Een groot digitaal dilemma
Bedrijven staan voor een groot digitaal dilemma, schrijft lector Cyberweerbare Organisaties Rick van der Kleij in deze blog. De Nederlandse samenleving is in hoge mate gedigitaliseerd. Volgens recente gegevens van de Wereldbank over 2023 maakt 97 procent van alle inwoners gebruik van het internet. Digitale processen en technologieën zorgen voor veel gemak. Volgens de jaarlijkse Digital Economy and Society Index (DESI) van de Europese Unie (EU) heeft Nederland zelfs een van de beste digitale infrastructuren van Europa (Europese Unie, 2022).
Het heeft voordelen om overal met elkaar in verbinding te staan en toegang tot veel informatie te hebben. Bij bedrijven staat digitalisering dan ook hoog op de agenda. Maar zoals we nu weten, opent digitalisering tegelijk nieuwe ‘deuren’ voor cybercriminelen. Digitalisering vergroot ook de kwetsbaarheid van bedrijven.
Effectieve verdediging
Een effectieve verdediging tegen een veelheid aan potentiële cyberdreigingen zou vereisen dat bedrijven geen toegang meer tot het internet hebben. Dit isoleren van systemen biedt bescherming tegen allerlei cyberdreigingen, vooral in omgevingen waar de beveiliging van cruciaal belang is, zoals militaire netwerken en medische apparatuur.
Voor de meeste bedrijven is een evenwicht tussen beveiliging en functionaliteit echter noodzakelijk. Hierbij is connectiviteit, en dus het internet, onmisbaar. Ziehier het dilemma dat veel bedrijven onder ogen moeten komen. Hoe vind je als ondernemer een goede balans? Want je wilt als ondernemer gebruik kunnen maken van de digitale infrastructuur die Nederland rijk is, zonder je bedrijf helemaal op slot te moeten zetten.
Toename dreigingen
Dit groot digitaal dilemma gaat niet vanzelf weg. De dreigingen nemen alleen maar toe, met kans op grote schade, zelfs met faillissement tot gevolg. Dreigingen zijn bovendien steeds minder voorspelbaar. De klassieke aanpak van cyberrisico’s die we cybersecurity noemen, vereist dat risico’s kunnen worden geïdentificeerd ex ante. Maar door de snelle ontwikkelingen in het dreigingslandschap ontstaan telkens nieuwe dreigingen die op voorhand niet kunnen worden voorzien of zelfs niet kunnen worden voorkomen.
Cybersecurity legt de focus op veiligheid. Deze aanpak richt zich op het versterken van kwetsbare onderdelen van het bedrijf om voorspelbare dreigingen te kunnen weerstaan. Een aanpak die vaak de metafoor oproept van een kasteel met hoge muren en diepe slotgrachten: een ondoordringbare barrière tegen externe aanvallen. Maar bovenal een aanpak van cyberrisico’s die niet langer voldoet, want het aantal incidenten en de impact ervan neemt alleen maar toe.
Opkomst van weerbaarheid
Het idee dat bedrijven weerbaar moeten zijn als reactie op cyberrisico’s is de afgelopen jaren opgekomen en populair geworden. We noemen deze nieuwe kijk op de aanpak van cyberrisico’s ook wel cyberweerbaarheid. Het managen van cyberweerbaarheid omvat niet alleen een aanpak gericht op het voorkomen van schade. Het omvat ook het vermogen om onverwachte, positieve mogelijkheden te benutten om de veiligheid te verbeteren en te kunnen reageren op, te herstellen van, en zich aan te passen aan ongunstige gebeurtenissen of activiteiten. Het is een dynamischer concept dan cybersecurity omdat het erkent dat absolute veiligheid niet haalbaar is. Bedrijven moeten dus handelen vanuit de aanname dat er aanzienlijke cyberincidenten zullen plaatsvinden op regelmatige basis.
Maar hoe helpt dit idee de bedrijven met hun dilemma? Cyberweerbaarheid is een complex begrip dat lastig te implementeren is. De uitdaging is hoe je als organisatie open en verbonden kan zijn, gebruik kan maken van de kansen die digitalisering brengt, en tegelijkertijd kan vertrouwen op het vermogen om weerbaar te zijn tegen cyberrisico’s (zie ook Van Rijsewijk, 2016, p.33) . Dit idee is niet geheel nieuw, maar het vereist een andere kijk op veiligheid. Een doorbraak naar een nieuw paradigma is nodig. Het is tijd voor een aanpak van cyberrisico’s die wel werkt.
Geen antwoord
Dat dit idee niet nieuw is, wil niet zeggen dat we alles al weten. Op veel vragen over weerbaarheid weten we het antwoord gewoonweg nog niet, omdat het onderzoek ernaar nog in de kinderschoenen staat. En cyberweerbaarheid ontstaat niet vanzelf. En hoewel er al een solide basis is, zijn de snelle ontwikkelingen in het dreigingslandschap aanleiding voor nieuwe, vaak onvoorziene cyberrisico’s. Daarom moeten we flinke stappen extra zetten.
In mijn lectorale rede die ik uitspreek op 8 mei aanstaande, maak ik inzichtelijk wat aanvullend nodig is om bedrijven cyberweerbaarder te maken. Wilt u mijn openbare lectorale rede en het voorafgaande symposium bijwonen? Meld u dan hier aan.
Dr. Rick van der Kleij is lector Cyberweerbare Organisaties bij Avans en sr. cybersecurity onderzoeker bij TNO.
Meer over cybercrime
Over Martijn Kregting
