Dat er een explosieve toename is van het aantal meldingen datalekken veroorzaakt door cyberaanvallen is bekend. Vorig jaar ontving de Autoriteit Persoonsgegevens (AP) 25.000 datalekmeldingen. Negen procent daarvan ontstond als gevolg van cyberaanvallen. Toch wachten veel bedrijven en instellingen met de aanschaf van cyberveilige oplossingen. Waarom?
Het ligt aan ons!
Securityleveranciers maken cyberveiligheid ingewikkeld, kostbaar en daardoor onbereikbaar. Zonder dat we er erg in hebben heeft onze securitysector de neiging zaken onnodig ingewikkeld te maken. Securityspecialisten gebruiken dagelijks termen – vulnerabilities, risk management, indicators of compromis – die voor ons heel gewoon zijn en waarvan wij er maar van uitgaan dat de gemiddelde klant snapt waar wij het over hebben. Door de toenamen van cyberaanvallen en incidenten, waar we dagelijks via het nieuws lezen, gaan securityleveranciers er van uit dat klanten spontaan cybersecurityoplossingen aanschaffen.
Realiteit
De realiteit is anders. Dagelijks spreken wij samen partners en hun klanten. Een veel gehoorde opmerking is dan: ‘Waarom zou ik een bedrag per maand betalen voor cyberveiligheid? Mij overkomt het toch niet’. Of: ‘Het is niet mijn verantwoordelijkheid want ik heb alles via mijn ict-leverancier in de cloud staan en die zorgt wel voor mijn cyberveiligheid.’
Hoe kan de cybersecurity industrie echt helpen? Het begint met goede voorlichting. Het is de taak van ict-ondernemingen en cybersecurityleveranciers om klanten van de juiste informatie te voorzien waarbij de taal van de klant gesproken wordt. We moeten niet praten over alle cyberincidenten en gevaren die er zijn – want dat weten ze inmiddels wel. Beter is om met klanten in gesprek te gaan over zaken als businesscontinuïteit, corebusiness en hoe cyberveiligheid hierbij kan helpen. In sommige gevallen is het ook goed om met klanten te praten over hun rol in de keten. Dan heb je het over zogenaamde ketenverantwoordelijkheden.
Onvoldoende
Geloofwaardigheid. Hoe kunnen we praten met klanten over cyberveiligheid als de ict-industrie haar eigen cyberveiligheid onvoldoende op orde heeft. Recent is gebleken dat naast de zorg, overheid, en private ondernemingen ook it-leveranciers een gewild doelwit zij. Diefstal van data bij it-leveranciers was in 2021 bijna verdubbeld. Practice what you preach. Ofwel, ict-dienstverleners moeten hun klanten laten zien wat zij er zelf aan gedaan hebben om zich preventief te beveiligen tegen cyberaanvallen.
“Het ligt aan ons!”
Dat is wel heel kort door de bocht. Ja, cybersecurity specialisten zouden er goed aan doen om zich meer in te leven in de organisatie waar zij voor werken, meer oog hebben voor de organisatiedoelen en beter in staat moeten zijn om de taal van niet-ICT’ers te spreken. Maar wij zijn niet degene die ICT-systemen aanschaffen zonder dat we goed begrijpen hoe die werken. Wij zijn niet degene die informatie in die systemen stoppen zonder ons te realiseren wat de mogelijke gevaren zijn. Wij zijn niet degene die niks ingericht hebben om de processen, die verstoord worden als gevolg van een ICT-incident, door te kunnen laten gaan. Nee, het ligt niet aan ons. De situatie is zoals die is en daar zijn wij niet schuldig aan. Willen we iets aan die situatie veranderen, dan moeten we daar met z’n allen iets aan doen. Wij, maar vooral ook degene die verantwoordelijk zijn voor informatie en de daarvan afhankelijke processen.
“ict-dienstverleners moeten hun klanten laten zien wat zij er zelf aan gedaan hebben om zich preventief te beveiligen tegen cyberaanvallen”
Ik zeg ook steeds tegen mijn klanten dat we zelf ook lekker bezig zijn met “vulnerabilities, risk management, indicators of compromis” maar dan kijken ze meestal best wel dom.
en daarna een gezellig gesprek over businesscontinuïteit, corebusiness en ketenverantwoordelijkheden.
Dus aan de slag Hugo