September 10, 2024

Opnieuw werden we deze week weer opgeschrikt door een wereldwijde aanval met gijzelsoftware. We gaan het bijna gewoon vinden want cyberaanvallen volgen elkaar op de voet.

Daarmee zouden toch wat alarmbellen moeten gaan rinkelen bij ondernemers. Maar ook deze keer blijkt dat veel MKB-bedrijven niet bestand waren tegen zo’n digitaal gijzeldrama omdat er bijvoorbeeld nog oude software in gebruik is.

Digitaal veiligheidsbewustzijn

Ondanks allerlei goede initiatieven om het digitale veiligheidsbewustzijn bij ondernemers te vergroten, blijkt dat veel MKB-bedrijven nog relatief weinig maatregelen nemen op het gebied van cybersecurity. Zo stelt het Nationaal Cyber Security Centrum (NCSC). Het lijkt erop, dat veel goedbedoelde inspanningen van overheidsinstanties en brancheverenigingen onvoldoende effect sorteren. Of is het een kwestie van tijd?

GDRP

Zoveel tijd is er niet meer met de General Data Protection Regulation (GDPR) in het vooruitzicht. Deze Europese wetgeving die nu al van kracht is, legt vanaf mei volgend jaar fikse boetes op bij het schenden van privacybescherming en –veiligheid. Bij veel organisaties is de inzet van cyber security-maatregelen nog steeds een noodzakelijk kwaad. Pas als het kalf verdronken is, wordt de put gedempt. Het wordt hoog tijd dat bedrijven die cybersecurity (nog) niet serieus nemen concrete hulp aangeboden krijgen.

Roependen in de cyberwoestijn

VNO-NCW en MKB-Nederland roepen al jaren om extra inspanningen op het gebied van cyber dreigingen. In het najaar van 2016 verscheen ook de uitgave ‘Datalekken in de MKB-praktijk’ van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA). Daarin wordt toegelicht wat en wanneer er voor datalekken geregeld moet worden. Je kunt je afvragen of al die oproepen om ‘adequate maatregelen’ te nemen afdoende zijn. Deze instanties zijn roependen in de cyberwoestijn die allemaal één ding gemeen hebben; ze vertellen wat anderen moeten doen.

Het nemen van ‘adequate maatregelen’ is een veelomvattend en daarmee vaag begrip. Menig bedrijf weet zich geen raad met wat daarmee bedoeld wordt. Uiteraard zijn er meer dan voldoende commerciële partijen die willen helpen. Die stellen een risico-analyse voor zonder exact te weten waartoe dat gaat leiden. En als de IT-leverancier dan een oplossing heeft gerealiseerd, blijft de kennis buiten de deur van het bedrijf.

Het is een beetje alsof je een zwembad aanlegt, terwijl niemand kan zwemmen. En als je dan zwemles wilt nemen, moet daar een hoge prijs voor betaald worden. Daar zitten weinig ondernemers op te wachten als ze keuzes moeten maken waar ze hun beperkte budgetten aan uit moeten geven. Dat helpt natuurlijk niet echt.

Geld voor concrete cybersecurity hulp

We moeten nog harder werken aan het bewustwordingsproces bij ondernemers. Ook om te voorkomen dat cybersecurity het kindje blijft van de ICT-professionals of de verantwoordelijkheid van de accountant. MKB-directeuren moeten zich persoonlijk verantwoordelijk voelen voor de bescherming en beveiliging van bijvoorbeeld persoonsgegevens van het bedrijf.

Als cybersecurity als geheel wordt gezien als een noodzakelijk onderdeel van onze Nederlandse infrastructuur komen er budgetten beschikbaar. Dat geld is nodig om bedrijven concrete hulp te bieden. Op zo’n manier kunnen ze veel makkelijker dan nu hun zwemdiploma halen. Daarmee wordt bovendien geïnvesteerd in eigen kennis waardoor cyber security in de genen van het bedrijf wordt opgenomen. Pas dan kunnen we stellen dat ‘adequate maatregelen’ zijn genomen.

Op zoek naar concrete cybersecurity hulp? 

Benieuwd naar de mogelijkheden voor ‘adequate maatregelen’ op het gebied van cybersecurity? Neem dan contact met ons op. 

Bron: BlogIT(externe link)