Het is oorlog, maar niemand die het ziet
Huib Modderkolk is een onderzoeksjournalist die al jaren artikelen schrijft in de krant over de onzichtbare, maar o zo invloedrijke wereld van de digitale beveiliging. Hij bundelde zijn verhalen en ervaringen in het boek ‘Het is oorlog, maar niemand ziet het’. De echte beveiligingskenners zullen afdingen op de inhoudelijke kwaliteit van het boek, maar het is ontegenzeggelijk een page turner van formaat. Het leest als een thriller over de digitale wereld van geheime diensten, afluisteren en mensen die niet durven te praten. Hij geeft ons een beetje een beeld wat partijen met (illegaal) afgetapte informatie kunnen doen en hoe kwetsbaar onze samenleving is, omdat alles met alles digitaal samenhangt.
Fysieke oorlog zonder bommen
Vanuit een assetmanagement-perspectief is vooral het onderdeel fysieke oorlog voeren zonder bommen te gooien, interessant. Dat gaat over de digitale controle door ongewenste partijen over vitale assets, zoals bruggen, sluizen, zeekeringen, zuiveringssystemen en gas- en energienetten. Deze partijen gebruiken hun digitale macht om fysieke en daarmee economische, of politieke schade toe te brengen. We weten allemaal dat de mens de zwakste schakel is in het systeem. We zijn slordig, we zijn lui en we moeten nog altijd zelf op de knop drukken om een update uit te voeren. Dat maakt ons gevoelig voor cyberaanvallen.
Werk aan de winkel
Al jaren worden er inventarisaties gemaakt door digitale specialisten om ons op de risico’s voor cyberaanvallen te wijzen. In het begin van dit jaar nog liet de Nederlandse Cyber Security Raad weten dat er werk aan de winkel is als het gaat om het op orde krijgen van Industrial Automation & Control Systems (IACS) bij de vitale infrastructuur. Voor niet-ingewijden klinkt dit mogelijk als een ver-van-mijn-bed-show, maar misschien wordt het iets concreter wanneer ik vertel wat onze IA-collega’s in hun werk aantreffen. Zij vertellen hoe de software bij vitale assets niet wordt geüpdatet, omdat het plat gezegd teveel geld kost om daar mensen op te zetten. Regelmatig komen ze in aanraking met software die al zoveel updates heeft gemist, dat het ondoenlijk is om daar nog iets serieus van te maken. Of dat de software niet geüpdatet kan worden, omdat er een koppeling is met een ander stuk software die daardoor gaat uitvallen. Ze vertellen ook hoe ze meewerken aan de bouw van een bedieningscentrale en dat de centrale nog niet eens is opgeleverd, maar dat de hardware al aan vervanging toe is.
Cybersecurity vast onderdeel binnen assetmanagement
Al dit soort verhalen zet het assetmanagementbrein toch aan het denken. Ja, het kan voordelig zijn om een centrale bediening op te tuigen. Je hebt minder vastgoed nodig, minder hardware, het personeel is multi-inzetbaar en het bevordert het samenwerken tussen verschillende organisaties, prima. Maar het leidt ook tot meer techniek met een relatief korte levensduur, dat weer moet worden onderhouden. Daarnaast moet alle software worden beveiligd en op tijd worden bijgewerkt om geen digitale deuren op te laten staan. En sinds de mens de zwakste schakel is, moet ook daar strikt op worden gestuurd en gecontroleerd. Het zijn deze zwakke punten die het kwaadwillenden zo makkelijk maken om binnen te komen. Cybersecurity kost geld, misschien zelfs wel veel geld. Dit is een aspect dat een standaard onderdeel moet zijn in de assetmanagement-afwegingen. We leven immers in een tijdperk waarin we steeds meer software toevoegen aan onze assets. Het mag niet zo zijn dat we als ingenieurs genieten van een nieuwe technische uitdaging en tegelijkertijd onze vitale assets op het digitale vlak kwetsbaarder achterlaten. Het kan ook niet zo zijn dat de mensen die over het geld gaan en tegelijkertijd weinig gevoel hebben bij het belang van cybersecurity, beslissen dat dit een post is waarvoor nu eventjes geen geld beschikbaar is. Dit zijn afwegingen die aan de voorkant van een nieuw project meegenomen moeten worden. Het is prima om een technische hoogstandje te bouwen, maar weet dat daar na oplevering ook een digitale beheerorganisatie bij hoort en dat die per definitie geld kost. Als je die informatie in je afweging meeneemt, zou het zomaar kunnen zijn dat een andere oplossingen beter uitpakt.
Nee, het valt niet mee
Mocht je nu denken: ‘Ach ja, cyber security, daar hebben we het wel eens over, maar als er een keer iets gebeurt, dan lossen we het dan wel weer op’, lees dan het boek Huib. Op die manier krijg je op een toegankelijke manier een beetje gevoel bij de zaak. En let dan vooral op de tijdspanne tussen het plaatsen van malware en het gebruik ervan.