De vraag is niet óf je gehackt wordt, maar wanneer ‘We zijn gehackt en enkele van onze bestanden zijn versleuteld’. Een bericht dat je, als algemeen directeur van een MKB-onderneming, niet verwacht en ook nooit hoopt te horen. Net als VDL recent nog, waren ook wij ooit slachtoffer van cybercriminelen.Van alles schiet door mijn hoofd: maar we hadden toch zoveel geïnvesteerd in security-maatregelen? Hoe ga ik dit aan onze klanten melden? Wat nu? De analyse van de oorzaak was meteen helder, iemand van ons had op een link in een e-mailbericht geklikt. En die iemand bleek ikzelf te zijn. Schaamte #ThinkB4UClick
In taboe of onder de aandacht?
Onwetendheid, onnadenkendheid en schaamte dragen ertoe bij dat cybersecurity in de taboesfeer blijft hangen, terwijl juist door open te zijn je andere ondernemers en bedrijven kunt helpen in het voorkomen van cybersecurity-issues. Onderzoek laat zien dat cybersecurity al jaren hoog op de agenda staat van menig MT. Uit het onderzoek voor de ICT Development Index dat Motivaction voor de BTG uitvoert, blijkt dat onderwerpen als data privacy en cybersecurity het meest worden gevolgd door ICT-professionals én van het grootste belang worden geacht voor de (continuïteit) van de bedrijfsvoering. Dus de aandacht voor cybersecurity is er heus wel.
Overschatting of onderschatting?
Maar waarom gaat het dan toch nog vaak mis? Enerzijds valt in de resultaten van de ICT Development Index op dat veel ICT-professionals aangeven dat er voldoende kennis en kunde in de organisatie is om complexe nieuwe technologieën te implementeren. Dat lijkt op het gebied van security naar overschatting van de eigen kennis en kunde te neigen. Anderzijds heb ik zelf ondervonden hoe geraffineerd cybercriminelen zijn om individuen in een organisatie te verleiden tot een foute handeling. De vraag is of we ons daar wel tegen kunnen wapenen. Of onderschatten we de kennis en kunde van cybercriminelen te vaak?
Cybersecurity & Vitale infrastructuur in Nederland
De helft (of meer) van de medewerkers in de vitale infrastructuur verwacht op hun werk te maken te krijgen met ransomware’ (50 procent), hacking (51 procent) en DDOS-aanvallen (56 procent). Eén op de vijf van deze medewerkers schat de eigen kennis over digitale en online veiligheid als matig tot (zeer) slecht in. En een derde van de medewerkers in de vitale infrastructuur maakt zich zorgen over de online/digitale veiligheid in de werksituatie. Dit bleek ook al uit het Veilig Online onderzoek dat Motivaction in 2020 uitvoerde. De bovenstaande resultaten één jaar later laten geen verbetering zien.
Blijf kritisch en open
Het belangrijkste wat ondernemingen zelf kunnen doen is kritisch blijven op het op orde houden van IT-processen en – kennis en waken voor overschatting. Het menselijk handelen blijft waarschijnlijk de zwakke plek. Maar zolang we niet wegduiken, van onze fouten leren en deze fouten delen met anderen, kunnen we de schade beperken.
Door: Pieter Paul Verheggen
Pieter Paul is algemeen directeur van Motivaction, een fullservice onderzoeksbureau. Hij studeerde psychologie aan de UvA en is sinds 1989 managing partner van Motivaction en vanaf 2009 algemeen directeur.