'Aantal cyberincidenten met kwalijke gevolgen wordt ernstig onderschat'

Het gaat ook niet om onschuldige incidenten. Er vallen soms doden en zwaargewonden bij te betreuren. Zoals bij een verwoestende gasexplosie in San Bruno, Californië in 2010, waarbij 8 mensen omkwamen en veel woningen verwoest werden. De gasexplosie werd veroorzaakt door een ongelukje bij de geplande vervanging van een noodstroomvoorziening, waardoor de stroom uitviel. Dat resulteerde erin dat het SCADA-systeem de regelkleppen in het deel van het leidingennet dat het onder zijn hoede had allemaal openzette, waardoor de druk in de leidingen opliep totdat het samengeperste gas in San Bruno een gaspijp van een meter of 10 uit de grond blies.

Naar de definitie van het National Insititute of Standards and Technology zouden dit incident en vergelijkbare problemen met regelsystemen een cyberincident heten. Maar de gasexplosie in San Bruno werd niet als zodanig onderkend. "In de IT-wereld staat cyber gelijk aan kwaadaardige aanval", constateert Weiss. En vanuit die insteek zien beheerders ernstige zwakheden in hun systeem volgens hem over het hoofd. "San Bruno was niet kwaadaardig, al had het dat makkelijk kunnen zijn. Het was een incident zonder kwaadaardige opzet dat 8 mensen doodde en een wijk verwoestte.

Tegengas tegen te ruime opvatting van cyberincidenten

Weiss bepleit daarom een bredere telling van cyberincidenten die recht doet aan de NIST-definitie van een 'falen van elektronische communicatie dat leidt tot een verlies van vertrouwelijkheid, integriteit of beschikbaarheid'. Iets waar andere beveiligingsexperts die in de Christian Science Monitor aan het woord komen, het niet mee eens zijn. Volgens hen vertroebelt een verruimde registratie van cyberincidenten de blik. "De maatregelen die je neemt om waardevolle goederen te beschermen tegen een tornado zijn anders dan de maatregelen waarmee je inbraak probeert te voorkomen", zegt één van hen.

Toch is het de vraag of je er daarom goed aan doet cyberincidenten à la San Bruno níet mee te tellen. Je kunt er natuurlijk ook een aparte categorie van maken. En dat zou zeker helpen om het bewustzijn van de afhankelijkheid van de maatschappij van (de kwaliteit van) IT-systemen te vergroten.