Tijdens ExpertsOn Cybersecurity, een event van Yellow Communications, besprak ik met experts de uitdagingen van cyberveiligheid. Waarom is hier, buiten de it-branche, schijnbaar weinig aandacht voor? En hoe is bijvoorbeeld het groeiend aantal ransomware-aanvallen af te weren? We kwamen tot de conclusie dat openheid de eerste vereiste is om de veiligheid te verbeteren.
Het gebrek aan cyberveiligheid en de hoeveelheid gevallen van online inbraken, ransomware en identiteitsdiefstallen, kan nauwelijks rekenen op de aandacht van het publiek. Het onderwerp is blijkbaar niet sexy, hoewel de dreiging ervan met de dag groter wordt. Bewustwording van de ernst en awareness kweken bij zowel publiek als bedrijfsleven lijken dé remedie om cybersecurity een boost te geven.
Dat we een slot op onze voordeur hebben, vindt iedereen niet meer dan logisch. Maar op eenzelfde wijze onze data afschermen van de buitenwereld, dat is verre van vanzelfsprekend. Onbekendheid met het fenomeen en de kosten die ermee gepaard gaan, staan de inzet van voldoende veiligheidsmiddelen in de weg.
Er lijkt een vorm van ‘security fatigue’ te heersen. Het onderwerp zit te veel in de it-hoek en is daarom voor veel groepen in de maatschappij weinig aansprekend. De security-uitdaging breder trekken dan it is dan ook hard nodig. Nu lijkt een hack of data-lek, zoals die rond het filmpje van Patricia Paay, meer op vermaak dan op een serieuze waarschuwing dat we beter met onze data moeten omgaan.
Digitale dijkdoorbraak
Jeroen van der Meer, cto bij Solvinity, en René van Buuren, directeur Cybersecurity bij Thales Nederland, waarschuwden tijdens de bijeenkomst voor een digitale dijkdoorbraak, voor een grote ramp die moet gebeuren wil de wereld in actie komen tegen digitale criminaliteit. Misschien zijn we dat punt zelfs al voorbij. De gevallen van ransomware, waardoor ondernemingen failliet gaan of slachtoffers zelfs zelfmoord plegen, zijn een ramp op zich.
Bedrijven die worden aangevallen, ervaren dat blijkbaar ook als een ramp, want maar weinig treden ermee naar buiten. De slachtoffers schamen zich en willen niet negatief in het nieuws komen. Van de gigantische hack bij LinkedIn hoorden we pas vijf jaar later, terwijl elk bedrijf had kunnen leren van de lessen van deze aanval.
Het probleem vraagt om openheid en om het delen van kennis. Ik geef daarom zelf veel gastcolleges op scholen en universiteiten. De volgende generaties dienen op jonge leeftijd bewust te worden gemaakt van de risico’s. Trainingen op dit gebied moeten betaalbaar worden, ook voor kleine ondernemers. En security moet weg bij de it-afdeling. Daar heeft het te lang stil gezeten. It heeft te lang geprobeerd te controleren wat we wel en niet mogen.
Openheid
Eén kant-en-klare oplossing om cybercriminaliteit de wereld uit te krijgen, is er niet. Maar uit de bijeenkomst kwamen wel vier aanbevelingen naar voren:
- Meer bekendheid en openheid omtrent specifieke gevallen, de gevolgen én de oplossingen is nodig om de bewustwording te vergroten en te benadrukken dat we niet slechts kansloze slachtoffers zijn;
- Meer voorlichting en educatie is noodzakelijk, zowel vanuit de overheid als bedrijfsleven;
- Samenwerking verdient meer aandacht, zodat kennis beter en sneller gedeeld wordt en, zeker met het oog op het groeiende tekort aan security-specialisten, effectiever gebruik wordt gemaakt van elkaars kennis en kunde;
- Het bedrijfsleven, van MKB tot multinational, moet attent worden gemaakt op de noodzaak om investeringen in security in een breder kader dan alleen it te zien. Security is een zakelijke noodzaak en cybercrime een economische bedreiging.