Het meten van de digitale weerbaarheid van Nederlandse organisaties blijkt voorlopig slechts beperkt mogelijk. Dat komt naar voren uit een verkennend onderzoek van RAND Europe, uitgevoerd in opdracht van het Wetenschappelijk Onderzoek- en Datacentrum (WODC). Hoewel er verschillende methoden bestaan om deelaspecten van digitale weerbaarheid in kaart te brengen, ontbreekt het momenteel aan een aanpak die een volledig, betrouwbaar en valide totaalbeeld oplevert.

Het vergroten van de digitale weerbaarheid van organisaties is een belangrijk speerpunt binnen de Nederlandse Cybersecuritystrategie 2022-2028. In dat kader onderzocht RAND Europe of en hoe die weerbaarheid meetbaar kan worden gemaakt. Het onderzoek richtte zich op de mogelijkheden en beperkingen van bestaande meetmethoden, op mogelijke indicatoren en op de waarde van de gegevens die daarmee kunnen worden verzameld. Het doel was nadrukkelijk niet om al een uitgewerkte meetmethode op te leveren voor de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), maar om de contouren te schetsen waarbinnen zo’n methode in de toekomst zou kunnen ontstaan.

Buitengewoon complex

Volgens de onderzoekers is het beoordelen van digitale weerbaarheid buitengewoon complex. Het gaat niet alleen om technische aspecten zoals systemen, netwerken en software, maar ook om procedures, organisatiecultuur, kennis en gedrag van medewerkers en externe afhankelijkheden, bijvoorbeeld van leveranciers en ketenpartners. Daar komt bij dat technologie en dreigingen zich voortdurend en in hoog tempo ontwikkelen, waardoor metingen snel verouderen. Systemen zijn bovendien vaak zo omvangrijk en ingewikkeld dat het praktisch onmogelijk is om alle kwetsbaarheden volledig te testen. Ook minder tastbare factoren, zoals de mate van veiligheidsbewustzijn binnen een organisatie en de sociale dynamiek tussen medewerkers, spelen een rol maar zijn moeilijk objectief meetbaar.
Het onderzoek concludeert daarom dat er op dit moment geen methoden bestaan die al deze elementen samenbrengen in één compleet en betrouwbaar beeld van de digitale weerbaarheid van organisaties. Wel kunnen organisaties op deelgebieden inzicht verkrijgen, vooral met kwalitatieve methoden. RAND Europe analyseerde achttien bestaande benaderingen die elk op hun eigen manier aanknopingspunten bieden voor een toekomstige meetmethode.

Stap voor stap

Welke aanpak het meest geschikt is, hangt sterk af van het doel dat men wil bereiken. Als het gaat om het vaststellen of basismaatregelen zijn ingevoerd, kan bijvoorbeeld worden gekeken naar programma’s zoals het Britse Cyber Essentials. Wanneer het doel is om te bepalen in hoeverre organisaties in staat zijn om cyberincidenten te voorkomen, te detecteren, erop te reageren en ervan te herstellen, sluiten internationale normen zoals ISO-raamwerken beter aan. Voor meer diepgaande, sectorspecifieke inzichten kan een benadering worden overwogen die lijkt op modellen die TNO ontwikkelde voor de financiële sector, waarbij prestaties in realistische scenario’s worden beoordeeld.
De onderzoekers adviseren de NCTV om bij het ontwikkelen van een toekomstige meetmethode stapsgewijs te werk te gaan. Een mogelijke eerste stap is het formuleren van een eenvoudige en breed toepasbare maatstaf, bijvoorbeeld gericht op het herstelvermogen van organisaties na een cyberincident. Van daaruit kan de meetmethode worden uitgebreid naar andere aspecten van digitale weerbaarheid, zoals preventie, detectie en respons.

Gerichter beleid ontwikkelen

Een belangrijk aandachtspunt is dat de NCTV organisaties niet kan verplichten om gegevens over hun digitale weerbaarheid aan te leveren. Dat betekent dat dataverzameling in principe op vrijwillige basis moet plaatsvinden. Wel zien de onderzoekers kansen in de meldplicht die voortvloeit uit de Cyberbeveiligingswet, de Nederlandse uitwerking van een Europese richtlijn. Deze verplicht organisaties in vitale en essentiële sectoren om ernstige cyberincidenten te melden. De informatie die daarmee beschikbaar komt, kan de NCTV waardevolle inzichten geven in kwetsbaarheden, weerbaarheidsniveaus en trends.
Met die kennis kan gerichter beleid worden ontwikkeld om de digitale weerbaarheid van Nederlandse organisaties structureel te versterken. Het onderzoek maakt duidelijk dat een allesomvattende meetlat voorlopig nog ontbreekt, maar dat er voldoende bouwstenen zijn om in de toekomst tot een meer samenhangende en effectieve manier van meten te komen. In een tijd waarin cyberdreigingen steeds groter en complexer worden, is dat geen luxe, maar een noodzakelijke stap om de veiligheid en continuïteit van organisaties beter te waarborgen.