Kennis alleen is onvoldoende, we moeten meer oefenen

Om de IT aan de praat te houden vertrouwen we vooral op de opgedane kennis en dat is onvoldoende. Want steeds vaker is het nodig te reageren op onverwachte situaties, al dan niet veroorzaakt door cybercrime.

Al enige tijd roepen overheidsdiensten en commerciële aanbieders dat er meer gedaan moet worden om cybercrime het hoofd te bieden. De vijand buiten de deur houden is het belangrijkst. Maar we weten inmiddels ook dat het te vaak gebeurd dat die al lang en breed binnen is zonder dat het opviel. Dan kan zomaar in een avond of een weekend een compleet netwerk worden platgelegd.

ISIDOOR

Zo vroeg mogelijk detectie blijft nodig, maar de realiteit is ook dat we moeten leren omgaan met situaties waarin het al te laat is. Een van de beste manieren dat te leren is oefenen. De rijksoverheid heeft medio 2021 ISIDOOR georganiseerd. Doel daarvan was:

Het oefenen van diverse crisisprocedures. Onder deze procedures vallen het NCP-Digitaal, de crisishandboeken en het Nationaal Handboek Crisisbesluitvorming (NHC). Hierbij ligt de focus op het beoefenen van informatie-uitwisseling in crisisomstandigheden, het oefenen van de nationale opschalingsstructuur als gevolg van een cybercrisis en het versterken van de onderlinge samenwerking tussen vitale en Rijksoverheid organisaties.

Deelnemers waren naast overheidsdiensten ook bedrijven. In totaal waren er 1.500 deelnemers. Waarschijnlijk heeft de lezer van ITchannelPRO daar niets van meegekregen. Dat was op dat moment zelf natuurlijk ook de bedoeling. Maar tegelijk geeft het aan dat er betere communicatie over deze manier van kennis vergaren (oefening baart kunst en toepasbare kennis!) nodig is.

De klant is (on)voorbereid

Mening IT dienstverlener kan zich daar wel wat bij voorstellen. Een klant waarbij de mailserver down gaat raakt in paniek of wordt boos. Zoiets verwacht hij niet. Hij is totaal onvoorbereid. Als hij vooraf al eens een draaiboek heeft gemaakt of laten maken met dit soort incidenten en de juiste oplossingen scheelt dat in de stress. Het scheelt nog meer als dat draaiboek niet alleen op de plank ligt te verstoffen, maar ook periodiek wordt doorgenomen. En waar mogelijk aangepast. Wie dat doet is eigenlijk al op weg naar een oefening.

…en de dienstverlener?

Wat voor de ondernemer (“de klant”) geldt, zou ook moeten opgaan voor zijn IT dienstverlener. Heeft die op basis van draaiboeken en oefenen een goed gevoel onverwachte incidenten goed te kunnen aanpakken en oplossen. Of vertrouwd hij uitsluitend op de opgedane praktijk kennis, waarvan we weten dat die zeer waarschijnlijk onvoldoende is?

Waarom die vraag gesteld wordt? Kijk maar naar wat NIS2 in de praktijk kan betekenen en de lessen die van ISIDOOR geleerd zijn.