Cybersecurity: Maak bedrijven duidelijk wat er moet gebeuren

Nederlandse bedrijven doen nog te weinig op het gebied van digitale veiligheid, concludeerde de Cyber Security Raad (CSR) gisteren. Dit ondanks dat het volgens de wet verplicht is. Gevolgen: systemen en producten die onvoldoende tegen hacken beschermd zijn. Volgens de Raad moet het kabinet het voortouw nemen in de discussie hierover en Europese wetgeving op elkaar afstemmen. Werkgeversorganisatie VNO-NCW zou het onderwerp met haar leden moeten bespreken en helpen invulling te geven aan de plichten.

Lees ook: Cyberrisico's topprioriteit CFO in 2017

Bedrijven veel afhankelijker dan ze denken

Het beeld van onvoldoende aandacht voor cybersecurity is herkenbaar, zegt Sjaak Schouteren, manager Cyber Risk Solutions bij Aon. “Nog steeds zijn er veel bedrijven die niet inzien hoe afhankelijk ze zijn geworden van ICT. Uit onze praktijk blijkt ook dat organisaties nog te weinig weten van de huidige en toekomstige wetgeving en hun verantwoordelijkheden en aansprakelijkheden hierin, vooral in het MKB.” Nederland heeft juist een verhoogd risico doordat we een hoge internetdichtheid hebben en Nederlandse bedrijven vaak werken met innovatieve maar kwetsbare technologieën. Omdat data tussen bedrijven veelvuldig gedeeld wordt, is de impact van een incident ook nog eens extra groot, zegt Schouteren.

Er bestaan allerlei misvattingen over cyberrisico’s, zegt Schouteren. Zo onderschatten veel organisaties de tijd die ze bij een incident zonder ICT-toepassingen kunnen. Bedrijven zijn veel afhankelijker dan ze denken, zegt Schouteren. Hiernaast wordt vooral cybercrime als een risico gezien, terwijl systeem- of menselijk falen ook belangrijke risico’s zijn. Ook denken veel bedrijven dat hun data niet belangrijk is voor criminelen. “Een verkeerde denkrichting”, denkt Schouteren. "Een crimineel weet namelijk dat data voor het bedrijf van belang is en dat het bereid is ervoor te betalen de deze terug te krijgen."

Boodschap moet concreter

Er is vooral nog te weinig bewustwording over de noodzaak van preventie, zegt André Salomons, spreker en blogger over cybersecurity. Dat heeft te maken met de aanpak, die nu te breed lijkt. Salomons: “Het gaat om de vraag hoe je de mensen raakt. Jongeren zijn opgegroeid met een ander beeld van security dan ouderen. Iedere groep moet je op een andere manier benaderen. En er zijn grote verschillen tussen bedrijven. Cybersecurity is een breed begrip en betekent totaal iets anders voor Unilever dan voor de groenteboer om de hoek.”

De boodschap over de noodzaak tot cyberveiligheid moet veel concreter, vindt Salomons. “De wat-vraag is nu wel duidelijk, maar de hoe-vraag niet. Maak duidelijk wat er bij bedrijven moet gebeuren, bij stap 1, 2 en 3 en leg uit hoeveel geld dit kost. Dat mis ik nog. De overheid wil wel richting geven, maar aan het eind van de T-splitsing vertellen ze niet of je links of rechts moet. Daarom blijft het voor veel mensen en bedrijven nog een ver-van-mijn-bed-show. Men gaat er dan niet mee aan de slag en dan hoor je weer excuses zoals ‘het kost zoveel tijd’”.

Ook Schouteren is het eens met de mening van de CSR dat het kabinet hierin het voortouw moet nemen. En net als Salomons noemt hij bewustwording als een belangrijk element: “Als je alles gaat reguleren en rechten gaan beperken, zul je zien dat er onder de radar toch dingen gebeuren waarbij de aandacht voor cyberveiligheid onvoldoende is. Hiernaast zal het bewustzijn onder bedrijven en burgers niet stijgen. Voor een duurzame verandering moet je mensen bewust maken van hun acties en de gevolgen.”
Hij ziet hierin ook een duidelijke rol voor VNO-NCW. “Ze zijn hier ook mee bezig, maar zullen daar nog actiever in moeten worden. En er zijn nog andere goede voorbeelden. Transport en Logistiek Nederland (TLN) is heel actief bezig hun leden te informeren. De Gemeente Rotterdam is een pilot gestart met een cybersecurity startpakket voor MKB-bedrijven.”

ICT loopt achter de feiten aan

Maar hoe zit het binnen de bedrijven zelf en de aandacht van CFO’s voor dit onderwerp? Volgens Salomons gaat het ook hier om de vraag hoe je de CFO bereikt. “De ene CFO heeft meer een voorkeur voor strategie, de andere richt zich sterk op de KPI’s. Het heeft te maken met focus.”

Schouteren ziet binnen organisaties een probleem in de verantwoordelijkheid bij dit dossier. Die moet komen te liggen bij de directie en niet bij de afdeling ICT. Onderling is meer overleg nodig. “Nu zie je vaak dat ICT de ontwikkelingen binnen de organisatie niet kan bijhouden. Hierdoor worden producten en systemen ontwikkeld waarbij onvoldoende aandacht is besteed aan de beveiliging, aansprakelijkheidskwesties en huidige en toekomstige wetgeving. Ook worden er soms producten en systemen ontwikkeld waar de eigen ICT-afdeling niet van op de hoogte is. Het is onmogelijk iets te beschermen, waarvan je het bestaan niet weet.”