Security: waar wacht u op?

JeroenvdMeer2

Aan businessmanagers uitleggen waarom IT-beveiliging zo belangrijk is, is net alsof je pubers probeert te vertellen wat er fout is aan illegaal downloaden: ze horen wat je zegt, maar je krijgt niet het gevoel dat het echt aankomt.

Security blijft een moeilijk begrip voor veel businessmanagers. Aan de ene kant begrijpen ze heel goed dat er mensen zijn die proberen de eentjes en nulletjes op de bedrijfsservers te kraken – aan de andere kant blijft het iets heel abstracts. Vreemd is dat wel. De bedragen die gemoeid zijn met cybercrime zijn namelijk niet gering. Ik zal niet proberen een prijskaartje te hangen aan de data die criminelen mogelijk uit uw servers kunnen slepen, maar wie een beetje heeft opgelet weet wel dat sinds 1 januari een meldplicht datalekken geldt in Nederland. Dat betekent dat je zomaar tegen € 820.000,- boete aankijkt als je niet kunt aantonen dat je er alles aan gedaan hebt om gevoelige data binnen je organisatie te beschermen.

En toch wil het maar niet landen. De Autoriteit Persoonsgegevens constateerde onlangs nog dat de nieuwe meldplicht nog niet veel effect lijkt te hebben. In een periode waarin een jaar geleden nog 20.000 datalekken werden gemeld, zijn er sinds de meldplicht slechts 1600 binnengekomen. “Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn”, zei vicevoorzitter Wilbert Tomesen tegen de NOS. Raar. Je zou toch zeggen dat bedrijven de gegevens van hun klanten, partners en medewerkers best belangrijk vinden.

Misschien is het ontkenning. Als je bedrijven vraagt naar de maatregelen die ze inmiddels hebben genomen, is de eerste reactie meestal dat het dik op orde is. Vraag iets verder door en je ontdekt dat ze eigenlijk niet zo zeker weten of het allemaal wel echt zo goed geregeld is. Vraag ze op de man af of ze hun kinderen zouden toevertrouwen aan hun IT-afdeling en de conversatie wordt plots heel ongemakkelijk.

Misschien is het overbelasting. IT-beveiliging leveranciers waarschuwen al jaren voor de groeiende dreiging van cybercrime. Overheden publiceren er lijvige rapporten over. De media publiceren met regelmaat over datalekken waarin de gegevens van miljoenen gebruikers over straat rollen. Managers kijken er niet meer van op. Het raakt ze niet. Er wordt wat budget gestopt in een paar puntoplossingen, maar van een serieuze, gecoördineerde aanpak is maar zelden sprake.

En misschien is het hypocrisie. Kennelijk moet het eerst persoonlijk worden voordat bedrijven bereid zijn te investeren in security. Want diezelfde managers stappen na een werkdag wel in een dure leasebak die is volgepropt met security features waar zonder blikken of blozen dik voor wordt betaald. Autogordels, whiplash bescherming systemen, ABS, EPS, satelliet tracking apparatuur, stabiliteitscontrole, tractiecontrole, dode hoek monitoring, waarschuwingen voor botsingen en onbedoeld wisselen van banen, bandenspanningscontrole... Er hoeft maar een piepje te klinken of een lampje op het dashboard aan te springen, en hop – ze rijden onmiddellijk naar de garage om het probleem direct te laten oplossen. Wat zegt u? Winterbanden? Nou – als u zegt dat het nodig is...

Wat het ook is, de tijd begint nu wel serieus te dringen. Als straks de Europese wetgeving wordt doorgevoerd (de General Data Protection Regulation is begin april aangenomen door het Europees parlement en geldt uiterlijk 25 mei 2018 in de hele EU) kan een onfatsoenlijk beveiligingsbeleid je zomaar 4% van de totale internationale jaaromzet van je organisatie kosten. Voor heel wat organisaties betekent dat gewoon einde oefening.

Zoals het er nu naar uit ziet, blijven we wachten totdat de eerste businessmanager zijn bedrijf tegen een virtuele boom parkeert. Tegen die tijd kunt u me natuurlijk gerust een keertje bellen voor advies. Iets zegt me alleen dat we het dan plotseling heel druk gaan krijgen...

Jeroen van der Meer, CTO Solvinity