duizend woorden Een beeld zegt meer dan Cyber security De totstandkoming van het Cyber Security Beeld Nederland

Transcriptie

1 Een beeld zegt meer dan duizend woorden De totstandkoming van het Cyber Security Beeld Nederland Koen Sandbrink, Nationaal Cyber Security Centrum, NCTV Het Nationaal Cyber Security Centrum (NCSC) werkt samen met publieke en private partijen aan het verbeteren van de digitale weerbaarheid van Nederland. Om te weten waar die verbetering nodig is, is het belangrijk een beeld te hebben van de toestand van cyber security in Nederland. Daartoe geeft het NCSC jaarlijks het Cyber securitybeeld Nederland (CSBN) uit. Dat is geen sinecure; cyber security is niet zo eenvoudig meetbaar te maken. Hoe komt het CSBN ieder jaar tot stand? En hoe zorgt het NCSC ervoor dat het beeld gedragen wordt door andere deskundigen in Nederland? Een beeld In juni 2013 werd het derde CSBN voltooid. Het CSBN is niet alleen een belofte van de Minister van Veiligheid en Justitie aan de Tweede Kamer, het vervult ook een behoefte. Organisaties in heel Nederland willen hun belangen beschermen tegen de dreigingen die er bestaan. Daarvoor hebben zij inzicht nodig in de dreigingen, en om maatregelen te kunnen rechtvaardigen willen zij zichzelf kunnen meten met de geldende maatstaven voor weerbaarheid. Het CSBN speelt in op die behoefte en hanteert daarbij een driehoekig model: de belangen, dreigingen en weerbaarheid worden tegenover elkaar gesteld, en middenin de driehoek bevinden zich de manifestaties. Maar niet alle relevante informatie laat zich ophangen aan die driehoek. De wereld van ICT is continu in beweging en cyber security evolueert navenant. De nieuwste trends en technieken verdienen aparte aandacht en krijgen die ook in de vorm van verdiepingskaternen. Zo is er een katern over denial-of-service - (DDoS-)aanvallen, zoals die het afgelopen jaar herhaaldelijk in het nieuws zijn geweest. Toch speelt er beduidend meer dan alleen de grote incidenten waar de media verslag van doen. Uit eigen ervaringen, maar ook talloze externe bronnen wordt een zo nauwkeurig mogelijke analyse gegeven van de stand van zaken. De belangrijkste conclusie is dat de afhankelijkheid van ICT steeds verder toeneemt, terwijl de weerbaarheid daar niet gelijk mee opgaat. Maar voordat die conclusie getrokken is, is er een aantal uitdagingen te overwinnen. De cijfers De grootste uitdaging die zich ieder jaar herhaalt bij het samenstellen van het CSBN is het verzamelen van cijfermateriaal. Het NCSC onderhoudt hiervoor contact met een groot aantal partijen. De academische wereld, brancheorganisaties en de antivirusindustrie hebben 4

2 gegevens die van toegevoegde waarde kunnen zijn voor het CSBN. Niet alles is echter bruikbaar. Over de economische schade als gevolg van een gebrek aan cyber security bijvoorbeeld is al veel gepubliceerd, maar de schattingen lopen uiteen van enkele tientallen miljoenen tot vele miljarden euro per jaar, terwijl dergelijke onderzoeken soms een solide fundament ontberen. Aan het NCSC de taak om het kaf van het koren te scheiden. Wanneer de bronnen zijn geselecteerd en alle gegevens zijn verzameld, kan het beeld worden samengesteld. Ook daarbij houdt het NCSC contact met de vele publieke en private partijen waarmee het structureel overlegt. Dit heeft een tweeledig doel. Door partijen enerzijds vroeg in het proces te betrekken kunnen zij hun visie geven op de actualiteit, wat de kwaliteit van het document ten goede komt. Anderzijds gaan zij zich sterker betrokken voelen bij de boodschap, wat ervoor zorgt dat ten tijde van de publicatie, zij de conclusies ook onderschrijven. Manifestaties De derde editie van het CSBN rapporteert over de periode april 2012 tot en met maart Relevante ontwikkelingen tot en met mei 2013 zijn ook meegenomen, daarbij hoofdzakelijk doelend op de media-aandacht rondom verscheidene DDoS-aanvallen in april. Dergelijke gebeurtenissen manifesteren zich wanneer er een dreiging bestaat waartegen de weerbaarheid onvoldoende is. Het NCSC analyseert de laatste trends om juist die zwakke plekken te kunnen benoemen. De trend dat steeds meer apparaten verbinding maken met het internet niet alleen telefoons maar ook auto s en koffiezetapparaten wordt ook wel hyperconnectiviteit genoemd, en leidt ertoe dat er ook steeds meer plaatsen zijn waarop de samenleving kwetsbaar is voor cyberaanvallen. De gevolgen van verstoring van dergelijke systemen zijn niet altijd in te schatten: het kan beperkt blijven tot enig ongemak, of organisaties geheel platleggen. Maar wie verantwoordelijk is voor de beveiliging ervan is vaak niet van tevoren duidelijk. En dan is er ook nog de verandering in het dreigingslandschap. Computervirussen zijn geen eenvoudige ziekmakers meer, ze proberen onopvallend te blijven om de besmette computer te misbruiken voor het versturen van spam- , of blokkeren de toegang en eisen losgeld. Gebruikers, bedrijven en overheden staan voor steeds nieuwe uitdagingen en moeten daarop toebereid zijn. Met het CSBN hoopt het NCSC het daarvoor zo broodnodige inzicht te kunnen bieden. Het volledige Cyber securitybeeld Nederland 3 is te downloaden via Belangrijkste bevindingen Cyber securitybeeld Nederland 3 1. De afhankelijkheid van ICT neemt toe door ontwikkelingen als cloudcomputing en alles wordt met het internet verbonden. 2. Digitale spionage en cybercriminaliteit blijven de grootste dreigingen voor overheid en bedrijfsleven. 3. Hulpmiddelen voor criminelen worden steeds professioneler en beter beschikbaar binnen een criminele cyberdienstensector. 4. Malware weet antivirussoftware steeds beter te omzeilen; computers raken besmet met ransomware en maken deel uit van botnets. 5. ICT-producten blijven onverminderd kwetsbaar; ze kunnen gehackt worden of met malware besmet raken. 6. Gebruikers krijgen steeds meer verantwoordelijkheid, maar weinig mogelijkheden om hun ICT veilig te beheren. 7. Er zijn diverse publieke en private initiatieven om de weerbaarheid te vergroten. 8. Verstoringen in ICT zijn nadrukkelijk zichtbaar geweest, bijvoorbeeld door DDoS-aanvallen. 9. Veel organisaties hebben basismaatregelen zoals patchmanagement nog steeds niet op orde. 10. De dynamische wereld van cyber security vereist een nieuwe aanpak. 5

3 David van Duren en Esther van Beurden, Nationaal Coördinator Terrorismebestrijding en Veiligheid De Nationale Cyber security Strategie 2: Nederland zet in op wereldtop met cyber security Op 28 oktober 2013 bij de start van de Alert Onlinecampagne, lanceerde Minister Ivo Opstelten van Veiligheid en Justitie de Nationale Cyber security Strategie 2 (NCSS2). Nu structuren staan zoals het Nationaal Cyber Security Centrum, is het zaak om verder te bouwen aan netwerken en strategische coalities (publiek privaat, nationaal internationaal). Nederland zet samen met partners in op een veilig digitaal domein waarin kansen van digitalisering worden benut, dreigingen het hoofd worden geboden en fundamentele rechten beschermd. Daarbij zal er worden gezocht naar een goede wisselwerking tussen veiligheid, vrijheid en maatschappelijke groei met de ambitie dat Nederland tot de wereldtop behoort op het terrein van cyber security. Bij de totstandkoming van de NCSS2 zijn circa 130 publieke en private partijen betrokken. Binnen Europa loopt Nederland voorop in de wijze waarop wordt ingespeeld op technologische trends en het effectief gebruik van ICT-middelen en -vaardigheden. Nederland is een internationaal internetknooppunt, heeft de meest competitieve internetmarkt ter wereld en één van de hoogste online gebruikersdichtheden. Voor het goed kunnen functioneren van de Nederlandse samenleving is het waarborgen van de digitale veiligheid en vrijheid en het behouden van een open en innovatief cyberdomein een belangrijke randvoorwaarde. Daarom is begin 2011 de eerste Nationale Cyber security Strategie (NCSS1) verschenen. Doel van de NCSS1 was om een integrale cyber security-aanpak te realiseren met als kern publiek-private samenwerking. De NCSS1 was voornamelijk een actieprogramma. Eind 2012 heeft de overheid besloten om tot een update van de nationale cyber security strategie te komen. Hieronder de belangrijkste redenen hiervoor. - Een steeds verdere verbreding van de context van cyber security. Cyber security is steeds meer verweven met thema s op het terrein van cyber space, zoals mensenrechten, internetvrijheid, internet regelgeving, privacy, innovatie en maatschappelijke groei (zowel de economische als sociale voordelen die digitalisering biedt). - Een steeds groter wordende internationalisering van cyber security. Op het niveau van de VN, NAVO en de EU zijn er steeds meer initiatieven die werken aan normen, regelgeving en wetgeving op het terrein van cyber security. In het bijzonder is voor Nederland daarbij belangrijk de EU cyber security strategie en richtlijn. - Het verder invulling geven aan rollen en verantwoordelijkheden van de overheid, bedrijfsleven en burgers op het terrein van cyber security. Het uitgangspunt is daarbij dat verantwoordelijkheden zoals die in het fysieke domein gelden ook in het digitale domein genomen moeten worden. - De noodzaak voor een nieuw actieprogramma. Het proces van de totstandkoming van de NCSS1 is in december 2012 gestart met een kerngroep van vertegenwoordigers van de meest betrokken ministeries, Nederland-ICT, VNO-NCW en het CIO-platform. Deze kerngroep heeft de bouwstenen aangeleverd voor de NCSS2 die vervolgens zijn voorgelegd aan zo n 130 partijen (publieke en private partijen, kennisinstellingen en maatschappelijke organisaties) en met behulp van onder andere twee brede werksessies meer handen en voeten zijn gegeven. Nadrukkelijk is in het proces de dialoog met de bredere ICT-community gevoerd. Op verzoek van het kabinet heeft daarnaast de Cyber Security Raad, bestaande uit vertegenwoordigers van publieke en private partijen en wetenschap, geadviseerd over de koers van de nieuwe strategie. Met de NCSS2 wordt ingezet op een brede kabinetsvisie op cybersecurity, gericht op het verder versterken en bundelen van de krachten van betrokken publieke en private partijen, zowel nationaal als internationaal. 6

4 De NCSS2 gaat achtereenvolgens in op de kansen, dreigingen en uitdagingen in het digitale domein en beschrijft hoe Nederland hiermee wil omgaan. Deze visie is vertaald in een aanpak met daarbij een actieprogramma voor de periode Hieronder het kader met facts en figures. Facts & figures - In 2012 telde Nederland 12,3 miljoen internetgebruikers. - Nederland heeft s werelds meest competitieve internetmarkt en het op één na hoogste percentage computers per huishouden (94% van de huishoudens). - Nederlanders lopen voorop in het gebruik van innovatieve digitale diensten: 95% procent van de Nederlandse jongeren gebruikt sociale media; Nederland is koploper op het gebruik van internetbankieren in Europa en in 2012 winkelden circa 10 miljoen Nederlanders online. - De omzet van de Nederlandse ICT-sector in Nederland was 29,8 miljard euro in 2011 (5% van het BBP). - De ICT-sector is de meest innovatieve sector van Nederland. Meer dan twee/derde van de ICTbedrijven had onderzoeks- of innovatieve activiteiten in de periode Nederland functioneert als Digital Gateway to Europe. Nederland staat samen met Duitsland en het Verenigd Koninkrijk in voor 18% van het wereldwijde internetverkeer door de aanwezigheid van drie grote internetknooppunten (Amsterdam, Berlijn en Londen). In de afgelopen jaren is meer zicht gekomen op de dreigingen en kwetsbaarheden in het cyber domein. Volgens het Cyber Security Beeld Nederland 3 gaat de grootste dreiging uit van staten en van criminelen. Staten vormen vooral een dreiging in de vorm van diefstal van vertrouwelijke of concurrentiegevoelige informatie (cyberspionage), criminelen richten zich met name op digitale fraude en diefstal van informatie. Door de toegenomen complexiteit, afhankelijkheid en kwetsbaarheid van ICT-gebaseerde producten en diensten is onze digitale weerbaarheid tegen deze, en andere cyberdreigingen nog onvoldoende. Naast deze dreigingen hebben we ook te maken met nieuwe ontwikkelingen in het cyberdomein. Zo zijn bijvoorbeeld grote internationale private spelers een belangrijke factor geworden bij het bepalen van de spelregels in het cyberdomein en is er een grotere verwevenheid van de civiele en militaire domeinen. Daarnaast stevenen we af op het internet der dingen (alles is verbonden aan het internet) en hyperconnectiviteit (alles wordt met elkaar verbonden). Daarbij geldt een steeds toenemende hoeveelheid in digitale vorm beschikbare data en de interesse in het verkrijgen van die data. Deze ontwikkelingen maken een volgende stap in de aanpak van cyber security nodig. Dit op basis van de volgende visie. Nederland zet samen met zijn internationale partners in op een veilig en open cyberdomein, waarin de kansen die digitalisering onze samenleving biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd. De NCSS2 geeft daartoe de aanzet voor een nieuw governancemodel. Het uitgangspunt is daarbij dat verantwoordelijkheden zoals die in het fysieke domein gelden ook in het digitale domein genomen moeten worden. (Zelf )regulering, transparantie en kennisontwikkeling zijn belangrijke sturingsmechanismen om de interactie tussen de betrokken partijen overheid, bedrijfsleven en burger te laten leiden tot een hoger niveau van cyber security. Deze concepten zijn in verschillende vormen verweven in de strategie. De overheid zal een nadrukkelijker rol gaan spelen in het cyberdomein. Enerzijds door zelf te investeren in de veiligheid van de eigen netwerken en diensten. Anderzijds door partijen bij elkaar te brengen en beschermend op te treden als de veiligheid van bedrijven en burgers of de privacy van die laatste wordt bedreigd. Waar nodig zal de overheid kader- en normstellend optreden, bijvoorbeeld waar het gaat om veiligheidsvereisten aan vitale diensten en processen. Van burgers wordt een zekere mate van cyberhygiëne (het toepassen van basis-veiligheidsvereisten) en eigen verantwoordelijkheid verwacht. De overheid faciliteert dit samen met het bedrijfsleven door het verbeteren van de digitale vaardigheden en het benadrukken van de zorgplicht van bedrijven en overheden richting hun klanten. Ook ICT-producten en -diensten moeten veilig zijn. Bedrijven en overheden moeten aanspreekbaar zijn op hun verantwoordelijkheid. Ook moeten zij transparant zijn over wat ze in het kader van cyber security aan maatregelen nemen en hoe ze omgaan met de gegevens van gebruikers. Het kabinet stelt zich ten doel dat burgers en bedrijven in 2017 hun zaken met de overheid digitaal en veilig kunnen afhandelen. De geschetste integrale benadering (met betrokkenheid van alle partijen), gericht op de samenhang tussen veiligheid, vrijheid en maatschappelijke groei zal Nederland ook internationaal uitdragen. 7

5 NCSS1 Publiek-Privaat partnership Focus op structuren Benoemen multi-stakeholder-model Capaciteitsopbouw nationaal gericht Generieke benadering: breed inzetten op weerstand verhogende maatregelen Uitgangspunten benoemen Van onbewust naar bewust NCSS2 Privaat-Publieke participatie Focus op netwerken/strategische coalities Verduidelijken onderlinge verhoudingen stakeholders 1 Capaciteitsopbouw zowel nationaal als internationaal gericht Risico gebaseerde benadering: balans tussen bescherming belangen, dreiging belangen en geaccepteerd risico voor de samenleving (Beleids)visie weergeven Van bewust naar bekwaam 2 In bovenstaande tabel wordt in hoofdlijnen de stap weergegeven die met de NCSS2 wordt gemaakt. Om bovenstaande beweging mogelijk te maken omvat de NCSS2 ook een concreet actieprogramma Belangrijke prioriteiten binnen het actieprogramma zijn als volgt. 1. Inzet op vitaal In het kader van de aanpak voor de bescherming van de vitale infrastructuur zal de overheid samen met vitale partijen in beeld brengen welke ICT-afhankelijke systemen, diensten en processen vitaal zijn. Daarnaast zal er een verkenning worden uitgevoerd in hoeverre het realiseren van een gescheiden ICT-netwerk voor (publieke en private) vitale processen op technisch en organisatorisch vlak mogelijk en wenselijk is. 2. Versterking civiel-militaire samenwerking De mogelijkheden worden uitgewerkt om digitale capaciteiten van Defensie nationaal in te zetten bij het voorkomen en afweren van aanvallen op de civiele infrastructuur. Kernvraag daarbij is hoe kennis en expertise optimaal gedeeld kunnen worden tussen civiele partijen en Defensie. 3. Gedragen standaarden en security en privacy by design De overheid zal samen met private partners inzetten op het ontwikkelen van standaarden die gebruikt worden om de veiligheid van ICT-producten en -diensten te verbeteren en privacy te beschermen. 4. Cyberdiplomatie: kennisknooppunt voor conflictpreventie Nederland zet in op de ontwikkeling van een kennisknooppunt op het gebied van internationaal recht en cybersecurity met als doel het bevorderen van het vreedzaam gebruik van het cyberdomein. 5. Taskforce cybersecurity onderwijs Om de pool van cybersecurity experts te vergroten en de cybersecurity vaardigheden van gebruikers te versterken zullen bedrijfsleven en overheid de handen ineenslaan voor een beter aanbod van ICT-onderwijs binnen zowel het lager, hoger als professioneel onderwijs. Er zal een PPS taskforce Cybersecurity Onderwijs worden ingesteld, die zich richt op advisering over het cybersecurity onderwijsaanbod. De ambitie van de regering en Nederland op het terrein van cybersecurity is groot. Deze ambitie weerspiegelt het belang en de kansen van ICT voor onze samenleving en onze economie, evenals de huidige dreigingen en risico s. Een gezamenlijke inspanning van alle betrokkenen is nodig, waarbij eenieder zijn eigen verantwoordelijkheid moet nemen. Daarom zal ook de komende periode intensief samengewerkt blijven worden met alle betrokken partijen om samen Nederland één van de veiligste, vrije en innovatieve digitale samenlevingen ter wereld te maken. De NCSS2 en het Cybersecuritybeeld Nederland 3 zijn te vinden op: index.aspx 1 Voor bedrijven, overheid en burger worden de volgende rollen/verantwoordelijkheden onderscheiden. - De interveniërende overheid: faciliteren, beschermen en sturen. - De bekwame burger: cyberhygiëne en eigen verantwoordelijkheid. - Verantwoordelijke bedrijven: zorgplicht en aanspreekbaar op verantwoordelijkheid. 2 Niet alle partijen in de Nederlandse samenleving zijn zich voldoende bewust van cyber security. Aandacht hiervoor blijft nodig. 8

6 Hans Oude Alink, coördinator crisisbeheersing, directie Cyber Security en NCSC; senior beleidsmedewerker Ministerie van Economisch Zaken Roeland de Koning, projectleider versterking crisisorganisatie, directie Cyber Security en NCSC; Managing Consultant Security, Capgemini Consulting ICT-crisisbeheersing: nieuwe loot aan de stam binnen de NCTV Het altijd kunnen beschikken over open, veilige en stabiele ICT, is een randvoorwaarde voor het ongehinderd functioneren van onze samenleving. Mocht het onverhoopt misgaan, dan is ICT-crisisbeheersing een belangrijke schakel in het herstellen van de situatie. ICT-crisisbeheersing ICT-crisis is een betrekkelijk nieuw fenomeen binnen het ambacht van crisisbeheersing. De casus DigiNotar (2011), de eerste en tot nu toe enige ICT-crisis, heeft duidelijk laten zien dat ook uitval van niet levensbedreigende maar wel maatschappelijk cruciale voorzieningen, snel kan leiden tot grote verstoringen. Het is te verwachten dat er in de toekomst een nieuwe ICT-crisis zal ontstaan waarbij opnieuw opgeschaald moet worden naar een crisisorganisatie. Binnen de NCTV zijn naast het NCC twee onderdelen die zich specifiek bezig houden met ICT crisisbeheersing. De Directie Cyber Security (DCS) en het Nationaal Cyber Security Centrum (NCSC) hebben de ambitie om op dat moment samen met haar publieke en private partners klaar te zijn voor een daadkrachtige aanpak. Verschillende rollen De NCTV en in het bijzonder de directeur Cyber Security (DCS) draagt zorg voor het onderwerp cyber security. Tijdens een ICT-crisis wordt gewerkt volgens het Nationaal Handboek Crisisbesluitvorming, het Nationaal Crisis Plan-ICT en het crisishandboek van de NCTV. Uitgangspunt bij ICT-crisisbeheersing is zo veel mogelijk aan te sluiten op de nationale crisisstructuur. Hierin passend is door DCS/NCSC een operationeel crisishandboek geschreven. Bij een (dreigende) ICT-crisis is de directeur DCS verantwoordelijk voor de overall aansturing van de crisisorganisatie van de NCTV binnen de nationale crisisstructuur. DCS behandelt de crisis op strategisch en tactisch niveau. Het NCSC biedt operationele coördinatie ten aanzien van de respons en heeft daarnaast een adviserende en informerende rol richting de crisisbesluitvormingsstructuur. Ministeriële Commissie Crisisbeheersing (MCCb) Nationaal Kernteam Crisiscommunicatie (NKC) Interdepartementale Commissie Crisisbeheersing (ICCb) Landelijke Operationele Staf (LOS) ICT Response Board (IRB) Adviesteam (AT) NCSC DCC EZ Departementale Coördinatiecentra (DCC s) Nationaal Crisiscentrum (NCC) Landelijk Operationeel Coördinatiecentrum (LOCC) Vitale sectoren Rijksdiensten Binnenlands bestuur Veiligheidsregio s Het Nationaal Crisisplan-ICT (NCP-ICT) beschrijft de rollen en verantwoordelijkheden van publieke partijen. In dit plan worden de specifieke ICT-verantwoordelijken ten opzichte van het generieke crisisbesluitvormingsproces weergegeven (zie bovenstaand schema) 12

7 Binnen NCTV zorgt DCS/ NCSC ervoor dat Nederland in staat is een ICT-crisis effectief aan te pakken door: 1 preparatie van DCS /NCSC DCS/ NCSC beschikken over interne procedures voor opschaling, verzorgen een opleidingstraject voor de eigen medewerkers en participeren in oefeningen; 2 faciliteren van de ICT Response Board (IRB) het NCSC faciliteert de IRB, het publiek-private adviesorgaan voor de nationale crisisbesluitvormingsstructuur op het gebied van ICT-crisis. De IRB wordt komend jaar verder uitgebreid met diverse experts om een hoog waardig advies te kunnen geven over de bron en impact van een ICT-crisis; 3 nationale samenwerking tijdens crisis cruciaal in de versterking van ICT-crisisbeheersing is het inrichten van een stelsel van samenwerkingsverbanden op nationaal niveau. Daarom maakt DCS/ NCSC met de organisaties in de nationale crisisstructuur en publieke en private partners afspraken op welke wijze wordt samengewerkt tijdens een crisissituatie; 4 internationale samenwerking ICT-crises kennen geen grenzen, dus neemt Nederland deel aan internationale ICT-crisisoefeningen. Vanuit DCS/ NCSC is Nederland actief binnen de EU en in het International Watch and Warning Network (IWWN). De internationale samenwerkingsverbanden op dit terrein worden komend jaar verder versterkt. Wanneer opschalen tijdens (dreigende) ICT-crisis? DCS/NCSC kan opschalen op basis van een kwalitatieve beoordeling van de impact op de nationale veiligheid dan wel de maatschappelijke ontwrichting van de vitale belangen zoals territoriale veiligheid, economische veiligheid, ecologische veiligheid, fysieke veiligheid, sociale en politieke stabiliteit. Deze impact en ontwrichting kan veroorzaakt worden door vier oorzaken: 1 technische complexiteit: in hoeverre is een incident in technische zin beheersbaar; 2 impact op de vitale bedrijfsvoering van overheid of bedrijven in vitale sectoren: in hoeverre is het incident schadelijk voor de voortgang van vitale processen; 3 beleidsmatige en politieke verantwoording: op welke wijze lijdt een incident tot grote maatschappelijke verstoring of onrust en vraagt dit aandacht van de politiek en het beleid; 4 aandacht in de media: op welke wijze krijgt een incident aandacht in de media en wordt de aandacht groter? Drie opschalingsniveaus DCS/NCSC onderkent drie opschalingsniveaus bij een ICT-crisis. 1 Reguliere organisatie Als er sprake is van (dreigingen van) incidenten met een geringe (potentiële) impact op de nationale veiligheid, dan worden deze via het reguliere werkproces van het NCSC opgevangen en afgehandeld. 2 Interne opschaling In geval een (dreiging van een) incident groter wordt en het een significante (potentiële) impact heeft op de nationale veiligheid, dan kan worden besloten tot een tweede (interne) opschaling: binnen het NCSC zal een team zich specifiek gaan richten op dit incident. 3 Nationale crisisstructuur Indien op basis van de criteria de situatie wordt beschouwd als een intersectorale crisis waarbij de nationale veiligheid in geding is of kan zijn en die noopt tot een interdepartementaal gecoördineerd optreden van de rijksoverheid, zal verder worden opgeschaald tot het derde (nationale) niveau. Binnen het NCSC wordt dan een crisisteam ingesteld dat onderdeel is van de nationale crisisstructuur. Het NCSC verzorgt de operationele coördinatie van de partners bij de bestrijding van de ICT-component van de crisis. De directeur Cyber Security is verantwoordelijk voor de overall aansturing van de crisisorganisatie van de NCTV binnen de nationale crisisbesluitvormingsstructuur. Specifieke kenmerken van een ICT-crisis: - de zichtbaarheid van de impact - de impact van een ICT-crisis is veelal niet direct zichtbaar doordat gegevens in systemen geraakt worden en de juistheid en/of beschikbaarheid zich pas later manifesteert; - de snelheid waarmee een ICT crisis zich manifesteert - een ICT-crisis kan van het één op het andere moment gebeuren (aan/uit) of verspreidt zich als een veenbrand; - hoewel er ervaring is met DigiNotar is er in zijn algemeenheid weinig ervaring en bekendheid met het afhandelen van ICT-crises; - bij het aanpakken van de oorzaak tijdens een ICT-crisis is de overheid grotendeels afhankelijk van het handelen van private partijen; - het is aannemelijk dat de crisis een internationaal karakter heeft, waarbij de oorzaak van de grootschalige verstoring in het buitenland kan liggen, in meerdere landen tegelijkertijd kan optreden, of waarbij de oorzaak mogelijk (mede) in Nederland ligt; - veel ICT-diensten en voorzieningen zijn bij derde partijen uitbesteed waardoor er een aanzienlijke afstand kan ontstaan tussen degene die het probleem op moet lossen en de organisatie die getroffen is; - de crisisorganisaties worden zelf mogelijk ook zwaar geraakt in hun functioneren door uitval of een beperkte beschikbaarheid van de eigen ICT-middelen met een direct effect op interne en externe communicatie (waaronder telefonie); - er bestaat in tijden van crisis al snel een tekort aan deskundigen die aan bron- en effectbestrijding kunnen doen. 13