Digitalisering is niet zonder gevaar. Hoe meer technologie bedrijven omarmen, hoe kwetsbaarder ze zijn voor cybercriminaliteit. Toch zijn er maar weinig ondernemers die zich daartegen beschermen. Sterker nog: de meeste Nederlandse bedrijven hebben zelfs de meest basale beveiliging niet op orde. Terwijl het geen rocket science is volgens Jaya Baloo, Chief Information Security Officer bij KPN. ‘Uiteindelijk draait beveiliging om het cumulatieve effect van marginale verbeteringen.’
Het is verbijsterend hoeveel bedrijven nog steeds slachtoffer worden van cyberaanvallen’, vindt Baloo. ‘Zelfs relatief simpel te voorkomen aanvallen zorgen nog steeds voor veel schade. Dat zien we in de praktijk. Dit beeld wordt bevestigd door werkelijk alle onderzoeken die ernaar worden gedaan. Het National Cyber Security Centrum concludeerde in het ‘Cybersecuritybeeld Nederland 2018’ nog dat er sprake is van een continue digitale dreiging voor de nationale veiligheid.’ Om het tij te keren hoeven ondernemers volgens Baloo echt geen complexe, dure beveiligingsoplossing te bedenken. ‘Je moet gewoon de fundamentele dingen goed doen. Hiervoor geldt het Paretoprincipe: 80% van de voordelen haal je met 20% van de inspanning. En het argument dat beveiliging een belachelijke kostenpost is, gaat echt niet op.’
The Digital Dutch 2019
Kom op 11 april 2019 naar Jaarbeurs Utrecht voor de 4e editie van The Digital Dutch. Hét event voor ondernemend Nederland over digitale kansen, inspiratie en innovatie.
Schrijf je nu in
Ongemerkt blijven
Ondernemers denken vaak dat ze niet snel slachtoffer worden, omdat hun intellectueel eigendom niet interessant zou zijn. Een misvatting stelt Baloo. ‘In de meeste gevallen gaat het helemaal niet om gerichte aanvallen. Net als ‘echte’ inbrekers zijn cybercriminelen opportunisten. Als ze doorhebben dat ze gemakkelijk binnen kunnen komen, dan proberen ze het gewoon. Ongeacht wat er te halen valt. Vervolgens doen ze hun best zo lang mogelijk onopgemerkt binnen te blijven. Dat lukt bijzonder vaak. Gemiddeld slagen hackers erin om tussen de 6 en 18 maanden ongezien een bedrijf te infiltreren. Dat is gigantisch lang!’ Als de basisbeveiliging op orde is, kan dit nooit gebeuren. Maar wat houden die basismaatregelen in? Baloo noemt er drie. ‘Allereerst is het zaak om te bepalen hoe het netwerk eruitziet en welke soft- en hardware erop draaien. Zorg er vervolgens voor dat je continú al je ICT patcht, oftewel structureel update, repareert én verbetert. En tot slot: maak zowel online als offline back-ups. Doe je dit allemaal met een ijzeren discipline? Dan komen de meeste aanvallen niet eens bij je bedrijf in de buurt.’
Pijnlijke administratieve oefening
Bewustwording is de eerste stap op weg naar een betere digitale beveiliging. Baloo had gehoopt dat de GDPR zou helpen die bewustwording bij ondernemers te vergroten, maar dat is anders in de praktijk. ‘De GDPR had veel potentie, maar is in de praktijk een pijnlijke administratieve oefening geworden. Daar baal ik echt van. De essentie van GDPR omarm ik volledig, maar de uitwerking ervan druist zó in tegen wat we met elkaar willen bereiken.’ Nu we steeds meer apparaten aan elkaar verbinden is beveiliging namelijk belangrijker dan ooit. Baloo: ‘Al die apparaten, van camera’s tot virtuele assistenten en zelfs op afstand bestuurbare liften en klimaatsystemen, maken een netwerk kwetsbaarder.
‘DE GDPR HAD VEEL POTENTIE, MAAR IS IN DE PRAKTIJK EEN PIJNLIJKE ADMINISTRATIEVE OEFENING GEWORDEN’
kwetsbaarder. Op de eerste plaats is het belangrijk dat ondernemers zich afvragen of het noodzakelijk is dat een apparaat een internetverbinding heeft. Maar ik vind ook dat soft- en hardware-fabrikanten beter hun best moeten doen om veilige apparatuur te leveren. Waarom accepteren we dat we betalen voor producten die de deuren wijd openzetten voor hackers? Want dat gebeurt.’ Ondernemers moeten leveranciers zelf om veilige producten vragen en wet- en regelgeving moet fabrikanten ook dwingen volgens Baloo. Maar dat gebeurt niet. ‘Sterker nog: de NIS Directive, de eerste Europese wet voor cybersecurity, stelt dat iedereen verantwoordelijk is voor digitale beveiliging, behálve de soft- en hardware-fabrikanten. Dat is echt schadelijk.’
Ben jij dagelijks bezig met digitalisering in je bedrijf of organisatie? Loop je daarbij tegen obstakels aan? Wil je meer weten over wat vandaag al mogelijk is en hoe het jouw bedrijf helpt om succesvoller te worden? Kom dan op 11 april naar 'the Digital Dutch' het event voor ondernemend Nederland.
Aanmelden
Net zo gewoon als tanden poetsen
Uiteindelijk is digitale veiligheid een gezamenlijke opgave volgens Baloo. De verwevenheid maakt het noodzakelijk dat niet alleen ondernemers, fabrikanten en de overheid, maar iedereen zijn verantwoordelijkheid neemt. ‘Beveiliging moet onderdeel worden van onze dagelijkse routine en iedereen moet ervan doordrongen zijn dat cybercriminaliteit een serieuze dreiging is en dat simpele maatregelen ons weerbaarder kunnen maken. Cybersecurity moet zoiets doodgewoons zijn als tandenpoetsen of je huis op slot doen als je weggaat. Het zou al een enorme stap vooruit zijn als we allemaal elke dag 1 minuut stilstaan bij onze digitale beveiliging. Zijn er geen nieuwe updates en heb ik hier wel een back-up van gemaakt? Zo veel tijd hoeft het niet te kosten en die kleine investering levert enorm veel op.’
‘IEDEREEN MOET ERVAN DOORDRONGEN WORDEN DAT CYBERCRIMINALITEIT EEN SERIEUZE DREIGING IS’
1,7 terabyte
Terwijl veel bedrijven de basis nog op orde brengen, kijkt Baloo al naar de toekomst. ‘Hoe gaan we bijvoorbeeld om met DDoS-aanvallen die steeds gangbaarder én zwaarder worden? Voor 40 euro huur je iemand in die het netwerk van je concurrent bestookt met grote hoeveelheden data en zo het bedrijf platlegt. Aanvallen van 1,7 terabyte zijn al geen uitzondering meer. Ook zorgen kwantumcomputers in de toekomst voor nieuwe dreigingen. Computers die zo krachtig zijn dat de manier waarop we onze data nu versleutelen niet meer voldoet. Dat soort ontwikkelingen vragen om zwaarder geschut dan nu voor handen is. Het is goed om te weten dat KPN daar al aan werkt, samen met partners, zoals andere telecomproviders en universiteiten.’
