Trapt Rathenau een open deur in?

Trapt Rathenau een open deur in?

DearBytesBlogMaturityTrapt Rathenau een open deur in?

‘Een nooit gelopen race’, dat is de titel van een rapport over de deplorabele staat van de informatieveiligheid in Nederland. Ditmaal niet van een van de talloze securityleveranciers, maar van Rathenau, een instituut dat de publieke en politieke meningsvorming over wetenschap en technologie stimuleert. Het onderzoek brengt in kaart wat ons online allemaal bedreigt. En concludeert dat we ons daartegen onvoldoende beveiligen. Eigenlijk zijn het open deuren, we zouden dit allemaal allang kunnen weten! Niettemin: dit is echt een onafhankelijk onderzoek en hopelijk zet dit eindelijk de deur open naar concrete stappen op weg naar een betere cyberveiligheid.

Welke stappen zijn dat en wie moet die stappen nemen? Rathenau signaleert niet alleen, maar geeft hierover ook advies: zo moet er een onafhankelijk securitykenniscentrum voor mkb-bedrijven komen. En de overheid, die goed is voor de aanschaf bijna een derde van alle beveiligingsproducten en -diensten, moet het goede voorbeeld gaan geven. Ook beveelt Rathenau aan dat de security binnen onze vitale sectoren jaarlijks getest moet worden door (ethische) hackers. Verder moet de overheid ook in actie komen tegen onveilige digitale producten.

Het zijn geen onzinnige adviezen, maar wat kan een gemiddeld mkb-bedrijf hier mee? Neem dat kenniscentrum. Het onderzoek merkt terecht op dat securitykennis dun gezaaid is bij het mkb. Geen wonder, security is complex en het is geen kernactiviteit. Onafhankelijke adviezen zijn zeker welkom, maar waarom zou je moeten wachten tot zo’n instituut goed en wel van de grond is gekomen? Voor je het weet zijn we een jaar verder (inderdaad, ik ben een optimist). Het rapport maakt kristalhelder dat security specialistenwerk is geworden. Voor veel mkb-bedrijven is het daardoor onhaalbaar geworden om nog zelf voor adequate beveiliging te zorgen.

De issues die Rathenau signaleert en de voorgestelde maatregelen roepen een vraag op die het rapport niet beantwoordt: wat nu?

Zoek om te beginnen een securitybedrijf dat zich ruimschoots bewezen heeft, dus niet zo’n onderneming die twee jaar geleden op ‘cybersecurity’ is gaan meeliften. Nog belangrijker, ga alleen in zee met een partij waar je een klik mee hebt en waar je vertrouwen in hebt. Een partij die meedenkt. Is zo’n partij gevonden dan mag je daarvan een pragmatisch aanpak verwachten. Mkb-bedrijven zitten niet op verrassingen te wachten, zeker niet wat kosten betreft. Dus geen dikke beleidsplannen en ‘allesomvattende’ beveiligingsoplossingen met bijbehorende prijzen. En dus ook geen ‘prijsbeuker’ die weinig kost en net zo weinig levert. Maar wel een expert die een gefaseerde aanpak voorstaat: de belangrijkste beveiligingszaken eerst. In de daaropvolgende fasen kunnen dan verdere verbeteringen worden doorgevoerd. Dit geeft zowel helderheid over wat er gedaan moet worden en waarom, én de kosten zijn voorspelbaar.

Voor een mkb-bedrijf is het cruciaal om op deze manier zo snel mogelijk de securityrisico’s weg te nemen die het grootste probleem vormen (meestal malware, zoals ransomware). Een bedrijf dat dit nu in gang zet wordt een stuk beter beveiligd én draagt tegelijk bij aan onze nationale weerbaarheid tegen cybercriminaliteit. Het gaat, zoals Rathenau het zegt, om de samenleving die we met hulp van digitale technologie met elkaar willen vormgeven. En zonder die weerbaarheid lukt dat niet.