14 feb
De afgelopen weken haalden de gevolgen van cybercriminaliteit opnieuw de media. Die gevallen bleken niet mals, met bedragen die naar criminelen zijn overgemaakt die in de tonnen (universiteit Maastricht) of zelfs miljoenen (Rijksmuseum Twenthe) lopen. Robbert Dijkgraaf waarschuwde er recent in Nieuwsuur voor dat we datamisbruik en online privacy niet voldoende serieus nemen.
Maar wat doen we met deze informatie…?
Je zou verwachten dat het besef groeit dat ondernemers (en niet-zakelijke internetgebruikers, maar die laten we hier even buiten beschouwing) maatregelen moeten nemen. Zoals de techniek in orde maken, maar ook medewerkers trainen en alert houden.
Dat is voor grotere ondernemingen en organisaties meestal gemakkelijker te regelen, doordat zij beschikken over een eigen IT-afdeling en geformaliseerd beleid. Bij kleinere ondernemingen is de uitdaging groter, omdat zij daar geen toegewijde teams en vaak ook geen tijd en budget voor hebben.
De grootste kracht: de optimism bias
Maar op de achtergrond loopt nóg een proces dat misschien wel de grootste kracht uitoefent: de optimism bias. Een kracht die in de hoofden zit, in ons brein. Mensen zijn, zeker bij negatieve gebeurtenissen, ervan overtuigd dat het hun niet zal overkomen. ‘Dat een universiteit geen goede back-up heeft! Dat zal ons niet gebeuren!’ Maar is die kans ook daadwerkelijk nul of is dat wat we als mens automatisch geneigd zijn te denken?
Vier factoren spelen een rol in de optimism bias:
- de gewenste of ideale eindsituatie (‘wij worden geen slachtoffer van cybercriminelen’);
- onbewuste, automatische mechanismen in je brein;
- de informatie die je hebt over jezelf en over anderen;
- je stemming.
Zelfs met impactvolle gevallen van cybercriminaliteit, zoals we die recent in de media hebben gezien, merken wij dat het besef dat er íets gedaan moet worden om de risico’s te beperken, binnen het MKB nauwelijks groeit. Of anders gezegd: misschien groeit het wel, maar er wordt nog beperkt actie ondernomen. Bij grotere organisaties zien we direct de gevolgen van de Citrix- problemen in de afgelopen periode (in de vorm van een stijgende vraag naar onze diensten). Vanuit het MKB blijft de vraag beperkt. Onze ervaring is dat het MKB gaat acteren op het moment dat er ‘pijn’ wordt ervaren, bijvoorbeeld in de volgende situaties:
- een ondernemer wordt slachtoffer. Vooral ransomware geeft directe ‘pijn’ omdat de organisatie niet verder kan;
- er wordt een boete opgelegd vanuit de Autoriteit Persoonsgegevens omdat de ondernemer niet heeft gehandeld volgens de regels van de AVG. De kans hierop schat een gemiddelde MKB’er op dit moment in als ‘laag’ en dus wordt dit pas als pijn ervaren als de boete er ligt. Bovendien worden er op dit moment nog erg weinig boetes uitgedeeld, waardoor de waakhond geen tanden lijkt te hebben en alleen lijkt te dreigen met mogelijke miljoenenboetes;
- er wordt vanuit de keten als leveringsvoorwaarde gesteld dat de MKB’er zijn informatiebeveiliging aantoonbaar goed heeft geregeld, anders gaat een opdracht niet door of verliest de MKB’er wellicht zijn klant.
Als een accountant, verzekeraar, jurist of – nog beter – belangrijke klant aan een MKB’er vraagt hoe de informatiebeveiliging is geregeld, pas dán blijkt dat de meesten eigenlijk geen flauw idee hebben. Pas dán worden vragen gesteld aan de IT’er (want helaas wordt maar al te vaak gedacht dat de IT’er verantwoordelijk is voor het beveiligingsbeleid). Pas dán wordt er budget vrijgemaakt om de huidige situatie rond informatiebeveiliging in kaart te brengen en actie te ondernemen. En pas dán wordt de optimism bias doorbroken, omdat men dán pas ziet dat informatiebeveiliging iets is wat door de hele organisatie loopt en de hele organisatie raakt. Beleid en processen, mens én techniek bepalen de sterkte van de beveiliging van een organisatie. Informatiebeveiliging is niet te koop in een doosje. Met een firewall en een antivirusapplicatie op de werkplekken die alleen controleert op bekende (of verouderde!) virusdefinities kom je er allang niet meer.
Tijd voor echte impact
Wij kunnen met allerlei voorbeeldcases, staafdiagrammen en dummies van onze programma’s feitelijk onderbouwd laten zien dat de risico’s reëel zijn. Maar hoe hoog onze markt – inclusief overheidsorganisaties als het Digital Trust Center - ook springt met campagnes, hoe hard er op de televisie en radio wordt geroepen dat je ook ‘domme’ apparaten als de thermostaat moet updaten, hoe vaak crimefighters als Peter R. de Vries en John van de Heuvel ook benadrukken dat juist het MKB een eenvoudig slachtoffer is: het landt nog niet. Gelukkig zien we de roep om inzicht op het gebied van informatiebeveiliging vanuit de keten langzaam toenemen, maar dit zijn nog druppels op een heetgloeiende plaat. Het wordt tijd voor echte impact!
Daarom deze oproep aan met name grotere ondernemingen (maar ook juristen, accountants en verzekeraars die veel contact met het MKB hebben): maak wat capaciteit/budget vrij om een leverancierscheck uit te (laten) voeren, om schade te voorkomen en ook het MKB in beweging te krijgen. Uiteraard ondersteunen wij hier graag in, maar daar gaat het ons niet om. Laten we sámen ons best doen om Nederland werkelijk veiliger maken!