Hoe bereid je je goed voor op de digitale toekomst?
Roy Verbroekken |Datalekken en cyber hacken zijn al lang geen incidenten meer. Een bericht in de krant of op het nieuws over gevoelige persoonsgegevens die onbedoeld op straat zijn komen te liggen of een cyber hack waardoor een organisatie volledig stil is komen te vallen is van alledag. Recente voorbeelden zijn Bol.com, waar een betaling van €750.000 gedaan is aan een hacker omdat deze verzocht had het bankrekeningnummer van een crediteur te wijzigen in dat van hem of de Mandemakers-groep, waar hackers alle operationele systemen geblokkeerd hadden waardoor het werken onmogelijk werd gemaakt.
Maar ook de Gemeente Hof van Twente kwam onlangs negatief in het nieuws. Zij haalden hackers op een rode loper binnen door als systeemwachtwoord ‘Welkom2020’ te gebruiken. Een ander voorbeeld is Allekabels.nl, waar door een hack emailadressen en wachtwoorden van 3,6 miljoen mensen gestolen zijn. Tot slot het alarm dat onlangs geslagen werd over de gebrekkige dataveiligheid van Microsoft en Google, waardoor het voor Nederlandse bedrijven nagenoeg onmogelijk is de AVG na te leven, terwijl ze hier wel volledig aansprakelijk voor zijn. En nee, dit gebeurt niet alleen bij grote bedrijven en ja, dit kan jou ook gebeuren. 50% van de mkb’ers is in aanraking geweest met een vorm van cybercrime en ook eenzelfde percentage van deze mkb’ers onderneemt daarna nog steeds geen actie!
Corona helpt ook niet mee
We zien jaarlijks een enorme stijging van de schade die toegebracht wordt door cybercriminaliteit. Ook de boetes die worden opgelegd door de toezichthouder Autoriteit Persoonsgegevens voor het niet-naleven van de privacywetgeving stijgen ieder jaar. Het is moeilijk voor te stellen, maar de schade als gevolg van internetcriminaliteit is wereldwijd groter dan de omzet in drugshandel!
Ook in, of misschien wel dankzij, de coronatijd heeft deze trend doorgezet. Doordat iedereen meer online contact houdt met vrienden, webwinkels, bedrijven en instanties, is het voor fraudeurs makkelijker om hierop in te spelen en potentiële slachtoffers online te bereiken. Belangrijk te beseffen is dat een hack veelal niet gebeurt omdat hackers jouw informatie waardevol vinden, maar omdat zij weten dat deze informatie voor jouw waardevol is en je dus bereid bent te betalen om deze terug te krijgen. De gemiddelde schade per cyberincident bedraagt €78.000. Daarnaast moet ook de gevolgschade qua reputatie, imago en consumentenvertrouwen niet onderschat worden.
De AVG naleven is een keuze; een 10 voor informatiebeveiliging is onmogelijk
De AVG is de Europese wetgeving rondom privacy. In deze wet worden regels gesteld aan de wijze waarop bedrijven moeten omgaan met persoonsgegevens, wat zij hierover moeten communiceren en wat gedaan moet worden als deze gegevens onverhoopt gelekt worden. Om hieraan te voldoen moet je dus gewoon ‘simpelweg’ doen wat in deze wet staat. Je zou dus kunnen zeggen dat het correct naleven van de AVG een keuze is.
Mijn definitie voor informatiebeveiliging is: ‘alle maatregelen die genomen moeten worden om ervoor te zorgen dat informatie betrouwbaar blijft en dat deze altijd beschikbaar is voor diegenen die hier ook over moeten beschikken’. Voor informatiebeveiliging gaat het erom dat je als organisatie volwassen genoeg bent. Het volwassenheidsniveau is afhankelijk van de norm die jezelf bepaalt, afhankelijk van jouw risicoprofiel. Alles dichttimmeren is onmogelijk, dus een 10 scoren is niet haalbaar. Echter, een onvoldoende is mijns inziens in deze tijd onverantwoord.
Vaak wordt informatiebeveiliging en cybersecurity onterecht los van elkaar gezien. De maatregelen om de veiligheid van informatie te vergroten kunnen genomen worden op het gebied van bewustwording, proces en techniek. In de volksmond wordt deze laatste vaak aangeduid met cyber security.
Kennis is key
Cruijff zei wel eens; ‘je gaat het pas zien, als je het door hebt’. Dit geldt ook voor privacy en informatiebeveiliging. Makkelijk is dan wel dat iemand je vertelt waar je op moet letten. In maart 2021 heeft de Cyber Security Raad ervoor gepleit om digitale geletterdheid en cyber security net als Nederlands en wiskunde op te nemen als een van de leergebieden in het primaire en voortgezet onderwijs. Dit voorstel is ook officieel ingediend bij de curriculum commissie die gaat over de relevante kennisgebieden in het onderwijs. Reden hiervoor is dat zij ervan overtuigd zijn dat kennis over informatiebeveiliging essentieel is voor jongeren om goed voorbereid te zijn op de digitale toekomst. Maar hoe bereidt de ondernemer van nu zich dan voor?
Hulp bij informatiebeveiliging en privacy voor ondernemers
Voor de huidige generatie ondernemers komt deze aanpassing in het onderwijs te laat. Dit betekent niet dat deze ondernemers niet actief aan de slag kunnen gaan met privacy en informatiebeveiliging. Daarom heeft Bol Adviseurs in 2020 de nieuwe afdeling IT Audit en Advies opgericht. De mensen op deze afdeling zijn gespecialiseerd in onder andere de thema’s privacy en informatiebeveiliging. Wij starten met het in kaart brengen van de huidige stand van zaken. Vervolgens worden de doelen bepaald en gaan wij samen aan de slag om deze doelen te bereiken.
Uiteindelijk zal aandacht voor privacy en informatiebeveiliging een continu proces moeten worden om ook in te kunnen spelen op veranderingen binnen en buiten de organisatie en op nieuwe risico’s. Omdat de thema’s privacy en informatiebeveiliging sterk met elkaar verweven zijn, adviseren wij een integrale aanpak te kiezen. Hierbij wordt direct vanaf de start, naast informatiebeveiliging, ook het privacy thema meegenomen. Dit creëert efficiency, bespaart kosten en zorgt ervoor dat de organisatie direct minder risico’s heeft op hoge boetes voor het niet naleven van de AVG en minder schade als gevolg van een informatiebeveiligingsincident. Zo verkleinen we de kans aanzienlijk dat jouw bedrijf aan de steeds groter wordende lijst van voorbeelden van incidenten wordt toegevoegd. Voor zover we nog van incidenten kunnen spreken...