fbpx

Bedrijven zelf verantwoordelijk voor cybersecurity, overheid moet faciliteren

Nieuwegein, 2 december 2021 – Cybercriminaliteit raakt steeds meer organisaties. Inmiddels krijgt één op de vijf ondernemers te maken met een hack. Naast geld komen ook bedrijfsgeheimen en klant- en patiëntgegevens op straat te liggen. Volgens Vincent Meijer, Chief Information Security Officer bij Ordina, hebben bedrijven de maatschappelijke verantwoordelijkheid hun cybersecurity op orde te hebben. De overheid heeft daarin een groeiende faciliterende rol. Hij sprak hierover op de ESET Security Days, het Cybersecurity event van Nederland dat 25 november plaatsvond in het Tobacco Theater in Amsterdam, waarin de politiek, de wetenschap en het bedrijfsleven met elkaar in gesprek gingen over de actuele cybersecurity uitdagingen.

Download leaflet

Nieuwsgierig wat Ordina op het gebied van cybersecurity voor jouw organisatie kan betekenen? Lees er meer over in onze leaflet Uw organisatie veiliger en meer weerbaar tegen cyberaanvallen. Download vrijblijvend onze leaflet via onderstaande button of klik hier voor meer informatie.

Cybersecurity is niet langer uitsluitend de zorg van organisaties, maar uitgegroeid tot een maatschappelijke kwestie. Cyberaanvallen zijn aan de orde van de dag en treffen in sommige gevallen meerdere bedrijven over de hele wereld. “En dit zal in de toekomst alleen maar toenemen”, aldus Vincent Meijer. Hij pleit voor een integrale aanpak van cybersecurity waarin zowel het bedrijfsleven als de overheid hun maatschappelijke verantwoordelijkheid nemen.

Cybersecurity integreren in ESG-beleid

“Organisaties zijn zich nog niet altijd bewust van de verantwoordelijkheid die zij hebben op het gebied van cyberveiligheid. Naast de standaard aanpak van organisaties, zou het ook een onmisbaar onderdeel van het ESG-beleid (Environmental, Social en Governance) moeten zijn”, aldus Meijer. “Als je kijkt naar recente datalekken, dan wordt het al snel duidelijk dat cybersecurity sterk verbonden is met de S uit ESG, Social. De relatie tussen organisatie en klant kan ernstig worden beschadigd als vertrouwelijke gegevens openbaar worden door een cyberaanval. Deze breaches hebben impact op het vertrouwen en loyaliteit. Een high-profile breach kan dan ook een behoorlijk negatief effect hebben op (potentiële) investeerders. Cybersecurity is ook van belang voor de relatie tussen organisatie en werknemer. Naast het feit dat datalekken op werknemersgegevens tegenwoordig vaker voorkomen, wordt het geven van trainingen op het gebied van cyberbeveiliging belangrijker voor werkgevers.”

“Daarnaast zie je steeds meer de relatie op het “Environmental” aspect. Technologie wordt steeds vaker ingezet om klimaatdoelstellingen te behalen. Een goed voorbeeld hiervan is de ontwikkeling van Smart Cities. Ook daar zie je inmiddels dat er hacks plaatsvinden en is een goede cybersecurity belangrijk.”

“Toch blijkt uit de Ordina Digital Monitor , een onderzoek uitgevoerd onder meer dan 1700 besluitvormers, dat dit bij 4 op de 10 de bedrijven nog niet het geval is.” En dat moet volgens Meijer veranderen. “Bedrijven werken met privacygevoelige gegevens. Bijvoorbeeld van klanten of patiënten. Organisaties die cybersecurityrisico’s negeren of er onvoldoende aan doen om gegevens te beschermen brengen niet alleen de continuïteit van het bedrijf in gevaar, maar ook alle betrokken stakeholders.”

Investeringen ondermaats

Toch investeren bedrijven vaak nog onvoldoende in cyberveiligheid. De Ordina Digital Monitor laat zien dat ruim de helft (54%) van de organisaties onvoldoende investeert in cybersecurity. Daarnaast blijkt dat slechts 37% verwacht dat het budget voor security en proactieve maatregelen zal stijgen. Een zorgwekkend feit stelt Meijer. “Het is van groot belang dat organisaties hun IT-omgeving beschermen. Hackers slaan toe bij de zwakste schakels: de organisaties die hun cybersecurity het minst op orde hebben. De gemiddelde schade door een cyberaanval is € 67.000. En dit schadebedrag kan ook zomaar nog veel hoger uitkomen. Dus doe die investering in cybersecurity.”

Toenemende wet- en regelgeving

Tegelijkertijd moeten organisaties voldoen aan toenemende wet- en regelgeving die wordt opgelegd door onder meer de overheid en diverse stakeholders. De nieuwe richtlijn Netwerk- en Informatiesystemen (NIS2), die in 2022 of 2023 ingaat, is hier een voorbeeld van. Met de NIS2 richtlijn worden de eisen aan cybersecurity verhoogd in heel Europa. Daarnaast geldt de richtlijn nu voor meer organisaties dan de eerste versie. “Meer bedrijven moeten hierdoor voldoen aan strengere eisen. Dit is een goede start, maar daarnaast moeten overheden nog meer doen om bedrijven te ondersteunen.”

Kansen voor de overheid als faciliterende partij

“De overheid doet al veel goede dingen. Maar er ligt nog een mooie kans om met een inspirerende visie en strategie meer de regie te pakken. Dit ontbreekt nu.” Meijer ziet dan vooral een faciliterende rol. “Overheden dragen de verplichting om organisaties te ondersteunen bij het op peil brengen en houden van cybersecurity”, aldus Meijer. Toch blijven proportionele investeringen uit. “Kijk naar de meest recente Miljoenennota. De regering schrijft hierin dat ze zich zorgen maakt over de maatschappelijke impact van cyberaanvallen. Toch staat de investering die hieruit voortkomt niet in verhouding met de impact van cybercrime op het bedrijfsleven. Het Nationaal Cyber Security Centrum (NCSC), dat een belangrijke rol speelt in de bestrijding van cybercrime, krijgt er slechts € 700.000 bij.”

Een ander aandachtsgebied is het toenemende cybersecurityrisico in de keten, stelt Meijer. “Het risico op een hack of datalek door leveranciers of software blijft toenemen. Ketens worden groter, complexer en daarmee kwetsbaarder. Door de onderlinge verbondenheid ontstaat het risico elkaar te besmetten bij een cybercrime-aanval. Het is belangrijk dat de overheid investeert in de bewustwording en preventie hiervan. Naast het stimuleren van samenwerkingsverbanden tussen overheid en de private sector kan de overheid hier ook meer de regie pakken als facilitator.” Ook Ordina’s eigen onderzoek bevestigt dat een grotere rol van de overheid wenselijk is. 44% van de besluitvormers vindt de rol van de overheid (landelijk en Europees) op dit moment te klein.

Verbetering zichtbaar

Meijer benadrukt dat er ook al veel goede stappen worden gezet. Hij noemt het Digital Trust Center (DTC), een nieuw onderdeel van het ministerie van Economische Zaken, als voorbeeld. Sinds september informeert het DTC bedrijven proactief over cyberdreigingen. Daarnaast subsidieert het DTC zogenaamde cyberweerbaarheidsnetwerken. “Die netwerken bestaan uit bedrijven die in groepsverband werken aan hun cyberweerbaarheid. Door hier subsidie voor vrij te maken vergroot de overheid de mogelijkheden die de netwerken hebben. Een mooi voorbeeld waarin de overheid haar faciliterende verantwoordelijkheid pakt.”