Black-out op de loer: Drie praktische tips voor een solide preventiebeleid
In de huidige digitale wereld zijn er nog maar weinig diensten die niet deels of zelfs volledig afhankelijk zijn van IT. Hierdoor is het voor organisaties erg belangrijk om de continuïteit van IT-diensten te waarborgen, om het risico op een black-out af te wenden. Maar hoe doe je dit? Kor Gerritsma, Consultant bij Strict, deelt praktische tips.
Bij een black-out denken we al snel aan langdurige uitval van essentiële voorzieningen zoals elektriciteit, water, telecommunicatie en bedrijfskritische technologie. Deze kan ontstaan door bijvoorbeeld menselijke fouten, technische storingen, cyberaanvallen, natuurrampen of overbelasting van kritische netwerken zoals het stroomnet en internet.
Bij een complete black-out van IT kunnen de gevolgen verstrekkend zijn, maar ook een korte stroomstoring en/of even geen internet door een (tijdelijke) uitval van systemen en services kan zorgen voor ongemak.
Black-outpreventie: Belangrijk of overbodig?
Een goede voorbereiding en uitvoerbaar black-outpreventiebeleid is noodzakelijk voor de instandhouding van je bedrijfsvoering. Je moet hierbij niet alleen denken aan hoe je het voorkomen van verstoringen intern hebt geregeld. Ook het opnemen van een black-outpreventiebeleid in contracten en samenwerking met je ketenpartners is hierbij van groot belang.
Stel: je staat in de lift en alle stroom valt uit. Dan heb je niets aan een digitale alarmknop. In dit simpele voorbeeld zie je het effect van een stroomuitval binnen de keten van diensten die achter die knop schuilgaan. Diensten waarop de mens vaak, zonder het te beseffen, vertrouwt. Geen stroom, geen alarmknop, geen melding, geen alarmdienst en geen hulp.
Trek deze redenering door naar je bedrijf en bedenk van welke ketenpartners en IT-middelen je bedrijfsvoering afhankelijk is. Met de volgende drie praktische tips heb je een eerste opzet om je op weg te helpen naar een uitvoerbaar en solide preventiebeleid.
Tip 1: Waarborg je continuïteit
Een black-out betekent voor de meeste organisaties dat de primaire bedrijfsvoering onverwacht (kort of langdurig) stil komt te liggen, wat voor desastreuze gevolgen kan zorgen. Dit geldt niet alleen voor bedrijven en instellingen die tot de kritieke infrastructuur van Nederland horen. Denk bijvoorbeeld ook aan een supermarktketen die te maken krijgt met een pinstoring.
Wat jij zelf kunt doen
Veel organisaties denken na over back-ups en noodscenario’s. Datacenters en netwerkverbindingen zijn redundant uitgevoerd en er zijn afspraken gemaakt met serviceproviders over de performance. Ziekenhuizen beschikken bijvoorbeeld over noodaggregaten en voldoende diesel om het een tijdje uit te zingen. Dit geldt ook voor bedrijven die afhankelijk zijn van een 24/7-operatie, zoals nutsvoorzieningen, internetproviders en zorginstellingen.
Waarborg je continuïteit dus door essentiële onderdelen in kaart te brengen, potentiële risico’s in te schatten én te zorgen voor een back-upplan om je continuïteit zoveel mogelijk te waarborgen.
Tip 2: Zorg dat je IT- en OT-beleid en systemen up-to-date zijn
Objecten als energiecentrales, waterzuiveringsinstallaties en sluizen worden nauw gemonitord en dit beheer is in hoge mate geautomatiseerd. Om dit voor elkaar te krijgen zijn IT (informatietechnologie) en OT (operationele technologie) steeds meer met elkaar geïntegreerd.
Dit brengt echter ook een kwetsbaarheid met zich mee: kwaadwillenden die via IT-systemen binnendringen, zouden hierdoor mogelijk ook toegang kunnen krijgen tot de OT. Zorg dus dat IT- en OT-systemen altijd up-to-date zijn om communicatie en integratie tussen deze systemen te kunnen waarborgen.
Wat jij zelf kunt doen
Wat je ziet, is dat steeds meer organisaties apart naar OT gaan kijken. Dit wil zeggen: apart OT-beleid, OT-maatregelen en een OT-CISO. Dit omdat dreigingen ook fundamenteel anders kunnen zijn. Denk bijvoorbeeld aan een programmable logic controller (PLC), een digitaal, elektronisch apparaat dat wordt gebruikt voor de automatisering van industriële processen.
Dit is echter geen IT. Het heeft andere interfaces en dus ook andere kwetsbaarheden om te beschermen. Door apart naar je operationele technologiebeleid te kijken en aparte acties en maatregelen op te zetten voor in het geval van een black-out, zorg je voor een veiliger black-outpreventiebeleid.
Tip 3: Weet wat je te doen staat bij een mogelijke black-out
Maakt Nederland zich zorgen over een black-out? Hoe groot achten we de kans op een black-out? Worden er voldoende maatregelen genomen om te kunnen blijven functioneren in geval van een black-out? Uit onderzoek van Strict blijkt dat de angst voor een black-out en de (mogelijke) gevolgen hiervan op onze samenleving wel degelijk leeft onder de bevolking én bij bedrijven in Nederland.
Het gaat dan voornamelijk om de angst voor onderbreking van nutsvoorzieningen (56%), verlies van toegang tot financiële diensten (53%) en uitval van communicatiediensten (52%).
Nederland krijgt ook steeds vaker te maken met grote landelijke storingen, bijvoorbeeld de recente veroorzaakt door een updatefout bij Crowdstrike en een softwarefout bij Defensie. Dit toont aan dat een black-out wel degelijk op de loer ligt.
Door in kaart te brengen wat de mogelijke oorzaken en gevolgen zijn van een black-out voor jouw organisatie, zorg je ervoor dat je zo goed mogelijk weet wat je te doen staat mocht het zich voordoen:
- Analyseer hoe groot jouw probleem is.
- Doe wat je kunt om oplossingen te implementeren.
- Weet wat het kost, qua investering en de mate van uitvoerbaarheid.
Een black-out voorkomen is helaas niet mogelijk, maar door het ontwikkelen en hanteren van het juiste black-outpreventiebeleid ben je gegarandeerd voorbereid.