COVID-19
Terwijl u dit leest, bent u waarschijnlijk vanuit huis aan het werk omwille van COVID-19. In de afgelopen weken heb ik heel wat verhalen gelezen over het virus en voor mij keerde steeds dezelfde vraag terug: Wat is nu het echte probleem?
Sommige mensen denken dat het SARS-CoV-2-virus een complot is, anderen vinden de maatregelen overdreven terwijl er ook een groep mensen is die in constante angst leeft. Ongeacht wat mensen denken, we zitten allemaal in hetzelfde schuitje, of op dezelfde planeet om helemaal juist te zijn.
De huidige situatie in Nederland
Ik woon in Nederland en ik ben blij met de manier waarop onze overheid omgaat met de crisis. Aanvankelijk stond ik sceptisch tegenover de overheid omwille van het gebrek aan informatie of een goed plan. Daarom was het voor mij moeilijk om het echte probleem in te zien en om dezelfde reden volgden velen onder ons de richtlijnen van de overheid niet.
Pas toen de Minister President Mark Rutte het probleem over COVID-19 en de mogelijke oplossingen uitlegde op televisie, zag de maatschappij het probleem in. In eenvoudige termen legde hij uit wat het COVID-19-virus nu eigenlijk is, hoe het invloed heeft op onze levens en welke opties we hebben als maatschappij. Hij legde de volgende twee opties uit:
- Optie 1: We doen niets, heel wat mensen worden ziek tot er voldoende groepsimmuniteit is om het virus te stoppen. Als er met andere woorden voldoende mensen immuun zijn voor het virus, dan komt er een natuurlijke barrière in de groep om anderen te besmetten. Zolang er niet voldoende immuniteit is in onze gemeenschap zal de last op de schouders van ons medisch gezondheidssysteem zo hoog zijn dat er mensen zullen sterven omdat we niet voor hen kunnen zorgen tot er een behandeling of voldoende groepsimmuniteit is.
- Optie 2: We houden de verspreiding van het virus onder controle om de druk op ons gezondheidszorgsysteem weg te nemen. De verspreiding kan gecontroleerd worden dankzij ”social distancing”. Dat betekent dat we de sociale interacties beperken, groepsactiviteiten ontmoedigen en 1,5 meter afstand houden van elkaar. Als wij, als maatschappij, die regels opvolgen, dan kan het virus zich moeilijk verspreiden. Het aantal besmette personen wordt onder controle gehouden en ons gezondheidszorgsysteem kan zorgen voor de mensen die ernstig ziek zijn. Ondertussen zal de groepsimmuniteit geleidelijk aan toenemen in onze maatschappij en hopelijk vinden we snel een behandeling.
De keuze van de overheid gaat naar optie 2 om veel sterfgevallen te voorkomen.
Wat er zich afspeelde na de toespraak
Na de uitleg over het COVID-19-virus was er een ”aha”-ervaring in onze maatschappij omdat we het echte probleem nu ook inzagen en wisten wat de opties waren. De dag na de toespraak waren er twee belangrijke veranderingen in onze maatschappij:
- Vertrouwen in de overheid dat ze juist handelt
- De mensen volgden de regels die door de overheid opgelegd werden
Maar we hebben nog steeds heel wat vragen en we maken ons inderdaad allemaal zorgen over de economische impact, maar op dit moment hebben we het gevoel dat de situatie onder controle is en dat geeft ons wat meer tijd om na te denken over de volgende stappen.
Als de overheid het probleem niet goed kan aankaarten aan de maatschappij (en dat is gedeeltelijk wat er gebeurt in de VS), dan is er niet voldoende vertrouwen in de overheid om mensen te motiveren om juist te handelen, met alle gevolgen van dien.
Cybersecurity voor het OT-domein
Als business consultant inzake beveiliging ben ik gefascineerd door de verandering in ons gedrag na de toespraak van onze Eerste Minister. Is het zo eenvoudig? In eenvoudige woorden de kern van het probleem uitleggen samen met de reden waarom er voor een bepaalde aanpak gekozen wordt? Ik denk dat het antwoord is: ”Jazeker, zo eenvoudig is het.”
Vaak ervaar ik iets gelijkaardigs als ik met bedrijven praat over cybersecurity en in mijn geval dan cybersecurity voor het OT-domein (hetzelfde als het productiedomein). Cybersecurity in een bedrijf is maar zo sterk als de zwakste schakel. Met andere woorden: de beveiliging moet een bedrijfscultuur zijn die door elke werknemer ondersteund wordt. En dat wordt niet altijd begrepen. Maar al te vaak is cybersecurity een topic voor specialisten dat trapsgewijs met instructies overgebracht wordt naar de werknemers. Om de bedrijfscultuur te veranderen, moeten mensen het probleem inzien en begrijpen waarom sommige stappen gezet worden.
Het echte probleem voor cybersecurity
Maar voor je een probleem uitlegt aan collega’s, moet je eerst zelf de essentie van het probleem begrijpen en dat is niet altijd even gemakkelijk. Het probleem met beveiliging is niet welke firewall of welk softwarepakket ingezet moet worden. Ik heb het probleem voor cybersecurity als volgt gedefinieerd:
”Op basis waarvan, hoe en in welke mate moet ik investeren (werkelijk budget) in cybersecurity om een mate van blootstelling aan risico’s te realiseren die aanvaardbaar is voor mij en het bedrijf?”
Ik heb deze probleemstelling gekozen om de volgende redenen:
- U kunt het risico niet tot nul beperken. Als bedrijf moet u een zeker risico aanvaarden en ermee om kunnen gaan
- Om het risico te beperken tot een aanvaardbaar niveau is er budget nodig. Plannen hebben geen waarde als er geen budget beschikbaar is.
Met andere woorden: cybersecurity begint bij risico versus budget. Bedrijven die door Yokogawa ondersteund werden op basis van bovenvermelde probleemstelling waren in staat om een bedrijfsplan voor cybersecurity te ontwikkelen dat uitgelegd kon worden aan de werknemers, waarna ze het konden toepassen.
Bepaal het budget voor risicovermindering
Voor het bepalen van het budget om het risico te verminderen, zijn er drie dingen nodig:
- De ‘baseline’ van blootstelling aan risico – Wat is het huidige geïdentificeerde risico?
- Het beveiligingsdoel – Welke maatregelen wilt u invoeren om het risico te verminderen?
- Beleidslijnen en procedures om mensen te verbinden met technologie
Als alle drie de onderdelen ontwikkeld zijn, dan is de stap om het budget te berekenen niet meer zo moeilijk.
Levenscyclus voor OT-beveiliging
Yokogawa heeft een levenscyclus plan voor de OT-beveiliging ontwikkeld dat al deze stappen volgt. We voeren drie soorten risicobeoordeling uit: technisch, organisatorisch en operationeel om de baseline van risicoblootstelling te bepalen. Er zijn 30 best practice beleidslijnen en procedures beschikbaar, die geüpdate kunnen worden naargelang de wensen van het bedrijf. En we maken gebruik van de IEC62443 en de NIST om de beveiligingsdoelen te bepalen en de geschikte tegenmaatregelen te selecteren.
Dankzij ons levenscyclusprogramma helpen we onze klanten om gestructureerd het echte probleem te begrijpen, helderheid te krijgen waar ze op dit moment staan en waar ze in de toekomst naar toe willen en welke investering er nodig is om het risico te beperken tot een aanvaardbaar niveau. Met al die informatie kunt u in eenvoudige termen aan het management uitleggen wat het echte probleem is voor cybersecurity en waarom u voor een bepaalde aanpak heeft gekozen om het risico te beperken tot een aanvaardbaar niveau.
Mijn overtuiging
Ik besef dat vele mensen onder ons, inclusief ikzelf, momenteel heel wat andere problemen dan cybersecurity aan hun hoofd hebben. De impact van het virus zal ons allemaal raken en het leven zoals we dat gewend waren zal waarschijnlijk lange tijd niet meer hetzelfde zijn. Maar ik ben ervan overtuigd dat onze maatschappij veerkrachtig is als we elkaar steunen om deze uitdaging aan te gaan. Maar voor nu moeten we ons sterk houden en de regels volgen zodat we veilig blijven en hopelijk kunnen we het dan snel eens over cybersecurity hebben.