Het Nederlandse bedrijfsleven, met name het mkb, moet meer stappen zet- ten om te komen tot een goede cyber- security. Het bewustzijn van het gevaar van onder meer ransomware-aanvallen groeit, maar een goede cyberhygiëne ontbreekt te vaak nog. In het versnip- perde landschap van branche-, koe- pel- en overheidsorganisaties zijn er veel goede bedoelingen, maar blijft een gezamenlijke aanpak achter. De vorig jaar opgerichte Dutch IT Cybersecurity Assembly (DICA) wil beide uitdagingen aanpakken om het Nederlandse be- drijfsleven een stukje veiliger te maken.

“’Mij gaan ze niet hacken’ is vaak het uitgangspunt van een mkb’er, denkend dat hij of zij niet interessant genoeg is. Maar iedereen kán en zál uiteindelijk gehackt wor- den. Het is geen kwestie van óf, maar van wanneer.” Die simpele waarheid ligt volgens Hans ten Hove, directeur Noord-Europa van Datto (een leverancier van oplossingen voor cyberweerbaarheid) aan de basis van de Dutch IT Cybersecurity Assembly (DICA).

Cybersecurity als gemeengoed

De DICA brengt stakeholders op het gebied van cybersecurity en -weerbaarheid samen om cruciale security-ontwikkelingen te bespreken en te agenderen. Het initiatief kwam vorig jaar mei tot stand in samenwer- king tussen Datto en IT-platform Dutch IT Channel. De DICA deelt tijdens Ronde tafels kennis, ervaring en meningen. De initiatief- nemers, leden en andere genodigden hebben het gezamenlijke doel om cybersecurity en cyberweerbaarheid tot gemeengoed te ma- ken in elk bedrijf, van zzp’er tot enterprises.

“Elke organisatie kan wel een paar tech- nische middelen opnoemen waarmee ze denken dat ze hun cybersecurity op orde kunnen krijgen”, stelt Ten Hove. “Hun ‘kas- teel’ lijkt dan met zaken zoals een firewall, een antivirusprogramma afdoende bevei- ligd te zijn.” In de praktijk blijkt echter dat cybercriminelen de slotgracht eenvoudig kunnen omzeilen.

Bovendien is cybersecurity slechts een onderdeel van het bredere begrip cyber- weerbaarheid. Hierbij gaat het om people (gedrag), processes (security-beleid) én technologie. Ten Hove: “Je moet allereerst mensen trainen, bewust maken van welk di- gitaal gedrag risicovol is - zoals het klikken op een link. Je moet ten tweede de techno- logie op orde hebben én je moet er ten derde van uitgaan dat je een keer gehackt zult worden. Dan moet je in staat zijn om snel te herstellen van een ransomware-aanval. En geloof me, voor business continuity heb je meer nodig dan een backup van je gegevens. Zo’n recoverystrategie ontbreekt meestal.”

Cyberweerbaarheid management-onderwerp Cyberweerbaarheid is dan ook geen IT- topic, benadrukt Ten Hove. Het is een (risk) management-onderwerp. Het hele manage- ment moet er structureel bij betrokken zijn vanuit de eigen verantwoordelijkheden en het niet neerleggen bij de IT-beheerder of – in het geval van veel mkb-bedrijven – de part time IT-verantwoordelijke of een Ma- naged Service Provider (MSP)

Het Nederlandse bedrijfsleven onderkent inmiddels het belang van cybersecurity, maar is nog onvoldoende bekend met cyber- weerbaarheid, merkt Ten Hove. “Dat geldt in grotere mate voor het mkb, waar bedrijven
vaak geen aparte security-verantwoorde- lijke hebben. Nederland kent bovendien een versnipperd landschap als het gaat om branche-, koepel- en andere organisaties die (mede) cybersecurity-belangen van hun achterban vertegenwoordigen. Men heeft de beste bedoelingen, maar door die versnip- pering kun je als stakeholders in cyberweer- baarheid onvoldoende een vuist maken.”

Concrete stappen

Wat is de stand van zaken met de DICA? Inmiddels zijn er volgens Ten Hove drie bijeenkomsten geweest met vertegenwoordi- gers van onder meer NCSC (nationaal cyber security centrum)-dochter Digital Trust Center, brancheorganisatie Cyberveilig Ne- derland, BTG/TGG (telecom- en IT-grootge- bruikers) en diverse toonaangevende MSP’s en security bedrijven. Hierbij zijn vooral definities en uitgangspunten vastgesteld om alle neuzen dezelfde kant uit te krijgen.

“De DICA is geland, nu zitten we in de fase dat we het meer concreet willen maken met vaste leden en gasten die de agenda van het initiatief invullen. Met een gezamenlijke oproep aan onder andere de overheid om het Nederlandse bedrijfsleven – vooral het mkb – cyberweerbaarder te krijgen. En door het oppakken van onderwerpen in structurele projectgroepen, om niet afhankelijk te zijn van een beperkt aantal bijeenkomsten per jaar. Zulke groepen kunnen bijvoorbeeld eenvoudige handvatten opstellen in een to do lijst waarmee bedrijven zelf aan de slag kunnen. Want een goede cyberweerbaarheid hoeft helemaal niet moeilijk te zijn.”