Laat ons cybersecurity op hetzelfde niveau zetten als GDPR. Het zou bedrijven en de maatschappij ten goede komen, en inbreuken helpen vermijden. Waarom vinden we genezen even aanvaardbaar als voorkomen?
Er heerst een groot misverstand over cybersecurity: te veel burgers zijn in de veronderstelling dat cybersecurity iets is dat privé kan en mag worden verzorgd. Iets waar mensen die niet werken voor de organisatie in kwestie, geen zaken mee hebben. Iets waarvoor ze geen verantwoording hoeven af te leggen.
Vreemd, want met de GDPR hebben we wel (terecht, overigens) een greep op de manier waarop organisaties de zaken moeten aanpakken: er is een strenge controle op data-inbreuken en mismanagement van de gegevens die bedrijven en instellingen over ons verzamelen. De achterliggende gedachte is dat een inbreuk op deze wetgeving een impact heeft op de maatschappij of een gemeenschap. Bij cybersecurity is dat nochtans niet anders.
Een commissie vs. niets
Om de GDPR te handhaven bestaan commissies, controleorganen, DPO’s, en meer die de regulering helpen naleven en, indien nodig, bestraffen. De boetes bij een inbreuk kunnen aardig oplopen. Voor problemen met cyberveiligheid bestaan er evenwel alleen groepen en organisaties die het puin komen ruimen. Werden je computers op slot gezet, dan komt de dienst cybercrime van de politie helpen om alles te ontsluiten, waarna de getroffen organisatie weer zijn eigen gang kan gaan.
Begrijp het niet verkeerd: het slachtoffer mag niet nogmaals benadeeld worden. Wie aangifte doet van een gestolen auto, moet daar zeker geen boete bovenop krijgen. Wel is het belangrijk om de vraag te stellen: waarom wordt de bescherming van persoonsgegevens op een heel andere manier benaderd dan cybersecurity, terwijl deze één en ondeelbaar moeten zijn? Wie zijn fiets niet op slot doet aan het station, kan niet rekenen op tussenkomst van zijn verzekering. Wie zijn bedrijfsdata niet beveiligt, zal ze gestolen zien worden.
De menselijke factor
Uiteraard laat niemand zich moedwillig in de luren leggen. En natuurlijk is er vandaag niemand meer die het thema niét serieus neemt. Elke dag is er wel een grote gebeurtenis die maakt dat iedereen bezig is met cybersecurity. En toch gaan veel organisaties er nog te vrijblijvend mee om.
Ze geven vaak grote delen van hun budget uit aan technische middelen: firewalls, emailbeveiliging, vpn,… De personen die ze moeten gebruiken, blijven echter in de kou staan. Als we vandaag een enquête zouden afnemen bij een gemiddeld bedrijf in België, hoeveel van de werknemers zouden zich dan de laatste opleiding of training in cyberbeveiliging nog herinneren? Meer nog: wanneer kregen ze voor het laatst een training in het correcte gebruik van de tools die ze moeten gebruiken om vanop afstand te werken?
In vroegere tijden was een eigengereide strategie nog enigszins begrijpelijk – al was die zelfs toen al niet de meest verstandige. Toen gingen bedrijven uit van kwalitatieve backups in geval van nood. Vandaag zijn systemen evenwel zo onderling verweven en complex dat het geen sinecure is om er eentje stil te leggen. Daarnaast nemen hackers vandaag rustig de tijd om een organisatie en netwerk te leren kennen voor ze toeslaan; backups kunnen zo compleet nutteloos worden.
Genezen of voorkomen?
Laat ons niet vergeten dat haast elke hack, elke cyberaanval leidt tot dataverlies. Een inbreuk op de GDPR is in het geval van een datalek zo goed als altijd het gevolg van een probleem met beveiliging. Als zo’n hack zich afspeelt bij een school of ziekenhuis kan je bovendien makkelijk spreken van een maatschappelijk probleem. Al geldt dat evenzeer voor een grote werkgever die moet worden stilgelegd.
We lijken het nog steeds normaal te vinden dat genezen een even valabele optie is als voorkomen. Ransomware-verzekeringen beloven schade te vergoeden, waardoor bedrijven makkelijker losgeld betalen en zo hackers aanmoedigen.
Onder het mom ‘als hackers het echt willen, zitten ze altijd binnen’ wordt nog te vaak niets ondernomen. We vergeten daarmee wel even dat goed voorbereide werknemers het overgrote deel aan digitale gevaren makkelijk kunnen herkennen en omzeilen. Op voorwaarde dat ze toegang hebben tot degelijke opleidingen, natuurlijk.
Een DPO moet wettelijke voorschriften naleven, maar een it-verantwoordelijke is vrij om zijn eigen beleid uit te stippelen. Wie daar over nadenkt, stelt vast dat we werken met verschillende maten en gewichten. Databescherming en -regulering hoort net hand in hand te gaan met de algemene bescherming van een organisatie, ze hangen dan ook samen.
Naar een wettelijk kader?
Voor GDPR voorzien we een uitgebreid wettelijk kader, het is hoog tijd dat we dat ook doen voor cybersecurity. Een menselijke aanpak is daarbij hoogstnoodzakelijk: mensen zijn de eerste en de laatste verdedigingslinie in de strijd tegen criminelen. Het heeft geen zin om miljoenen te investeren in technische middelen waar niemand mee kan werken, of geen oog te hebben voor de menselijke aard.
Een regelgeving die de nadruk legt op voorkomen in plaats van genezen, met een speciale aandacht voor de menselijke factor, kan veel leed en geld besparen. Dat hoeft zelfs geen baanbrekend kader te zijn, dat kan ook gewoon een logische uitbreiding zijn van de GDPR. Die is vandaag immers op veel plekken nog te vaag of met te grote gaten bedekt. Cybersecurityregels als uitbreiding van de GDPR zou al enkele problemen kunnen oplossen.
Zolang een structurele aanpak uitblijft, willen we toch vooral werkgevers oproepen om eens voor de spiegel te gaan staan, en zich af te vragen of zij hun werknemers wel alle mogelijke kansen geven om zichzelf en hun onderneming te beschermen.
Geef zij die worden aangevallen de mogelijkheid om zich te verdedigen en we zullen al veel problemen kunnen vermijden. Vandaag gebeurt dat niet, want cybersecurity is nog te vrijblijvend. Zolang iedereen mag doen wat hij wilt, komen we er niet.
Auteur: Arnout Van de Meulebroucke, ceo van anti-phishingplatform Phished
