Cybersecurity; iedereen heeft er wel een gedachte of beleving bij. Maar wat is cybersecurity? Waarom maken we ons er druk om (of zou je dat als bedrijf moeten doen)? Welke rol speelt menselijk handelen? Hoe kan je je verdedigen?
Het begrip cybersecurity
Eerst gaan we kijken wat het begrip ‘cybersecurity’ betekent. Want vandale.nl kende het woord ‘cybersecurity’ (nog) niet ten tijde van het schrijven van deze column. Een partij zoals Cisco omschrijft cybersecurity als: ‘de praktijk van het beschermen van systemen, netwerken en programma’s tegen digitale aanvallen’[1]. IBM heeft een vergelijkbare omschrijving, maar spitst het op haar beurt vooral toe op beveiliging van essentiële systemen[2].
Waarom zou je je druk maken om cybersecurity?
Jaarlijks zijn veel bedrijven het slachtoffer van ‘cyber incidenten’. Dat zijn incidenten waarbij de ICT omgeving van bijvoorbeeld overheid, gezondheidszorg of bedrijfsleven ongewenst worden aangetast. Dergelijke incidenten zijn onder te verdelen in:
– Ongewenste uitval van ICT diensten
– Ongewenst verlies van data
– Ongewenst openbaar worden van data
En niemand zit te wachten op dit soort incidenten bij zijn onderneming. Denk aan de impact die zo’n incident kan hebben, zoals stilstand van de onderneming, datalekken, teleurgestelde klanten, publiciteit, etc. Bovendien gaan dit soort incidenten gepaard met vermogensschade en imagoschade. Denk bij vermogensschade aan losgeld, dat wordt betaald om een aanval met ransomware te beëindigen, of omzetverlies door bedrijfsstilstand. Imagoschade kan bijvoorbeeld ontstaan als jouw bedrijfsnaam in de publiciteit wordt gebracht bij zo’n incident.
The human factor
Om cyberincidenten te voorkomen is van belang om stil te staan bij de oorzaken. Met ‘the human factor’ wordt in dit verband menselijk handelen bedoeld. Daarbij kan je een parallel trekken met de oorzaak van fraude. Fraude ontstaat door:
- een gelegenheid
- een drijfveer
- een ‘rechtvaardiging’
Bij cyberincidenten is het niet veel anders.
Gelegenheid
Een bekend gezegde is: ‘de gelegenheid maakt de dief’. En gelegenheid speelt een sleutelrol bij cyberincidenten. Gelegenheid door bijvoorbeeld zwakke wachtwoorden, meer gebruiksrechten dan nodig in een systeem, of niet uitloggen/scherm vergrendelen, ‘aanklikken’ van een onbetrouwbare bijlage in e-mail…. Maar gelegenheid is daarmee nog niet de oorzaak. Gelegenheid maakt cyberincidenten mogelijk.
Drijfveer
Neem nou ransomware. Waarom zou iemand een organisatie zoals de Universiteit Maastricht gijzelen met ransomware (link https://www.digitaleoverheid.nl/nieuws/inspectie-universiteit-maastricht-was-niet-goed-voorbereid-op-ransomware-aanval/)? Dat is niet alleen door de gelegenheid (omdat de Universiteit Maastricht er niet op was voorbereid). Iemand moet ook een bepaalde drijfveer of motivatie hebben om zoiets te doen, bijvoorbeeld (financiële) problemen.
Rechtvaardiging
Maar niet iedereen met financiële problemen gebruikt de gelegenheid om een ander af te persen, gelukkig! Wat is er nog meer nodig? Ook een ‘rechtvaardiging’ speelt een grote rol. Iemand weet dat zijn handelen niet valt goed te keuren, maar doet het toch, want …. Het argument wat dan volgt kan van alles zijn: anderen doen het ook, niemand heeft er last van, etc.
De verdediging
Om menselijk gedrag te beheersen is van belang dat gedrag wordt bevorderd, preventieve maatregelen worden genomen en wordt gehandhaafd. En dat moet onderdeel worden van een effectief organisatiebeleid, als ‘verdediging’ tegen cyberincidenten.
Hoe pak je dat aan? Daarvoor hebben we op onze website praktische aanwijzingen om te beginnen met een verdediging tegen cyberincidenten. Lees er meer over op https://heijinkenmeure.nl/cybersecurity of gebruik de QR code.
Arie Heijink is advocaat en partner bij Heijink & Meure advocaten
[1] https://www.cisco.com/c/nl_nl/products/security/what-is-cybersecurity.html
[2] https://www.ibm.com/topics/cybersecurity
