Compliant maar toch kwetsbaar
Een audit vol groene vinkjes geeft een gerust gevoel. Maar schijnveiligheid ligt op de loer. Want wanneer een doelgerichte cyberaanval uw organisatie platlegt, blijkt compliance zelden gelijk aan daadwerkelijke weerbaarheid. In deze blog deel ik een persoonlijke overtuiging: échte digitale veiligheid ontstaat niet uit papieren normen, maar uit een cultuur van risicobewustzijn en oefening. En dat is geen technisch verhaal, maar een bestuurlijke keuze.
De nieuwe Agenda Digitale Veiligheid 2028 van de VNG zegt het treffend: “Oefenen en leren van incidenten is essentieel om de veerkracht van gemeenten te vergroten.” Wat voor gemeenten geldt, geldt voor iedere organisatie. We kunnen aanvallen niet uitsluiten, maar we kunnen ons er wel op voorbereiden. En die voorbereiding begint bij bestuurders.
De comfortzone van compliance: de valkuil van vinkjes
Normenkaders zoals ISO 27001, BIO of de NIS2-wetgeving bieden een waardevol fundament. Ze zorgen voor structuur, standaardisering en toetsbaarheid. Maar wie deze kaders als einddoel ziet, raakt verstrikt in documentatie in plaats van effectiviteit. Compliance wordt dan een papieren werkelijkheid waarin procedures schitteren, maar detectie, logging en herstelprocessen onderbelicht blijven.
Neem het voorbeeld van een Nederlandse gemeente die slachtoffer werd van een ransomware-aanval. Alles was gecertificeerd en op papier op orde. Toch schakelde één gecompromitteerde beheerdersaccount alle verdediging uit. Back-ups bleken onbruikbaar, de schade liep in de miljoenen.
En dat is geen uitzondering. Uit de jaarlijkse Data Breach Investigations Report van Verizon blijkt dat meer dan 80% van geslaagde datalekken zich voordoen bij organisaties die voldoen aan de formele standaarden. Compliance is een uitstekende basis, maar garandeert nog niet een effectieve verdedigingslinie.
Dreigingsgestuurd beveiligen: van techniek naar bestuur
Echte veiligheid begint met een andere mindset: dreigingsgestuurd beveiligen. Dat begint niet bij firewalls, maar bij de business. Wie zijn de relevante dreigingsactoren? Welke data is interessant voor aanvallers? Is er een belang voor aanvallers om digitaal te saboteren? Of is jouw business mogelijk gevoelig voor hacktivisme?
Deze vragen brengen het gesprek naar waar het hoort: de bestuurskamer. Want zonder een gedeeld beeld van dreigingen, kwetsbaarheden en impact, blijft security een technische exercitie. Pas als bestuurders expliciet maken hoeveel schade acceptabel is, kunnen investeringen in detectie, response en herstel zinvol worden afgewogen.
Crisisoefenen als katalysator voor weerbaarheid
Geen plan overleeft het eerste contact met de vijand. Daarom zijn crisisoefeningen geen luxe, maar noodzaak. Ze helpen niet om aanvallen te voorkomen, maar maken de impact ervan hanteerbaar. Want in de hectiek van een echt incident telt maar één ding: voorbereiding.
Crisisoefeningen bestaan in meerdere vormen:
- Tabletop-oefening: hiermee wordt duidelijk of rollen, mandaten en communicatielijnen helder zijn. Denk aan een scenario waarin een ransomware-uitbraak plaatsvindt. Duur is tussen 1 en 3 uur;
- Crisissimulatie: een realistisch, tijdsdruk-gestuurd scenario waarin bestuur, communicatie en operatie gezamenlijk oefenen. Vaak op maat gemaakt, met inbreng van externe belanghebbenden. Duur is tussen 2 en 4 uur;
- Purple teaming: een samenwerking tussen het red team (aanvallers) en het blue team (verdedigers, veelal het Security Operations Center) om de technische detectiecapaciteit te testen en te verbeteren;
- Red teaming volgens het TIBER-model: Een externe partij simuleert zo realistisch mogelijk een dreigingsactor om de weerbaarheid van een organisatie te beoordelen tegen uiteenlopende aanvalstechnieken. Hierbij kunnen zowel sociale als fysieke aanvalsmethoden worden toegepast.
Waarom dat belangrijk is? Omdat oefenen pijnlijk eerlijk is. Het legt bloot wat een echte aanval genadeloos zou misbruiken. Het dwingt de organisatie na te denken over de mate van weerbaarheid voor een specifieke en relevante aanval. Organisaties die elk kwartaal oefenen, reduceren de impact van incidenten aantoonbaar.
Oefenen is strategisch leiderschap
We leven in een tijd waarin cyberdreigingen niet meer hypothetisch zijn, maar dagelijks realiteit. Iedere bestuurder weet dat 100% veiligheid onhaalbaar is. Maar niet iedere bestuurder handelt daarnaar.
Compliance geeft geruststelling, maar niet per sé veerkracht. Wie de stap durft te zetten naar dreigingsgestuurd beveiligen en structureel crisisoefenen, investeert in de enige strategie die op lange termijn houdbaar is: aantoonbare weerbaarheid.
En die keuze begint bij de top. Als u als bestuurder écht verantwoordelijkheid neemt voor digitale veiligheid, dan is het tijd om verder te kijken dan audits en certificaten. Dan is het tijd om te oefenen.
Kelvin Rorive is mede-initiatiefnemer van de stichting CCRC (Cyber Chain Resilience Consortium) en Chief Information Security Officer bij ICT Group.