters vergelijken.
Doen we niks dan kunnen we er zonder meer op wachten.
En deze hele discussie is ontstaan omdat er vroeger nooit mee rekening gehouden werd.
En er nu dus een zekere inhaalslag te verrichten is waarbij investeringen helaas worden gezien als kostenplaatjes.
Daar waar er eigenlijk bij design dit al in de aanvankelijke projectkosten door berekend had moeten worden. Het is nu achteraf en en vergt ook onderhoud.
Een inhaal slag in gedachten goed is al heel wat...De wil en het als het nieuwe normaal beschouwen ..
Ik hoop van harte dat bij elk nieuwe initatief, ICT security inclusief wetgeving een vast onderdeel is waarbij rekening wordt gehouden ..nu en in de toekomst.
Dieven worden ook slimmer en ook je deuren en sloten hebben onderhoud nodig en een upgrade.
TC
<<<< Goh!? Klinkt als een vrij complex werkstuk zonder simpel antwoord vanaf het beginnaan toch?
Audits (checken nalopen etc) en "pentesting" audits zijn de enige manier om dit echt uit te zoeken. vervolgens moet je risico management toepassen, Laten we dit even voor heel nederland doen.....
<<<< Goh!? Klinkt als een vrij complex werkstuk zonder simpel antwoord vanaf het beginnaan toch?
Audits (checken nalopen etc) en "pentesting" audits zijn de enige manier om dit echt uit te zoeken. vervolgens moet je risico management toepassen, Laten we dit even voor heel nederland doen.....
Het is niet eenvoudig om vast te stellen hoe het met de digitale weerbaarheid van Nederland is gesteld en in welke mate de Nederlandse Cybersecurity Agenda (NCSA) daaraan beeft bijgedragen.
Eens maar voor deze rapportage waren ze een paar fases te laat. Niettemin zijn dat acties die inderdaad ondernomen hadden en moeten genomen worden.
TC
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
