Geen producten in de winkelwagen.
Beseft u zich hoeveel risico het bedrijf loopt door een zwakke ict? En wat doet u daaraan? Podiumauteur Wim van Campen constateert dat veel bedrijven zich bewust zijn van de risico's, maar er desondanks nog steeds niet op anticiperen.
Er is al erg veel geschreven over de kloof tussen (online) IT-bedreigingen en het bewustzijn daarvan bij burgers, overheid en bedrijven. Het blijft me nog steeds verbazen dat ondanks die jarenlange publiciteit het bewustzijn in veel te veel gevallen nog zo laag is. Zo meldde het CBS onlangs dat 1 op de 8 Nederlanders vorig jaar slachtoffer is geworden van cybercrime, vooral computerinbraak. Waarom ontbreekt het nog zo vaak aan digitaal hang- en sluitwerk?
Bewust van risico's
Wie onderzoeken naar IT-beveiliging bekijkt, ziet dat de overgrote meerderheid van mensen en bedrijven aangeeft zich bewust te zijn van IT- veiligheid. Eind vorig jaar hebben we zelf onderzoek gedaan naar IT-beveiliging van bedrijfsrisico’s onder grote organisaties binnen overheid en bedrijfsleven. Ook volgens dit onderzoek zit het met het bewustzijn wel goed: twee derde van de grote organisaties in Nederland heeft het IT-risico zelfs tot prioriteit verklaard.
Maar of dat bewustzijn ook consequenties heeft, is een ander verhaal. Vaak is er geen enkele inschatting gemaakt van de schade die een falende beveiliging kan opleveren. Ook een plan van aanpak in het geval de beveiliging het laat afweten ontbreekt maar al te vaak. Het zal niemand verbazen dat juist IT-management en IT-medewerkers aangeven zich zeer goed bewust te zijn van de risico’s. IT-security wordt dan ook vooral door IT’ers ingevuld. Ondanks dit bewustzijn signaleren we echter grote manco’s. Dit betekent dat er niet noodzakelijkerwijs een verband is tussen het bewust zijn van security en daar ook daadwerkelijk invulling aan geven.
Risico's lastig in te schatten
Ik denk dat het ook lang niet altijd meevalt een concrete voorstelling te maken bij een risico en het is bekend dat mensen slecht zijn in het beoordelen van risico’s. Het blijft meestal een abstract begrip: de kans dat er iets misgaat. En de consequenties als het misgaat blijven meestal net zo abstract. Neem concurrentiegevoelige gegevens. Wat zijn dat precies? Deze moeten dus niet in handen vallen van de concurrentie, maar wat zijn de gevolgen als dat onverhoopt wel gebeurt? Kan de concurrent er iets mee en zo ja, welke schade levert dat dan op? Het zal zeer sterk afhangen van de aard van de gegevens.
Voor de consument spelen dezelfde soort vragen. Wat er gebeurt als je inloggegevens van de bank in verkeerde handen vallen, zal nog wel duidelijk zijn. Maar voor andere soorten gegevens wordt het al heel wat moeilijker een concrete voorstelling te maken van risico’s en schade. Zo meldde De Telegraaf begin deze maand dat zzp-ers en kleine ondernemers meer duidelijkheid moeten krijgen over de financiële gevolgen van cybercriminaliteit. Die kunnen in de duizenden euro’s lopen en voor deze ondernemers kan het in deze economisch moeilijke tijden een nekslag zijn. Ook werd er in het artikel op gewezen dat alleen wie zich echt realiseert wat de schade van cybercrime kan zijn, het risico niet zal nemen en maatregelen treft.
Paniek zaaien
Opmerkelijk in dit verband is de recente oproep van minister Opstelten aan de banken om meer verantwoordelijkheid te nemen als het gaat om cybercrime. In een interview met het Financieele Dagblad geeft hij aan dat hij vindt dat banken hun klanten meer duidelijkheid moeten verschaffen over de risico’s die zij lopen. De krant legt hem voor dat de banken daar niet mee te koop lopen, omdat er voor je het weet paniek ontstaat onder klanten. Opstelten begrijpt dat, maar vindt vanwege het grote risico van cybercrime voor de samenleving dat openheid over de risico’s geboden is. Een interessant dilemma: méér bewustwording over de risico’s kan paniek betekenen waar ook weer risico’s aankleven.
Ik denk dat Opstelten gelijk heeft: die risico’s moeten duidelijk worden. Maar deze kwestie geeft wel een spanningsveld aan. Met het hameren op risico’s van bankieren via internet en bijvoorbeeld het wijzen op de cyberoorlog die al begonnen zou zijn, zijn paniekreacties denkbaar.
Bedreigingen in kaart brengen
Bewustwording moet dus heel wat verder gaan dan het idee dat je ‘op internet’ gevaar kunt lopen. De risico’s moeten tastbaar worden: weten wat de gevolgen kunnen zijn als het misgaat met de IT-beveiliging. Let wel, bij dit verhaal hoort dus ook dat een risico geen zekerheid is en dat er maatregelen mogelijk zijn om het risico weg te nemen of sterk te verkleinen. Zoals elke keer weer blijkt zijn we er niet met bewustwording alleen. Er zijn ook adequate maatregelen nodig om die risico’s aan te pakken.
Naast het in kaart brengen van de relevante risico’s en de bedreigingen, moeten ook de processen op orde zijn: welke aanpak wordt gevolgd voor beveiliging, wie doet wat, wat moet er gebeuren als het misgaat, enzovoort. En tot slot moet de technologie op orde zijn: zijn de laatste updates geïnstalleerd om lekken te dichten, worden de juiste beveiligingsapparatuur en -software gebruikt voor de juiste bedreigingen. Alleen als deze drie zaken op orde zijn is er sprake van een adequate beveiliging. Dat betekent niet dat werkelijk alles is beveiligd, maar wel dat wat écht beveiligd moet worden, ook zo goed mogelijk beveiligd is.
Eerdere bijdragen:
-
Cybersecurity: de rol van de overheid
- Veel grote Nederlandse bedrijven kennen IT-risico’s niet
- IT-beveiliging moet fundamenteel anders
Over de auteur:
Dit Podiumartikel is geschreven door Wim van Campen, Vice President Northern Europe at McAfee.
