Kennisplatform voor Oost Nederland

Tafelgesprek cybersecurity in technologie: Van kostenpost naar gedragsverandering

Geplaatst op 28 december 2021

Cybercrime, datalekken, systeemuitval, DDos-aanvallen, ransomware. Veiligheidsincidenten nemen steeds meer toe door een snelle opmars van thuiswerken, digitalisering en online gegevensuitwisseling. De impact en financiële risico’s zijn groot. Structureel investeren in preventie is voor elk bedrijf een strategische uitdaging. Er valt nog een stap te zetten als het gaat om bewustzijn en urgentiebesef onder bestuurders en ondernemers, zo is de conclusie van het tafelgesprek met zeven specialisten bij LEAP. The Innovation Agency in Enschede.

In de regio Oost-Nederland zien we steeds meer voorbeelden waarbij organisaties en bedrijven het slachtoffer zijn geworden van een cyberaanval. Met alle gevolgen van dien. “De schade en de risico’s worden nog regelmatig onderschat”, stelt Liesbeth Holterman (Novel-T). “Het hele bedrijf kan stil komen te staan en er moet in het ergste geval losgeld worden betaald. De totale kosten van de uitvaltijd kunnen enorm oplopen. Kijk maar naar de downtime van bijna een maand bij de ransomware-aanvallen bij VDL en Hof van Twente. Het is belangrijk dat er veel meer bewustzijn en aandacht komt voor de risico’s.” Jens Oude Rengerink (BlueTree) reageert: “Het gaat bij cybersecurity bovendien verder dan IT-beveiliging. Een belangrijke factor is de mens, want dat is waar cybercriminelen zich op richten. Mensen zijn zich vaak niet bewust wat voor risico’s hun handelingen met zich meebrengen. Dat is een dreiging op zich. Het gaat erom dat iedereen in een bedrijf de verantwoordelijkheid neemt.”

Daar is Jussi Vuopionperä (Leap.The Innovation Agency) het mee eens. “Veel bedrijven denken dat het voldoende is als hun IT-leverancier de zaken goed op orde heeft. Als ondernemer moet je continu je medewerkers bewustmaken, draagvlak creëren en duidelijke afspraken maken over hoe je met systemen en documenten omgaat. Bovendien werkt een groot deel van de medewerkers steeds meer thuis of elders. Er wordt geïnvesteerd in arbo-voorzieningen, maar veel te weinig in de juiste infrastructuur en gedragsregels.”

Bewustwording en kennis 

Thomas Boerrigter (Leap.The Innovation Agency) heeft de ervaring dat de sense of urgency nog te vaak mist bij ondernemers. “De realiteit is dat veel bedrijven pas aan de slag gaan als de nood er is; als er iets is misgegaan of als er een aanval is geweest. De ontwikkelingen gaan echter snel, voor veel bestuurders is het moeilijk om een afweging te maken als het gaat om veiligheid. Daarbij speelt de IT-afdeling een grote rol.” Cybersecurity raakt alle elementen in een organisatie en begint dan ook met bewustwording van de directie of het bestuur, vindt Harry ten Berge (Baseflow). “Zij bepalen de  kaders voor het beleid en de aanpak en moeten niet blind vertrouwen op de IT-afdeling. Als zij er niet in slagen om basismaatregelen te nemen, word je een keer gehackt. En als bestuurders het niet uitdragen, hoe kun je er dan in slagen dat medewerkers hun verantwoordelijkheid nemen?”

Andrew van der Haar (Atlantis Data) knikt: “Veel mensen beseffen niet dat we niet met kwajongens te maken hebben, maar met een businesstak waarin veel geld is te verdienen. De gevolgen zijn echter groot. Niet alleen voor de organisatie, maar ook voor ketenpartners en zelfs persoonlijk. Cybersecurity wordt vaak nog gezien als kostenpost waardoor bedrijven minder weerbaar zijn, maar het is een kans om je business te ondersteunen.”

Inzicht in risico’s

Harry ten Berge pleit ervoor om cybersecurity hoog en structureel op de bestuursagenda te zetten. “Het is belangrijk dat het bestuur of de ondernemer in gesprek gaat met de eigen of externe IT-afdeling over laaghangend fruit. Faciliteer hen vervolgens, maak budget vrij en geef hen ruimte om beheersmaatregelen door te voeren. Denk aan autorisatie, goede back-ups, patchmanagement en netwerksegmentatie.” Inzicht geven in de risico’s helpt volgens Liesbeth Holterman om die bewustwording te creëren. “Daarbij gaat het erom dat je die maatregelen kiest die jouw bedrijf beschermen tegen wat echt pijn doet. Op zowel IT- als operationeel gebied. Wat is het risico dat je als bedrijf wilt en kunt nemen? Als je weet dat je als ondernemer tussen de 0,4 en 2 procent omzet misloopt bij een aanval, wat wil je dan uitgeven aan preventie? Novel-T biedt de cybersecurity quickscan aan, waarmee bedrijven inzicht krijgen in waar ze momenteel staan als het gaat om cyberveiligheid. Vervolgens krijgen ze passend advies over verbeterpunten.”

Jop Hofste (Carthago Oost): “Ik vergelijk het wel eens met een beroepsaansprakelijkheidsverzekering. Cybersecurity is ook abstract, waardoor het minder eenvoudig is om de kosten en schade in te schatten. Naast de kosten van het weren van aanvallen, is het bovendien van belang dat je de beveiliging op orde hebt. Het gaat ook om het herstel na een aanval: hoe snel kun je weer operationeel zijn? Daarbij is het van belang mensen te trainen, continu te informeren, regelmatig risicotesten uit te voeren en een veiligheidsplan te hebben.” Andrew van der Haar vult aan: “En vergeet ook het fysieke aspect niet. In veel bedrijfsverzamelgebouwen zitten nog zwakke plekken in de beveiliging. In de meterkast, maar ook in het fysieke deel. Het is belangrijk duidelijke afspraken te maken en strenge controles uit te voeren als iemand een pand betreedt.”

Kennis in huis

Cybersecurity is uiteindelijk een verantwoordelijkheid van de hele organisatie. Dat betekent dat het ook georganiseerd en gefaciliteerd moet worden voor medewerkers. “Duidelijke afspraken, continu informeren en uitleggen zijn belangrijk”, vervolgt Jop Hofste. “En dat kost tijd. Kijk naar de ISO-certificering. Dat duurt jaren en nu zie je dat medewerkers incidenten melden. Het gaat erom dat je blijft communiceren over het hoe, wat en waarom.” Hierbij plaatst Andrew van der Haar een kanttekening. “Je kunt je processen op orde hebben en verantwoording afleggen, in de praktijk zie je dat het anders loopt omdat de hele keten verantwoordelijk is. Daar zijn nog stappen te maken.” Dat vindt ook Harry ten Berge. “Het is belangrijk dat ondernemers enige kennis hebben van ICT. Als ze zich realiseren dat de materie te ingewikkeld wordt, is het verstandig te investeren in externe expertise. Maar enige kennis is noodzakelijk om leveranciers te kunnen beoordelen op kennis en kwaliteit.” Jens Oude Rengerink vult aan: “Wellicht is het voor kleinere bedrijven verstandig om een intern aanspreekpunt te hebben. Ook kun je iemand opleiden en verantwoordelijk maken voor cybersecurity. Met een jaarlijkse update blijft cybersecurity dan top of mind in de organisatie.”

Elkaar versterken in keten

Bijna elk bedrijf maakt deel uit van een keten. Deze ketens worden steeds meer afhankelijk van ICT en systemen zijn vaker met elkaar verbonden. Een keten is zo sterk als de zwakste schakel. “In de hele supply chain zijn nog stappen te maken als het gaat om samenwerking en het nemen van verantwoordelijkheid”,vindt Thomas Boerrigter. “Het ontbreekt vaak aan contracten, overleg en informatie-uitwisseling over cybersecurity.” Harry ten Berge vindt het belangrijk dat hierover op Europees niveau afspraken worden gemaakt. “Regelmatig lees je over ransomware-aanvallen bij buitenlandse leveranciers, wat leidt tot dataverlies bij afnemers. Naast internationale afspraken kunnen grote leveranciers in de keten de kleinere helpen zodat je elkaar kunt versterken.” Liesbeth Holterman is voorstander van het delen van informatie over cybersecurity-incidenten. “Cybersecurity is immers een gemeenschappelijke uitdaging. Maar het delen van informatie gebeurt nog te weinig, terwijl we van elkaar kunnen leren.”

Digitalisering maakindustrie

De ransomware-aanvallen aan de kant van Operationele Technologieën (OT) nemen sinds vorig jaar enorm toe. “Dat komt doordat maakbedrijven meer gebruikmaken van OT, geconnecteerde machines en robots”, vertelt Jussi Vuopionperä. “Eigenlijk moet cybersecurity een onderdeel zijn van de innovatie- en digitaliseringvraagstukken van elk bedrijf. Dikwijls kan er ook aanspraak gemaakt worden op subsidie. Er zijn diverse regelingen als SLIM, MIT-haalbaarheid en kennisvouchers die hierin kunnen ondersteunen. Interne opleidingstrajecten zijn mogelijk maar ook het inhuren van externe kennis tot financiering van onderzoek naar cybersecurityvraagstukken.”

Liesbeth Holterman noemt tot slot nog een andere ontwikkeling bij maakbedrijven: “Buiten de fabrieksmuren is veel data-uitwisseling als het gaat om de planning van predictief onderhoud, controle en optimalisatie. Veel schakels zijn met elkaar verbonden. Cybersecurity kan direct meegenomen worden met het implementeren van nieuwe businessmodellen als servitization. Ook afnemers gaan steeds meer vragen stellen over veiligheidsmaatregelen. Het biedt absoluut kansen als je als maakbedrijf cybersecurity beter op orde hebt dan andere bedrijven!

Heeft u interessant nieuws of een bijzonder verhaal?

Laat het ons weten via nieuws@kijkopoostnederland.nl. of via onze handige nieuwsmodule.

Nieuws aanleveren

Zoeken naar: