Dat er een explosieve toename is van het aantal meldingen datalekken veroorzaakt door cyberaanvallen is bekend. Vorig jaar ontving de Autoriteit Persoonsgegevens (AP) 25.000 datalekmeldingen. Negen procent daarvan ontstond als gevolg van cyberaanvallen. Toch wachten veel bedrijven en instellingen met de aanschaf van cyberveilige oplossingen. Waarom?
Het ligt aan ons!
Securityleveranciers maken cyberveiligheid ingewikkeld, kostbaar en daardoor onbereikbaar. Zonder dat we er erg in hebben heeft onze securitysector de neiging zaken onnodig ingewikkeld te maken. Securityspecialisten gebruiken dagelijks termen – vulnerabilities, risk management, indicators of compromis – die voor ons heel gewoon zijn en waarvan wij er maar van uitgaan dat de gemiddelde klant snapt waar wij het over hebben. Door de toenamen van cyberaanvallen en incidenten, waar we dagelijks via het nieuws lezen, gaan securityleveranciers er van uit dat klanten spontaan cybersecurityoplossingen aanschaffen.
Realiteit
De realiteit is anders. Dagelijks spreken wij samen partners en hun klanten. Een veel gehoorde opmerking is dan: ‘Waarom zou ik een bedrag per maand betalen voor cyberveiligheid? Mij overkomt het toch niet’. Of: ‘Het is niet mijn verantwoordelijkheid want ik heb alles via mijn ict-leverancier in de cloud staan en die zorgt wel voor mijn cyberveiligheid.’
Hoe kan de cybersecurity industrie echt helpen? Het begint met goede voorlichting. Het is de taak van ict-ondernemingen en cybersecurityleveranciers om klanten van de juiste informatie te voorzien waarbij de taal van de klant gesproken wordt. We moeten niet praten over alle cyberincidenten en gevaren die er zijn – want dat weten ze inmiddels wel. Beter is om met klanten in gesprek te gaan over zaken als businesscontinuïteit, corebusiness en hoe cyberveiligheid hierbij kan helpen. In sommige gevallen is het ook goed om met klanten te praten over hun rol in de keten. Dan heb je het over zogenaamde ketenverantwoordelijkheden.
Onvoldoende
Geloofwaardigheid. Hoe kunnen we praten met klanten over cyberveiligheid als de ict-industrie haar eigen cyberveiligheid onvoldoende op orde heeft. Recent is gebleken dat naast de zorg, overheid, en private ondernemingen ook it-leveranciers een gewild doelwit zij. Diefstal van data bij it-leveranciers was in 2021 bijna verdubbeld. Practice what you preach. Ofwel, ict-dienstverleners moeten hun klanten laten zien wat zij er zelf aan gedaan hebben om zich preventief te beveiligen tegen cyberaanvallen.