In het boek ‘The Black Swan, the impact of the highly impropable’ beschrijft Nassim Nicholas Taleb het fenomeen van de zwarte zwaan. Een zwarte zwaan is een onverwachte gebeurtenis die enorme impact heeft en achteraf uitlegbaar is. Extreme voorbeelden zijn bijvoorbeeld 9/11 en de Eerste Wereldoorlog.
Een ‘zwarte zwaan’ heeft drie belangrijke kenmerken. Ten eerste is het een onverwachte gebeurtenis. Het lag buiten de reguliere verwachtingen, niets uit het verleden wees overtuigend op het bestaan van de mogelijkheid. Ten tweede heeft de gebeurtenis extreme impact. En ten derde, mensen zijn – ondanks de buitengewoon onverwachte status – geneigd de gebeurtenis achteraf als voorspelbaar en verklaarbaar te ervaren (perceptie).
Een zwarte zwaan, hoezo schuilt deze in iedere gemeente? 2017 is inmiddels halverwege en terugkijkend zijn er vast gemeenten geweest die met een zwarte zwaan te maken hebben gehad in de vorm van een onverwacht (groot) cyber incident.
Ik ga geen voorbeelden noemen. In plaats daarvan wil ik het hebben over de mogelijkheden om te leren in de toekomst met zwarte zwanen om gaan. Want, kunnen gemeenten goed omgaan met een zwarte cyberzwaan? In zijn boek beschrijft Taleb het menselijk onvermogen om op acceptabele wijze met het onwaarschijnlijke of onverwachte om te gaan.
Gemeenten kunnen de impact van zo’n zwarte zwaan in ieder geval kleiner maken. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) benoemt een aantal processen die gemeenten kunnen helpen om de effecten van zwarte cyberzwanen te verminderen:
Patch management: een van de laatste ransomware aanvallen had voorkomen kunnen worden door het installeren van patches. Daarnaast geldt: er zijn voortdurend gaten die worden gedicht, de gemeente moet een proces hebben om hier mee om te kunnen gaan.
Hardening: het verminderen van (overbodige) functionaliteit waardoor een aanvaller minder kans krijgt een systeem te verstoren. Dus uitschakelen van ongebruikte netwerk protocollen, maar ook het verwijderen van software die toch niet wordt gebruikt op een systeem.
Cyber security incident management: incidenten zullen altijd optreden. Of je nu wel of niet actief bent met de BIG, er is altijd risico en ‘restrisico’. Daarmee moet je om kunnen gaan het security incident management proces goed in te richten.
Bedrijfscontinuïteitsmanagement (BCM): als er dan toch een grote ramp optreedt moet je daar mee om kunnen gaan. BCM gaat over de continuïteit van de dagelijkse operatie en of dienstverlening. Hoewel je met BCM kijkt naar bekende rampen helpt het je ook bij het voorbereiden tegen het onverwachte. Dit moet je dan ook oefenen, en niet alleen op papier.
Overigens, zou een cyberaanval echt volledig onverwacht zijn? Volgens mij zijn er een aantal ontwikkelingen gaande die die kans erop vergroten. Denk aan het Internet of Things, en de toename en het goedkoper worden van malware. Maar ook de zero days, die bepaalde diensten wel kennen maar de gemeenten niet.
Zijn er nu nog gemeenten die denken ‘wij hebben nooit een ransomware-aanval gehad, dus hoeven we er ook niet op voorbereid te zijn?’
Jule Hintzbergen, Adviseur (IBD)