22 okt
Het korte en simpele antwoord zou moeten zijn: wij allemaal. Overheid, brancheverenigingen, IT partijen, accountants, verzekeraars, maar vooral het MKB zélf. Toch lukt het maar slecht om ondernemers mee te krijgen. Als je leest over alle hackpogingen, datalekken en andere bugs, zou je toch verwachten dat we met zijn allen wakker worden en het probleem écht aanpakken. Waarom toont elk onderzoek opnieuw aan dat dat maar niet wil lukken?
De overheid probeert het probleem wel aan te pakken, maar de manier waarop werpt vragen op. Bij de start van de Week van de Veiligheid riep minister van Justitie en Veiligheid Grapperhaus MKB’ers op om ‘zich beter te wapenen tegen internetcriminaliteit’. Dit naar aanleiding van een onderzoek van Alert-Online, waaruit blijkt dat in 2017 bij meer dan de helft van de kleine bedrijven is geprobeerd om gegevens te stelen, terwijl 75 procent van die bedrijven zegt zich niet echt zorgen te maken over de digitale veiligheid op het werk. Grapperhaus kondigde aan dat hij 1,2 miljoen euro uittrekt om voor trainingen en voorlichting aan MKB’ers. “Het is belangrijk dat ondernemers goede informatie krijgen welke risico’s er zijn, zodat ze weten welke maatregelen ze zelf kunnen nemen,” aldus de minister.
Een nobel streven, maar was deze informatie niet al aanwezig op Veilig Internetten (zakelijke gedeelte)? Werd er niet al tooling aangeboden in de campagne Veilig Zakelijk Internetten (een campagne die gefinancierd werd door de overheid en werd uitgevoerd door MKB-Nederland en zo’n 30 verschillende brancheverenigingen)? Saillant is wellicht dat juist deze campagne afgelopen zomer is gestopt en dat er nu wordt aangegeven dat er nieuwe campagnes moeten worden gestart. Juist in de campagne Veilig Zakelijk Internetten bleek de uitdaging niet zozeer te liggen in de informatievoorziening of het aanreiken van tooling, maar veel meer in het bereiken van de MKB’ers. Bij de nieuwe initiatieven die worden gestart zullen weer opnieuw wielen moeten worden uitgevonden. Belangrijkste is echter dat de communicatie weer opnieuw zal moeten worden opgestart (en juist die communicatie heeft tijd nodig). Een nieuw initiatief is het Digital Trust Center (DTC). De intenties zijn goed, maar de zes projecten die daar nu worden opgestart lijken mij te kleinschalig om juist de grote groep MKB’ers te bereiken. Ook het plaatsen van informatie op de website is goed, maar zoals aangegeven ben je er met alleen het plaatsen van informatie niet. Hoe krijg je de MKB’er zover dat hij/zij werkelijk een (intrinsieke) motivatie krijgt om te gaan handelen en met het onderwerp aan de slag gaat? Als daar geen duidelijk (meerjaren)plan aan ten grondslag ligt, is elke euro die nu wordt uitgegeven aan campagnes er in mijn optiek één te veel.
Waarom wordt dit hele probleem niet gewoon opgepakt door de IT’ers?
Allereerst wil ik benadrukken dat informatiebeveiliging geen IT aangelegenheid is, maar iets wat op directieniveau op de agenda moet staan. Helaas zien we het bij veel organisaties pas op de agenda komen als het te laat is. Uiteraard is de IT’er een enorm belangrijke partij in het geheel. We zien IT partijen die gestart zijn met initiatieven om hun klanten bewuster te maken over de gevaren. Maar veel IT-partijen geven aan dat ze in een spagaat zitten. Aan de ene kant krijgen ze vanuit hun eindklanten nog te weinig vragen over cybersecurity (de eindklanten gaan er ‘gewoon’ van uit dat hun IT’er dit geregeld heeft en stellen er dus ook geen goede inhoudelijke vragen over). Aan de andere kant is er de angst dat wanneer ze hun klanten op (technische) zwakheden aanspreken, ze te horen krijgen dat ze hun werk niet goed doen of voor enorme kostenposten komen te staan om de geconstateerde kwetsbaarheden (veelal door achterstallig onderhoud) weg te werken. Gevolg: kip en ei; er gebeurt niets... Commerciële belangen spelen dus zeker een rol als het gaat om samenwerken. Begrijpelijk, maar het maakt het niet makkelijker om tot een goede oplossing te komen!
Hoe kunnen we de MKB’er dan toch in actie krijgen?
Onderzoek op onderzoek wijst uit dat de risico’s reëel zijn – 1 op de 5 wordt slachtoffer - en de schade groot, maar voor veel bedrijven is die schade vrijwel onzichtbaar. ‘Natuurlijk is het vervelend als je gehackt wordt, maar je lost het op en je gaat gewoon weer door’, lijken veel ondernemers te denken.
In mijn optiek zijn er verschillende manieren om ze toch in actie te krijgen. De makkelijke manier is dat de Autoriteit Persoonsgegevens (AP) vanuit de AVG meer boetes gaat uitdelen. Ook al zou dat eerst bij grotere organisaties gebeuren, dan sijpelt dat op den duur door naar het MKB, omdat de grotere organisaties vanuit de keten ook zeer afhankelijk zijn van (de veiligheid) van het MKB. Grotere partijen zullen meer eisen gaan stellen en dus zal een MKB’er meer moeten kunnen aantonen cyberveiligheid serieus te nemen. Mijn gedachte is echter dat de AP nog niet echt durft om boetes uit te delen, met name omdat ze dan wel eens rechtszaken tegemoet kan zien. Er wordt in de AVG gesproken over het nemen van ‘passende technische en organisatorische maatregelen’. Wat is passend? Daarover kun je lang discussiëren en zolang daar geen duidelijkheid over is, verwacht ik terughoudendheid in het boetebeleid van de AP.
Een andere, zeer snelle en leerzame manier is dat het MKB te maken krijgt met een enorme uitbraak van bijvoorbeeld een ransomware aanval. Het is niet ondenkbaar dat een kwetsbaarheid in systemen wordt uitgebuit voor het uitvoeren van een dergelijke aanval. Alle MKB’ers die hun systemen dan niet goed bijgehouden of beveiligd hebben, zullen slachtoffer worden. In dat geval verwacht ik een enorme schadepost en continuïteitsprobleem, vooral omdat we in de praktijk zien dat meer dan 75% van de websites en bedrijfsnetwerken simpelweg onvoldoende beveiligd is (terwijl uit ander onderzoek naar voren is gekomen dat 56% van de MKB’ers denkt het allemaal goed voor elkaar te hebben en geen risico ziet). Het is echter weer de vraag of dit zou helpen in het bewustzijn; als iedereen om je heen gehackt is dan was er blijkbaar geen mogelijkheid om de aanval te voorkomen…
Een lange weg…
Wat lijkt te resteren is een weg die nog jaren gaat duren. In mijn optiek zullen partijen als branchevereniging, accountant, verzekeringsadviseur en jurist de MKB’er moeten blijven informeren en aanmoedigen om ‘iets’ te doen op dit gebied. Deze partijen zijn niet direct actief betrokken bij de informatiebeveiliging van de MKB’er, maar hebben er wel belang bij dat de MKB’er het goed heeft geregeld. De branchevereniging ziet niet graag dat een van haar leden slachtoffer wordt van cybercrimininaliteit zoals hackpogingen, want dat kan schade in de gehele branche teweeg brengen. De accountant mag eigenlijk geen verklaring afgeven als hij zich geen beeld kan vormen van de continuïteit van de geautomatiseerde processen (en het merendeel van de accountants kan dit niet omdat ze werkelijk geen enkel beeld hebben van de informatiebeveiliging van hun klanten, buiten wellicht een rapport van een ‘pentest’ die x tijd geleden is uitgevoerd). De verzekeringsadviseur ziet vanuit bedrijfscontinuïteitsrisico’s graag dat zijn klant in leven blijft en heeft een indirect commercieel belang om data risico verzekeringen te verkopen. De jurist zal vanuit de AVG moeten helpen om te voldoen aan de ‘passende’ technische en organisatorische maatregelen. Deze partijen zijn onafhankelijk en hebben wellicht wel een commercieel belang, maar zijn niet direct operationeel betrokken in de wijze waarop de MKB’er zijn informatiebeveiliging geregeld heeft. Zij willen ‘slechts’ inzicht in de wijze waarop de MKB’er het heeft geregeld!
Onafhankelijk inzicht wordt noodzakelijk
Het belangrijkste is dus dat de MKB’ers bereikt worden en gaan acteren. Daarnaast moet informatiebeveiliging gezien gaan worden als een apart kennisgebied. Er zullen specialisten nodig zijn om MKB’ers echt te helpen. Bij veel MKB’ers loopt een IT mannetje/vrouwtje rond. Je mag van deze persoon simpelweg niet verwachten dat hij naast webdeveloper, hoster, netwerkbeheerder, applicatiebeheerder, serverbeheerder, computerspecialist en wat niet meer ook nog eens informatiebeveiliger is. In een huis laat je het metselwerk ook niet door de loodgieter uitvoeren; dit zijn aparte vakgebieden. De specialisten zullen ‘naast’ de MKB’er moeten gaan staan en ze helpen om de informatiebeveiliging naar een hoger plan te tillen. Niet vanuit de techniek, maar vanuit bedrijfscontinuïteitsoogpunt. Daarmee kunnen ze het inzicht verschaffen waar alle stakeholders behoefte aan hebben.
Waar gaat de extra 1,2 miljoen van minister Grapperhaus naar toe?
Als de 1,2 miljoen euro van minister Grapperhaus gaat zitten in het benaderen/bereiken van een redelijk aantal wat grotere MKB’ers die vervolgens persoonlijk worden geholpen door onafhankelijk informatiebeveiligingsspecialisten, dan kun je in mijn optiek grote stappen zetten. Door juist specialisten in te zetten en met de directie/management te laten meedenken, kun je vanuit de keten direct helpen om ook kleinere MKB’ers aan te zetten tot actie (vanuit klant-leverancier krijg je ook bij kleinere MKB’ers meer voor elkaar omdat er voor hen commerciële belangen mee gemoeid zijn). Bij elke organisatie die je helpt, neem je dan zo’n 50 andere (kleinere) bedrijven mee, waardoor je in mijn optiek het geld werkelijk goed besteed.
Naschrift 1: Al in 2016 is met deze gedachte door ThreadStone Cyber Security de finale gehaald van de Accenture Innovation Awards.
Naschrift 2: Een open uitnodiging; ik ga graag een persoonlijk gesprek met minister Grapperhaus aan om bovenstaande uiteenzetting nader toe te lichten.