Alert Online: 'Ga met elkaar het gesprek aan over cybersecurity’
Organisaties weten inmiddels wel dat goede security belangrijk is. Maar hierover praten is weer iets anders. Zeker wanneer een organisatie zelf gehackt is geweest, heerst er vooral schaamte, wat erover praten bemoeilijkt.
Toch is praten over cybersecurity een belangrijke factor om cyberveiligheid in het bedrijfsleven te realiseren, vindt Erik Jan Koedijk van Omnicom PR Group en lid van het activatieteam van Alert Online.
Wanneer een winkel overvallen wordt, wordt hier zonder moeite over gepraat. Wanneer diezelfde winkel te maken krijgt met een cyberaanval, slaat ineens de deur dicht. Die schaamte vormt een drempel voor goede cyberveiligheid. Volgens Erik Jan Koedijk is het gebrek aan communicatie een reden dat sommige organisaties amper een goed werkend securitybeleid hebben en voeren.
Vreemd, want zoals diverse voorbeelden uit de praktijk - inmiddels teveel om op te noemen - laten zien is het mogelijk met cybersecurity-aanvallen een organisatie geheel lam te leggen. Erik Jan: 'Organisaties moeten daarop voorbereid zijn. Neem een restaurant met een geautomatiseerd systeem, kan die nog wel draaien als dat point of sales-systeem platgelegd wordt? Ik ben bang, maar denk wel dat het die kant op gaat, dat organisaties zoals in genoemde voorbeeld gewoon weer ouderwets blocnotes klaar moeten hebben liggen om door te kunnen werken. Stiekem zijn we gewoon ontzettend afhankelijk geworden van geautomatiseerde systemen, maar bedrijven raken ook gewend aan het 'gehackt zijn'.
En dat gaat in de nabije toekomst alleen maar toenemen, legt hij uit. Het Internet of Things, waarbij alles met het internet is verbonden, ook huishoudelijke apparatuur, kan potentieel deel uitmaken van een botnet, zeg maar ‘digitale legers’. Ze werken gewoon, maar zijn tegelijkertijd ook onderhevig aan de grillen van hackers’, aldus Erik Jan. ‘Combineer dat met de snelle netwerken van nu en we hebben het over digitale legers die kunnen toeslaan waar en wanneer een hacker maar wilt.’
Het gesprek aan gaan
Erik Jan is van mening dat ondernemers, leveranciers en medewerkers meer met elkaar moeten communiceren. 'Waarom gaan we niet met elkaar in gesprek en leren we zodoende van elkaar? Via Alert Online faciliteren we dit door bij ons op de website bijvoorbeeld partneractiviteiten te publiceren en bekend te maken. We hebben indrukwekkend veel partners en die proberen allemaal bewust bezig te zijn met cybersecurity.'
Zo organiseert het Albeda College in de regio Rijnmond van mei 2017 tot september 2018 op alle locaties een interne bewustwordingscampagne voor haar medewerkers en ontwikkelt de Verenging van Nederlandse Gemeenten een training iBewustzijn. Ook wil Alert Online op inventieve manieren jongeren bereiken. Iets wat vreemd lijkt als je je bedenkt dat Alert Online zich voornamelijk op de vitale sectoren, de overheid en het bedrijfsleven richt.
Maar Erik Jan legt uit dat het eigenlijk helemaal niet vreemd is, via jongeren bereik je ook weer hun ouders. ‘Hiervoor zijn we in gaan zetten op video’s met Isabel Provoost, die in 2017 tweede werd bij The Voice of Holland. Iemand heeft haar iCloud proberen te hacken toen ze in de fi nale stond. Ze begreep er niets van. Het leek ons een goed idee om haar video's te laten maken waarin ze op onderzoek uitgaat: wat is een goed wachtwoord, waarom zijn openbare wifi-hotspots een risico, enzovoort. Haar video’s trekken ook de aandacht van ouders en iets waar we trots op zijn: we worden veelvuldig gevraagd door bedrijven of ze de video’s op hun intranet mogen delen aangezien de video’s het beter uitleggen dan hun eigen IT-experts, wanneer we de reacties op Facebook mogen geloven!’
Alert Online toolkit
'Om partners (en eigenlijk elke organisatie) te helpen om met elkaar het gesprek aan te gaan en binnen de eigen organisatie bewustwording voor goede cybersecurity te creëren, stelt Alert Online allerlei tools beschikbaar op de eigen website. We hebben bijvoorbeeld flyers gericht op bewustwording. Die worden niet zelf gemaakt door organisaties, logisch, het is immers niet hun corebusiness. Dus daar helpen wij bij door de juiste tools beschikbaar te stellen.'
'De toolkits zijn overigens openbaar voor iedereen en we breiden ze ook continu uit. Ook vind je er onderzoeken en diverse filmpjes, zoals de eerder genoemde video’s met Isabel. Allemaal transparant en duidelijk. Deze tools kunnen dus weer helpen om open en eerlijk met elkaar te praten over cybersecurity, want met behulp van communicatie kunnen we echt een start maken tot een sterk cybersecuritybeleid binnen het MKB.'
Angst als slechte raadgever
Hoewel we ons niet zouden moeten laden leiden door angst, is een gezonde angst die leidt tot voorzichtigheid best goed. Het wordt echter wel lastig om open met elkaar te kunnen communiceren over cybersecurity wanneer we ook daar niet over durven te praten, bijvoorbeeld wanneer een ondernemer zelf is gehackt. Die schaamte om de ervaringen te delen zijn veelzijdig en kan overal vandaan komen. Een eenduidig antwoord is er dus niet.
Wel geeft Erik Jan aan dat het niet de vraag is of, maar wanneer je gehackt gaat worden. ‘En nog belangrijker: hoe ben je daarop voorbereid? Een idee is om vooraf een plan van aanpak te maken. Dat roept ongetwijfeld weer vragen op die in sommige gevallen schaamte veroorzaken, bijvoorbeeld omdat ze bang zijn voor gevolgen dan uit aansprakelijkheid.'
'Dat kan mogelijk leiden tot een gerichtere strategie om een juist plan van aanpak klaar te hebben wanneer je gehackt wordt. Makkelijk is dat niet, want een van de grootste problemen is het niet begrijpen ‘waarom’. Veel mensen begrijpen letterlijk niet wat hen overkomt wanneer ze gehackt worden. Wanneer we dat onbegrip voor een groot deel wegnemen hebben we al veel gewonnen.'
Helder handelingsperspectief goed internetgedrag ontbreekt
Gedragswetenschapper en lector Reint Jan Renes van de Hogeschool Utrecht erkent dat er verschillende drempels zijn voor het vertonen van ‘goed’ internetgedrag: ‘Er is nog veel onbenul over de dreiging van cybercrime en er is sprake van een te rooskleurige inschatting van de eigen situatie. Daar bovenop komt dat het ons vaak ontbreekt aan een helder handelingsperspectief: wat kan ik zelf eenvoudig doen? De opbrengsten van het gedrag om veilig online te zijn is momenteel onvoldoende voelbaar. Het is een beetje als “tuurlijk ga ik mij beveiligen, maar nu even niet. Misschien morgen.” Naast het creëren van meer besef is het van belang dat er betere bescherming wordt geboden tegen de risicovolle prikkels waar burgers nu mee te maken hebben. Want online veiligheid is typisch een probleem dat niet minder wordt wanneer de oplossing geheel bij de consument wordt gelegd.’
Gehackt: een ondernemer vertelt
Gerard heeft een groothandel in glasmateriaal en werd het slachtoffer van zogenaamde ransomware. ‘Ik kwam op maandagochtend binnen en ik zag op de computer de tekst staan dat ik mijn bestanden kon terugkopen. Die computer is altijd aan hier, en die werkt ook als server die de administratiesoftware draait. Alles dat op de computer stond en alle backups die eraan hingen waren versleuteld. We zijn maar een klein bedrijfje, maar we hebben de nodige virusscanners en firewalls. We hebben wel een IT-mannetje die dat allemaal heeft opgezet. Maar toen we met hem aan de telefoon hingen was het antwoord min of meer “hier hebben we nog niks tegen”. Hij is langs geweest en heeft alles opnieuw geïnstalleerd en aan de praat gekregen, maar een week later was het opnieuw raak. We maakten backups op externe harde schijven die aan de server hingen, maar die waren ook versleuteld. Ik had nooit verwacht dat alle backups die aan een computer/server hangen ook allemaal beschadigd zouden raken. Gelukkig had ik thuis nog een backup, maar anders hadden we onze bestanden vrij gekocht. Alle administratie stond erop. Dat was in feite ons hele bedrijf.’
Of Gerard in dat geval van de hack af was geweest, is natuurlijk nog maar de vraag. Het laat wel zien dat deze criminelen handig gebruik maken van de wanhoop van mensen die door de hack dreigen hun bedrijf kwijt te raken.
De naam van de ondernemer is op verzoek geanonimiseerd.
Partner Events
Alert Online heeft veel partners die allemaal op een eigen manier hun steentje bijdragen. Grote organisaties zoals Schiphol bijvoorbeeld, die een Cyber Security evenement voor het Schiphol ecosysteem organiseert. Hierbij worden partners van Schiphol uitgenodigd met het doel hen weerbaarder te maken tegen cybercrime. Ook het MKB doet hun best, zoals Veerman ICT, die een awareness training organiseerde voor iedereen die met persoonsgegevens werkt.