Go to the main content

In Breda heeft het thema Digitalisering de afgelopen jaren steeds meer (beleids)focus gekregen. Zo is het Masterplan Bredata opgesteld, gericht op digitalisering en het ontwikkelen van een slimme stad. Het doel is om bij te dragen aan de leefbaarheid van Breda en de stad in 2030 te laten excelleren op het gebied van digitale mogelijkheden, met een top-of-the-line digitale infrastructuur. Het plan stelt digitalisering voor als een katalysator voor het verbinden van infrastructuren, inwoners en bezoekers, waardoor de sterke punten van Breda verder worden versterkt. De gemeente benadrukt daarbij de belangrijke aspecten van digitalisering – zoals veiligheid, privacy en menselijkheid – en zet de leefbaarheid van haar inwoners voorop.

In het kader van veiligheid zet de stadsregio Breda zich ook sterk in voor digitale weerbaarheid. Daarom is de regio met twee initiatieven betrokken bij de City Deal Lokale Weerbaarheid Cybercrime, waarin Breda samenwerkt aan nieuwe oplossingen om de cyberweerbaarheid van bedrijven te vergroten in een wereld waarin cybercrime blijft toenemen. Digitaal Weerbaar Breda kent een sterke relatie met deze citydeal.

Buiten de meer beleidsmatige programma’s zijn er een tal van (kleinere) initiatieven die bijdragen aan de digitale weerbaarheid van de stadsregio. Zo wordt binnen het project Gastveilig Hazeldonk op bedrijventerrein Hazeldonk geëxperimenteerd met toegepaste digitale technologieën om de (digitale) veiligheid te verhogen.

Ook zijn er op regionaal niveau initiatieven binnen hetzelfde domein. Het Platform veilig Ondernemen (Zeeland West – Brabant) organiseert onder andere voorlichtingsbijeenkomsten, trainingen en themabijeenkomsten op het gebied van cybercriminaliteit. Daarnaast zijn er verbindingen met andere stadregio’s en hun initiatieven die zich met dezelfde problematiek bezighouden, bijvoorbeeld met het Cyberweerbaarheidscentrum Brainport. En ten slotte begon Digitaal Weerbaar Breda in 2020, toen de Covid-19 pandemie leidde tot zorgen over de cyberveiligheid van het lokale Amphia ziekenhuis. Een inbreuk op haar systemen zou immers een grote impact hebben op de samenleving. Verschillende essentiële organisaties voor de regio hebben de handen ineen geslagen en samen Digitaal Weerbaar Breda gevormd.

Digitale weerbaarheid is van groot belang voor individuele bedrijven. Er zijn verschillende typen risico’s, die reiken van phishing aanvallen (waarbij via bijvoorbeeld een nepmail gevraagd wordt om gevoelige informatie), ransomware aanvallen (waarbij bedrijfsgegevens worden versleuteld en tegen losgeld worden teruggegeven), het uitvallen van soft- of hardware van zowel kantoor- als industriële processen waardoor deze stil komen te liggen et cetera.

Wanneer één van het bovenstaande plaatsvindt, kan dit gevolgen hebben voor de continuering van de bedrijfsvoering of bedrijfsactiviteiten en economische schade of reputatieschade opleveren voor een individuele organisatie of de keten waarin deze organisatie werkt. Cyberaanvallen kunnen ook (persoonlijke) gevolgen hebben voor klanten of medewerkers van bedrijven, wanneer er bijvoorbeeld persoonsgegevens verspreid worden.

Daarbij is digitale weerbaarheid niet alleen van belang voor individuele bedrijven, maar ook voor (bedrijfs)ecosystemen. Ecosystemen zijn groepen organisaties/bedrijven die geografisch nabij zijn en onderling afhankelijk van elkaar zijn (zie paragraaf 3.1 voor een verdere uiteenzetting van het begrip ecosysteem en enkele belangrijke aspecten). Bij cyberincidenten kunnen de gevolgen doorwerken naar andere bedrijven. Hierbij kan gedacht worden aan een cyberincident bij een energiebedrijf, (drink)waterleverancier, financiële instelling of telecommunicatiebedrijf, waarbij de gevolgen niet alleen op dat bedrijf betrekking heeft, maar kan doorwerken bij anderen die afhankelijk zijn van deze bedrijven. Voor een gezond ecosysteem is het daarom van belang dat het ecosysteem als geheel ook voldoende volwassen is als het gaat om digitale weerbaarheid.

Er zijn enkele voorbeelden van incidenten in Nederland waarbij een aanval doorwerkte op andere bedrijven (KPN Security geeft jaarlijks een overzicht van grote en spraakmakende cyberincidenten in Nederland):

  • Door een ransomware-aanval bij logistiek bedrijf Bakker begin april 2021 kwam de levering vanuit enkele magazijnen stil te liggen. Klanten konden geen orders doorgeven en het was niet mogelijk om producten te lokaliseren in de magazijnen. De aanval leidde tot lege kaasschappen bij Albert Heijn. Na ongeveer een week was de ‘kaas-hack’ opgelost.
  • De internationale maaltijddienst Apetito werd in juni 2022 getroffen door een ransomware-aanval. Daardoor had het bedrijf niet of nauwelijks toegang tot zijn IT-systemen. Apetito levert maaltijden aan onder meer zorginstellingen, de kinderopvang en particulieren. Door de aanval werd het produceren en bezorgen van maaltijden ontregeld.
  • Vijf Limburgse gemeenten, waaronder Kerkrade en Vaals, kregen in juli 2022 te maken met een cyberaanval. Die was gericht op een softwareleverancier. Door de aanval werd de administratie van het sociaal domein vergrendeld. Data die betrekking hebben op onder meer bijstandsuitkeringen en jeugdzorg waren niet toegankelijk.
  • De beruchte ransomwarebende Conti gijzelde in maart 2022 de servers van The Sourcing Company. Het bedrijf levert IT-diensten aan veel woningcorporaties. Conti publiceerde vervolgens duizenden bestanden met gevoelige gegevens op het darkweb, waaronder kopieën van paspoorten en bankgegevens.

Digitale weerbaarheid is (kortgezegd) de mate waarin bedrijven maatregelen hebben genomen tegen (de gevolgen van) digitale incidenten. De NCTV (Nationale Cybersecurity strategie 2022 – 2028) geeft de volgende beschrijving:

“Het vermogen om risico’s tot een aanvaardbaar niveau te brengen door middel van een verzameling maatregelen om cyberincidenten te voorkomen en wanneer cyberincidenten zich hebben voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken”.

Het Amerikaanse National Institute for Standards and Technology2 definieert “cyber resilience” als volgt:

“The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources.”

In de EU is de volgende definitie gangbaar:

“Cyber resilience refers to the ability to protect electronic data and systems from cyberattacks, as well as to resume business operations quickly in case of a successful attack.”

Welke definitie er ook precies gehanteerd wordt, het is van belang dat er met de volgende aspecten rekening wordt gehouden:

  • Het gaat om een pakket van maatregelen die een organisatie of bedrijf heeft genomen
  • Cyberincidenten kunnen kwaadwillend en niet-kwaadwillend zijn (zoals aanvallen aan de ene kant en ongelukken aan de andere kant)
  • Het omvat zowel preventieve als mitigerende maatregelen. Dit strekt van zicht hebben op dreigingen, het voorkomen van incidenten en maatregelen die er op gericht zijn de gevolgen te beperken en herstel te versnellen
  • Maatregelen kunnen technisch van aard zijn, maar ook betrekking hebben op organisatorische en menselijke aspecten zoals het implementeren van procedures of het opkrikken van kennis en bewustzijn

Door veel stakeholders wordt een wat “krappe” definitie van digitale weerbaarheid gehanteerd – het gaat dan al snel over maatregelen gericht op het voorkomen van cyberaanvallen en minder expliciet over niet-kwaadwillende cyberincidenten (zoals een ondergrondse telecomkabel die per ongeluk wordt doorgesneden bij een bouwproject). Dergelijke niet-kwaadwillende incidenten zijn volgens ons ook belangrijk en hier wordt vanuit Digitaal Weerbaar Breda dus ook aandacht aan besteed.