Bepaal wie in de keten welk risico loopt

Gemeenten werken steeds meer samen in ketens en dat brengt risico’s met zich mee. Bij verstoringen kunnen producten of diensten mogelijk niet meer worden geleverd. De neiging is om bij risicoanalyses te kijken naar processen en systemen en niet naar ketens, schrijft de Informatiebeveiligingsdienst (IBD), maar dat moet wel. Het is belangrijk om te weten waar informatie vandaan komt, aan wie informatie wordt geleverd en welke eisen daaraan kunnen worden gesteld.

Anticiperen

‘We zijn traditioneel niet geneigd om in ketens te denken en nemen de input en output voor waar aan, als een gegeven.’ Maar aan de verschillende partijen kunnen verschillende eisen worden gesteld over de beschikbaarheid, integriteit en vertrouwelijkheid. ‘Ook bedreigingen en (rest) risico’s kunnen verschillend zijn en er is dus een gezamenlijk belang om die verschillen van elkaar te kennen zodat erop geanticipeerd kan worden’, schrijft de IBD in een nieuwe handreiking. Ook de cultuur en de ‘volwassenheid’ op het gebied van cybersecurity kunnen van belang zijn: hoe gaan organisaties of afdelingen om met informatieveiligheid?

Smart city

Een gemeente kan onderdeel zijn van een keten, maar binnen gemeenten kunnen ook ketens bestaan, als er bijvoorbeeld informatie uit het fysieke domein wordt gebruikt als stuurinformatie voor een afnemer. ‘Denk hier ook aan smart city concepten waar sensoren informatie vergaren waar andere processen of organisaties mee gevoed en bestuurd worden.' (Het gaat hier niet om ‘supplychain-aanvallen’, die een steeds groter risico vormen.)

Stappen

De methodiek, gebaseerd op informatie van de Cyber Security Raad, bestaat uit vijf stappen: bepaal de scope, beschrijf de ‘supply chain’, bepaal de impact van de verstoring, stel de omvang vast van de cyberdreigingen en zorg voor maatregelen en actieplannen.

Niet bewust

‘Ga met die gevonden informatie eerst eens in gesprek met de ketenpartners’, schrijft de IBD. ‘Misschien zijn zij zich niet bewust van jouw afhankelijkheid of omgekeerd, je bent zelf niet bewust van de gevolgen van eigen handelen / kwetsbaarheden voor anderen.’

Common Ground

De IBD verwacht dat Common Ground gaat zorgen voor ‘een verschuiving’ in de hier beschreven manier van werken, omdat de afhankelijkheid van verschillende processen toeneemt. ‘Gegevens staan niet meer in een silo maar bij een gegevensleverancier. Meerdere processen kunnen gebruik gaan maken van dezelfde data, en het principe van eenmalige opslag en halen bij de bron maakt dat men meer inzicht moet hebben in de ketens van gegevens leveranciers en afnemers.’