Datalekken, cyberaanvallen, digitale security: het zijn onderwerpen die elk bedrijf raken. Waarom praten directies er dan zo weinig over?
In Amerika is de strijd tussen de FBI en Apple het gesprek van de dag. In Nederland lijken topmanagers zich echter nauwelijks met digitale veiligheid en privacy bezig te houden. Dat zouden ze maar beter wel kunnen doen, en wel om deze 3 redenen:
#1. Nieuwe wetgeving dwingt ertoe
Sinds 1 januari is de wet Bescherming Persoonsgegevens uitgebreid met de meldplicht datalekken. Die plicht dwingt bedrijven en instellingen om (vermeende) lekken van privacygevoelige data te melden bij de Autoriteit Persoonsgegevens (AP, voorheen: het College bescherming persoonsgegevens). De AP kan bij overtreding van de nieuwe wet een boete opleggen tot wel 820.000 euro.
Open brief aan zorginstellingen
De AP riep de Raden van Bestuur van Nederlandse zorginstellingen onlangs in een open brief op om zorgvuldig om te gaan met patiëntgegevens. Dat baart Pieter Lacroix, managing director bij Sophos Nederland, zorgen. ‘Uit onderzoek dat wij vorig jaar in aanloop van de invoering van de meldplicht datalekken hebben gehouden, bleek dat de kennis van de materie, maar ook de bijbehorende wet- en regelgeving bij het gros van de organisaties volstrekt onvoldoende was.’
Geen ongeautoriseerd personeel
Dit is geen uniek probleem van de zorg, maar komt in vrijwel alle sectoren voor, stelt Lacroix: ‘Veel bedrijven realiseren zich ook onvoldoende dat de bescherming van data geen zaak is die alleen het externe verkeer aangaat. Ook binnen bedrijven bestaat de verplichting om te zorgen dat persoonsgegevens niet worden ingezien door ongeautoriseerd personeel.’ Ook op Europees niveau is onlangs de lang verwachte privacy-verordening aangenomen, die vanaf 2018 officieel van kracht moet worden. ‘Het is eigenlijk treurig dat dergelijke wetgeving noodzakelijk is’, zegt Lacroix. ‘Persoonsgegevens beschermen zou bij iedere organisatie in het DNA moeten zitten.’
Het is eigenlijk treurig dat dergelijke wetgeving noodzakelijk is. Persoonsgegevens beschermen zou bij elke organisatie in het DNA moeten zitten.’
Vooral de mobiel is boosdoener
Uit recent onderzoek van Lookout onder bijna 600 IT-managers over de hele wereld, blijkt vooral de mobiele telefoon van medewerkers de boosdoener als het gaat om datalekken. Gemiddeld 3 procent van de mobiele apparaten van medewerkers is bovendien besmet met malware, zo blijkt. Tweederde van de ondervraagden zegt dat het zeker of zeer waarschijnlijk is dat hun organisatie al een datalek heeft gehad door werknemers die hun mobiele apparaat gebruikten om toegang te verkrijgen tot bedrijfsgevoelige of vertrouwelijke informatie.
#2. Omzetderving dreigt
Digitale technologie is voor veel organisaties cruciaal. Bij een aanval van buitenaf kunnen systemen plat komen te liggen, wat direct en indirect voor omzetverlies kan leiden. Lacroix: ‘Als een organisatie een website heeft die vooral als digitale folder dient, kun je je afvragen hoe ernstig het is als die even onbereikbaar is. Maar is de site bedrijfskritisch, omdat er bijvoorbeeld via een webshop omzet mee wordt behaald, dan zijn de investeringen in maatregelen al meer gerechtvaardigd. Voor echt grote bedrijven met dito budgetten, die miljoenen omzet maken via hun website, is het logisch dat zij alles uit de kast halen om de uptime van de website te garanderen.’
Eenvoudige risico-analyse
Buiten de website is de IT-omgeving voor veel bedrijven sowieso al bedrijfskritisch. Het is vaak een eenvoudige risicoanalyse wat de schade is als systemen down zijn. “Hoeveel omzet loopt het bedrijf mis als de medewerkers niet bij hun applicaties kunnen? En komen klanten terug op het moment dat ze het bedrijf of de webshop even niet kunnen bereiken? Of vinden ze dan eenvoudig de weg naar een concurrent? Dat zijn simpele vragen waar een directie zich over moet buigen en actie op moet ondernemen.”
Hoeveel omzet loopt het bedrijf mis als de medewerkers niet bij hun applicaties kunnen? En komen klanten terug op het moment dat ze het bedrijf of de webshop even niet kunnen bereiken?’
#3. Reputatieschade ligt op de loer
“Een solide imago komt te voet en gaat te paard”, stelt Lacroix. Imagoschade is snel opgelopen als de beveiliging van IT-systemen van een organisatie niet goed is geregeld. We kennen allemaal de voorbeelden uit de media waar organisaties gevoelige data verloren. Ofwel doordat er een usb-stick in een taxi bleef liggen, of dat er een laptop werd gestolen of een smartphone werd verloren. “Vanaf een bepaalde hoeveelheid mobiele devices is het niet meer de vraag of er ooit eens eentje kwijt raakt, maar wanneer. Veel directies denken dat ze er wel zijn met antivirus en een firewall, maar cybercriminelen en hackers worden steeds slimmer en de technieken die ze gebruiken steeds geavanceerder. Dat bedreigt zelfs de continuïteit van een bedrijf.”
Creditcardgegevens weg
Een voorbeeld hiervan is het Amerikaanse warenhuis Target, dat door hun security-technologie ervan uitging dat hen niets meer kon gebeuren. Die houding gaf cybercriminelen negen maanden de tijd om creditcardgegevens van klanten te verzamelen. Achteraf bleek dat de technologie wel gewaarschuwd had dat er iets niet klopte, maar doordat het alarm ook op allerlei andere zaken afging, werd het niet meer serieus genomen. Lacroix: “Als bedrijf moet je er altijd vanuit gaan dat je wordt aangevallen, zodat de signalen als dat daadwerkelijk het geval is, serieus worden genomen.”
Als bedrijf moet je er altijd vanuit gaan dat je wordt aangevallen, zodat de signalen als dat daadwerkelijk het geval is, serieus worden genomen.”
Ook persoonlijke reputatieschade
Lacroix stelt dat niet alleen bedrijven reputatieschade kunnen oplopen door datalekken of security-kwesties. “Beveiliging moet op de agenda van bestuurders komen te staan. Hun klanten en gebruikers verwachten namelijk dat ze actie ondernemen. Doen ze dat niet, dan lopen ze het risico op persoonlijke reputatieschade. Het feit dat security en het beschermen van privacygevoelige data van klanten en medewerkers zo laag op de directieagenda staat, zegt ook iets over het gebrek aan respect voor klanten en werknemers. Eigenlijk vind ik het niet meer dan goed fatsoen dat je als bedrijf netjes en veilig met de gegevens van klanten omgaat”, besluit hij.
Beeld via Flickr.com
Lees meer:
- Dit zijn de beste bedrijven in digitale security
- De 3 grootste ICT-bedreigingen voor 2016
- Bedrijven bang voor ICT-aanval, maar echte leiders zijn voorbereid