In onze gedigitaliseerde wereld zijn er nog maar weinig diensten die niet deels, of zelfs volledig, afhankelijk zijn van IT. Dan is het belangrijk om je als organisatie goed voor te bereiden op het mogelijk uitvallen van de essentiële diensten, een black-out. Dit lijkt logisch en vanzelfsprekend. Maar hoe doe je dit? En kan dit in de praktijk eigenlijk wel?
Bij een black-out denken we al snel aan langdurige uitval van essentiële voorzieningen zoals; elektriciteit, water, telecommunicatie en bedrijfskritische technologie. Deze kunnen ontstaan door bijvoorbeeld menselijke fouten, technische storingen, cyberaanvallen, overbelasting van kritische netwerken zoals stroom en internet en natuurrampen. Bij een complete black-out kunnen de gevolgen verstrekkend zijn, maar ook een korte stroomstoring en/of even geen internet door een (tijdelijke) uitval van systemen en services kan zorgen voor ongemak.
Een goede voorbereiding en uitvoerbaar black-out preventiebeleid is noodzakelijk voor de instandhouding van je bedrijfsvoering. Je moet hierbij niet alleen denken aan hoe je het voorkomen van verstoringen intern hebt geregeld. Ook het opnemen van een black-out preventiebeleid in contracten en samenwerking met je ketenpartners is hierbij van groot belang.
Stel, je staat in de lift en alle stroom valt uit. Dan heb je niets aan een digitale alarmknop. In dit simpele voorbeeld zie je het effect van een stroomuitval binnen de keten van diensten die achter die knop schuilgaan. Diensten waarop de mens vaak, zonder het te beseffen, vertrouwt. Geen stroom, geen alarmknop, geen melding, geen alarmdienst en geen hulp. Trek deze redenering door naar je bedrijf en bedenk van welke ketenpartners en IT-middelen je bedrijfsvoering afhankelijk is. Met de volgende drie praktische tips heb je een eerste opzet, om je op weg te helpen naar een uitvoerbaar en valide preventiebeleid.
Een black-out betekent voor de meeste organisaties dat de primaire bedrijfsvoering onverwacht (kort of langdurig) stil komt te liggen, wat voor desastreuze gevolgen kan zorgen. Dit geldt niet alleen voor bedrijven en instellingen die tot de kritieke infrastructuur van Nederland horen. Denk bijvoorbeeld ook aan een supermarktketen die te maken krijgt met een pinstoring.
Wat jij zelf kunt doen
Veel organisaties denken na over back-ups en noodscenario’s. Datacenters en netwerkverbindingen zijn redundant uitgevoerd en er zijn afspraken gemaakt met serviceproviders over de performance. Ziekenhuizen beschikken bijvoorbeeld over noodaggregaten en voldoende diesel om het een tijdje uit te zingen. Dit geldt ook voor bedrijven die afhankelijk zijn van een 24/7 operatie, zoals nutsvoorzieningen, internetproviders en zorginstellingen. Waarborg je continuïteit dus door essentiële onderdelen in kaart te brengen, potentiële risico’s in te schatten én te zorgen voor een back-up plan om je continuïteit zoveel mogelijk te waarborgen.
Objecten als energiecentrales, waterzuiveringsinstallaties en sluizen worden nauw gemonitord en dit beheer is in hoge mate geautomatiseerd. Om dit voor elkaar te krijgen zijn IT (informatietechnologie) en OT (operationele technologie) steeds meer met elkaar geïntegreerd. Dit brengt echter ook een kwetsbaarheid met zich mee; kwaadwillenden die via IT-systemen binnendringen, zouden hierdoor mogelijk ook toegang kunnen krijgen tot de OT. Zorg dus dat IT en OT systemen altijd up-to-date zijn om communicatie en integratie tussen deze systemen te kunnen waarborgen.
Wat kun jij zelf doen
Wat je ziet, is dat steeds meer organisaties apart naar OT gaan kijken. Dit wil zeggen; apart OT-beleid, OT-maatregelen en een OT-CISO. Dit omdat dreigingen ook fundamenteel anders kunnen zijn. Denk bijvoorbeeld aan een Programmable Logic Controller (PLC), een digitaal, elektronisch apparaat dat wordt gebruikt voor de automatisering van industriële processen. Dit is echter geen IT. Het heeft andere interfaces en dus ook andere kwetsbaarheden om te beschermen. Door apart naar je OT beleid te kijken en aparte acties en maatregelen in geval van een black-out op te zetten, zorg je voor een veiliger black-out preventiebeleid.
Maakt Nederland zich zorgen over een black-out? Hoe groot achten we de kans op een black-out? Worden er voldoende maatregelen genomen om te kunnen blijven functioneren in geval van een black-out? Uit onderzoek van Strict blijkt dat de angst voor een black-out en de (mogelijke) gevolgen hiervan op onze samenleving wel degelijk leeft onder de bevolking én bij bedrijven in Nederland. Het gaat dan voornamelijk om de angst voor onderbreking van nutsvoorzieningen (56%), verlies van toegang tot financiële diensten (53%) en uitval van communicatiediensten (52%).
Nederland krijgt ook steeds vaker te maken met grote landelijke storingen, bijvoorbeeld de recente veroorzaakt door een updatefout bij Crowdstrike en een softwarefout bij Defensie. Dit toont aan dat een black-out wel degelijk op de loer ligt. Door in kaart te brengen wat de mogelijke oorzaken en gevolgen zijn van een black-out voor jouw organisatie, zorg je ervoor dat je zo goed mogelijk weet wat je te doen staat mocht het zich voordoen:
Een black-out voorkomen is helaas niet mogelijk, maar door het ontwikkelen en hanteren van het juiste black-out preventiebeleid ben je gegarandeerd voorbereid.