Ik heb zo het vage vermoeden dat ik weinig bijval zal oogsten als ik het volgende experiment voorstel: Een bestuurder rijdt in zijn of haar auto geblinddoekt door een gemeente. Met het experiment willen we achterhalen hoe snel een ongeluk zich voordoet. Om de spanning een beetje te verhogen voeren we af en toe de snelheid op. In mijn experiment reageren de hulpdiensten achter 112 overigens niet. Want wanneer het misgaat, dekt de verzekering eventuele schade.
Onzin! Toch? In zo’n situatie keert een verzekeraar helemaal niets uit en komen de hulpdiensten bij zo’n melding echt wel opdagen. Tenminste, zo werkt het in de fysieke wereld. Toch is de gedachte zo idioot nog niet. Dergelijke ‘experimenten’ worden aan de lopende band gedaan met digitale dossiers. Hierbij verdringen verzekeraars elkaar om voor een habbekrats het CYBER-risico te dekken. No questions asked. En het gekke is dat de bestuurders inderdaad geblinddoekt over de digitale snelweg crossen, blind voor alle gevaren.
Dat werd me onlangs pijnlijk duidelijk, toen ik mijn rapportage voor de gemeente Hof van Twente schreef naar aanleiding van de ransomware-aanval. Het bestuur dacht helder zicht te hebben op de situatie. Er was een penetratietest uitgevoerd, er waren ENSIA-documenten en het beheer was in goede handen bij een beheerpartij. Er waren kortom geen zorgwekkende signalen en ICT leek goed te lopen. Tot de aanval de realiteit helder maakte: er bleken geen goede back-ups, er was geen netwerksegmentatie, er was onduidelijkheid over rolverdeling en RDP in combinatie met een slecht wachtwoord maakte een aanval mogelijk. De pentest miste het cruciale signaal dat RDP open stond. Daarnaast dekken de ENSIA-documenten niet alles.
Bij veel incidenten zie je deze factoren terugkomen; falende stuurinformatie is eigenlijk een trend. En het is niet de bedoeling om je hierover publiek te uiten. Dat onze manier van pentesten en de verslaglegging een probleem zijn, belichtte ik hier al eerder. Deze casus van Hof van Twente illustreert dat. Inmiddels is CCV met een keurmerk gekomen, maar die gaat dit probleem niet oplossen. Dus gaan we vrolijk door met het verstrekken van informatie, waar je eigenlijk niet op kunt sturen.
Ook bij de dienstverleners, die de ICT-operatie ondersteunen, is goede verslaglegging en het leveren van de juiste signalen niet goed ingeregeld. Dus zetten we bestuursleden geblinddoekt in een auto met de opdracht: plankgas! Wie verwacht dat dit op een ramp uitdraait – en wie ziet dat niet?! – en de online-equivalent van 112 belt, krijgt de Autoriteit Persoonsgegevens aan de lijn. Zij zijn niet slagvaardig genoeg om al deze roekeloze rijders van de weg te halen.
In plaats van een experiment, doe ik een voorspelling: We gaan nog heel veel digitale crashes zien, voordat het tot ons doordringt dat we in een informatiesamenleving moeten sturen op informatie van het type ‘relevant’.
Lees ook:
- Wachtwoord Welkom2020 veroorzaakte hack Hof van Twente
- Bescherm uw kostenbesparingen met Back-up-as-a-Service
