Betere afspraken tussen afnemers en leveranciers zijn de sleutel voor het algeheel verhogen van cybersecurity, meent Jelmer Schreuder van NLdigital, de branchevereniging voor de digitale sector. Het startpunt is een goede risicoanalyse door de organisatie zelf.
‘Je kunt zelf beginnen een risicobeoordeling doen, zonder dat je technisch expert bent’
Nieuwe Europese wetgeving, waaronder de NIS2-richtlijn, verplicht grotere bedrijven en organisaties om een risicobeoordeling uit te voeren en passende maatregelen te nemen om de continuïteit van de diensten te waarborgen en data te beschermen. De noodzaak om na te denken over de eigen digitale weerbaarheid is er sowieso, benadrukt Schreuder. ‘Óók als je niet onder de NIS2-richtlijn valt, zou je een analyse moeten maken om de risico’s in kaart te brengen. Het is punt één van de verplichte maatregelen die de NIS2 oplegt. Het helpt ook om vooraf over de risico’s te hebben nagedacht om een goed gesprek met je leverancier te kunnen voeren.’ Hij tipt de website van het Digital Trust Center (ministerie EZK), dat een aantal handige tools heeft ontwikkeld rondom NIS2 en cybersecurity in het algemeen.
Cybervolwassen
‘Het is belangrijk dat een organisatie zelf een beeld ontwikkelt wat de bedreigingen zijn en welke kroonjuwelen moeten worden beschermd. Dat draait niet alleen om de techniek waarover de leverancier kennis heeft. De gebruiker zelf heeft juist veel unieke kennis over operationeel gebruik en rondom de data,’ stelt Schreuder. ‘Organisaties die nog niet zo ‘cybervolwassen’ zijn, beseffen vaak niet wat je zelf kunt doen zonder dat je heel veel technische kennis nodig hebt. En hoe belangrijk deze zaken wel niet zijn.’ Hij legt het uit aan de hand van een simpel voorbeeld. ‘Alleen jij weet hoeveel geld het je kost als je webshop er vijf minuten of een uur uitligt. En met die informatie kun jij het beste inschatten of de kosten voor het beter inrichten van het back-up regime en de recoveryafspraken opwegen tegen het risico dat je loopt als je dat niet doet. Bij die afweging kan een leverancier jou adviseren, maar de afweging of je het geld voor de extra voorzieningen wilt spenderen, ligt bij jou.’
Twee-factor authenticatie
Voor veel bedrijven die niet dagelijks met IT bezig zijn is cyberbeveiliging geen prioriteit, constateert Schreuder. ‘Ze zijn zich hierdoor niet bewust van de risico’s die ze lopen. Én dat kan niet meer! We zijn in een situatie beland waarbij je daar niet meer mee wegkomt, niet alleen vanwege de wet maar juist vanwege het reële risico op een aanval. Dat besef dringt alleen niet vanzelf door. We zullen bedrijven dus moeten doordringen van de noodzaak om de beveiliging te verbeteren.’ Betere beveiliging betekent ook meer maatregelen om continuïteit te waarborgen, en dus hogere kosten. ‘De risico’s nemen toe en de maatregelen die je moet nemen vragen meer inzet.’ Er is nog steeds een goede discussie mogelijk, meent hij. ‘Je moet tot elkaar komen wat het juiste beveiligingsniveau is. Dat begint ermee dat je als organisatie zelf de afwegingen maakt over het risico dat je kunt en wilt lopen.’ Hij geeft twee voorbeelden van discussies die spelen. ‘Mijn leden vinden dat twee-factor authenticatie gewoon aan moet. Je kunt in deze tijd gewoon niet zonder en toch merk je dat veel klanten daar nog weerstand tegen hebben. Terwijl je met alleen maar een wachtwoordbeveiliging niet meer met gevoelige gegevens kunt werken. Sommige leden verplichten hun klanten om twee-factor authenticatie te gebruiken, maar eigenlijk wil je dat het ook vanuit de klanten zelf komt. Dat ze zich realiseren: het risico dat we nemen door het niet aan te zetten, is gewoon te groot.’ Een ander voorbeeld is het in stand houden van een verouderd softwaresysteem als administratieve back-up of naslagwerk. ‘Dat komt vaker voor dan je zou willen, ondanks de risico’s. Nu accepteren leveranciers dat risico al niet meer, en laten ze dan uiteindelijk de klant zelf de verantwoordelijkheid nemen dat het mis kan gaan. Wordt hetzelfde bedrijf door NIS2 verplicht die risicoafweging zelf op bestuursniveau te maken, dan zul je zien dat dit soort systemen veel vaker worden uitgezet.’
