Samen sterker? Collectief leren van cyber incidenten in het MKB
Twee berichten trokken recentelijk mijn aandacht. Berichten die op het eerste gezicht misschien niet direct met elkaar te maken lijken te hebben, maar in mijn ogen totaal verbonden zijn. Tenminste, als de samenleving zoals wij die op dit moment digitaal verknopen veilig genoeg is om vertrouwen in het Internet te houden.
Het eerste bericht betrof een artikel in ‘The Economist’ over Internet (on)veiligheid en het tweede de vele berichten omtrent het aantal meldingen van datalekken die zijn gedaan bij de Autoriteit Persoonsgegevens (AP) in 2016. Het eerste bericht gaat over enerzijds de steeds grotere datalekken die bedrijven bekend moeten maken en anderzijds het snel toenemend aantal apparaten dat online komt, doorgaans zonder enige vorm van bescherming tegen hacks en criminaliteit. Daartussen zit een verband dat enkel gaat groeien in de komende jaren. Van uw auto tot uw tv en de led lampen tot de ijskast. Ze zijn allemaal al online. Met alle zwakheden voor uzelf, uw bedrijf en de maatschappij als geheel. Het tweede gaat over het aantal meldingen van datalekken bij het AP dat zwaar achter is gebleven bij de verwachtingen. Ik meen met een tienvoud. Een verklaring die men geeft, is dat bedrijven geen datalekken melden bij het AP.
Is dat laatste erg? In eerste instantie niet. Het bedrijf beschermt zijn reputatie, in ieder geval voor nu. In tweede instantie lijkt het mij desastreus. Waarom? Daar zijn een aantal redenen voor te geven.
1) Niet ontdekte lekken worden telkens weer misbruikt
2) We leren niet van elkaar
3) Schade aan het eigen bedrijf wordt onvoldoende erkend
4) Schade voor klanten en/of toeleveranciers wordt niet tijdig gerepareerd
5) De imagoschade is groter naar mate tijd verstrijkt en het lek toch naar buiten komt
6) De imagoschade is groter als later alsnog een (grotere) boete volgt.
Het MKB is kwetsbaar voor kwaadwillenden die uiterst bekwaam zijn in het online uitbuiten van de digitale zwakte van bedrijven, van producten en onwetendheid van individuele werknemers van bedrijven. Ook al zegt men dat als iemand een bedrijf echt wil hacken, dit altijd lukt, dan wil dat niet zeggen dat bescherming zinloos is. Niet iedere hacker is zo goed of zo volhardend. Het is zaak de basisbescherming op orde te hebben en te leren van ontwikkelingen. Zeker als steeds meer apparaten, vaak volledig buiten uw controle om, online gaan binnen uw bedrijf.
Dit kan alleen indien zwakheden of lekken gemeld worden. Niet alleen bij het AP, maar juist onder elkaar. Informatiebeveiliging is een onderwerp dat neutraal genoeg is om samen aan te werken. Met het oog op het snel toenemende aantal digitale zwakheden binnen bedrijven is het delen van kennis de beste weg voorwaarts.
Grote bedrijven doen dit vaak al, bijvoorbeeld in de vorm van ISACs, Information Sharing and Analyses Centres, waar zij bedreigingen bespreken en oplossingen met elkaar delen. Dat is een vorm die voor veel MKB bedrijven te complex is, maar wel een model waar over nagedacht kan, wellicht moet worden. Hoe bescherm ik mijn bedrijf en zorg ik dat de continuïteit geborgd is? Hoe heb ik controle over mijn IT? Dat is een vraag die iedere DGA zich moet stellen en beantwoorden.
Informatie centraal verzamelen, om deze vervolgens te delen, kan een oplossingsrichting zijn voor ieder MKB bedrijf. Collectief lerend vermogen als beschermende laag voor ieder individueel bedrijf. De vraag is: wie neemt het voortouw bij het opzetten van een dergelijke organisatie? En wie bereikt de MKB’er, en maakt hem duidelijk dat niets doen niet langer een optie is? Dit zijn niet de kleinste uitdagingen, maar wel uiterst noodzakelijke om beet te pakken.