Grotere bedrijven hebben hun huiswerk op orde. De pijn zit ‘m vooral bij kleinere en middelgrote bedrijven. Die hebben zich nauwelijks bewapend tegen risico’s van cybercrime. Kun je ze dat aanrekenen, zouden ze meer kennis moeten inkopen? Of ligt die verantwoordelijkheid op het bordje van de overheid? Dat is een vraag waar je in beide gevallen met ‘ja’ op kunt antwoorden, reageert de Kroatisch-Canadese zakenman Robert Herjavec. In 2003 richtte hij The Herjavec Group op, een van de snelst groeiende technologiebedrijven in Canada, gericht op cybersecurity.

Regelgeving is volgens hem van belang om bedrijven op hun verantwoordelijkheid te wijzen. Zo kennen we hier in Nederland het Nationaal Cyber Security Centrum, dat tot doelstelling heeft om expertise over dit vakgebied met belanghebbenden te delen. “Maar het is zeker niet voldoende om te vertrouwen op de overheid om dit thema aan de orde te brengen. Elk bedrijf heeft verantwoordelijkheid om cybercrime op de agenda te houden, waarbij het een misvatting is dat alleen grote bedrijven een risico lopen. Bijna de helft van alle cyberaanvallen vindt plaats op kleinere bedrijven, omdat criminelen donders goed weten dat juist die categorie ondernemingen beperkt beschermd is.”

Daar komt nog bij dat we als een speer bezig zijn met verdere ICT-ontwikkelingen. We zijn er nog niet, maar het tijdperk waarin alles met elkaar verbonden is, Internet of Things, staat onherroepelijk voor de deur. Herjavec geeft een voorbeeld: stel nu dat een er Smart Appliance in de bedrijfskantine wordt binnengehaald. Een koffiezetapparaat, bijvoorbeeld, die je kunt bedienen met je smartphone of vanaf een pc met toegang tot bedrijfsgegevens. “Dat lijkt onschuldig, maar het onderscheid van apparatuur voor zakelijk en particulier gebruik is verder aan het verdwijnen. Dat maakt ook het risico op cybercrime in het IoT-tijdperk almaar veelzeggender.”

Door het voortrazen op de ICT-snelweg zal het thema cybersecurity telkens aan belang winnen, benadrukt Herjavec. Als bedrijven informatie wegstoppen in de ‘cloud’ wordt het van eminent belang dat we vraagtekens plaatsen bij het beschermen van die cloud. We zullen stap voor stap bedrijfsprocessen moeten ontrafelen om te evalueren waar de risico’s liggen. “Er bestaat een enorme vraag naar cybercrime-experts. Tegelijkertijd geldt dat bedrijven dit ontwerp bij iedereen binnen het bedrijf tussen de oren moeten krijgen. Cybercrime is geen IT-vraagstuk, maar moet uitgroeien tot prioriteit van het management.”

Een Nederlandse representant die zich meldt over dit onderwerp is Richard Franken, algemeen directeur van The Hague Security Delta (HSD). Deze organisatie heeft vooral tot doel om de digitale veiligheid te vergroten, meer banen te creëren binnen het veiligheidsdomein en de internationale concurrentiepositie van Nederland op dit vlak te versterken. “De crux is dat we afgelopen jaren vooral bezig zijn geweest grote slagen vooruit te maken”, constateert Franken. “Dat maakt misschien ook onlosmakelijk onderdeel uit van het proces. In de ICT-wereld wordt vooral gedacht in nieuwe toepassingen en mogelijkheden, we kijken eigenlijk nooit achterom waar het fout is gegaan.”

Nog even terug naar verantwoordelijkheid omtrent dit thema. Richard Franken werpt de vergelijking op met rijkswegen en autoverkeer. Onderhoud van de weg is de plicht van de overheid, het inperken van risico’s ligt ook in handen van automobilisten. “Zo is het met cybersecurity eigenlijk ook. De overheid heeft toe te zien op de kwaliteit van de digitale infrastructuur, bedrijven hebben hun eigen verantwoordelijkheid om zich te beschermen tegen cyberaanvallen.”