Cybersecurity Awareness Round Table: organisaties hebben nog veel uitdagingen
18-04-2018 | door: Johan van Leeuwen

Cybersecurity Awareness Round Table: organisaties hebben nog veel uitdagingen

De Dutch IT-channel Cybersecurity Awareness Round Table leverde twee uur lang discussie op niveau op. Onder leiding van Witold Kepinski, hoofdredacteur van Dutch IT-channel, spraken elf IT-partners en Kaspersky Lab met elkaar over de bewustwording rond cybersecurity bij bedrijven en de rol die het IT-kanaal daarin speelt of zou moeten spelen. De rode draad: er is nog een lange weg te gaan.

Kirsten Koning, head of corporate sales van Kaspersky Lab, was één van de deelnemers aan de round table, die onder het genot van een heerlijk diner in Kasteel Groeneveld in Zeist werd gehouden. Daarnaast waren er elf IT-partners aanwezig. Van allerlei pluimage - van grote integrators tot ‘security only’ dienstverleners - en uit heel Nederland. Ze hadden als gemeenschappelijke deler dat ze vaak met zakelijke eindklanten over security praten en uitstekend weten wat er bij organisaties speelt.

Somber beeld
Vrijwel unaniem schetsen ze een somber beeld over security awareness bij bedrijven. “Nog geen twee procent van de bedrijven is zich echt bewust van wat er speelt”, zegt één van de deelnemers. “Ondanks alle aandacht voor security is het nog steeds, net als vroeger, een sluitpost op de begroting.”
“De bereidheid om ermee bezig te zijn is bedroevend laag”, vertelt iemand anders. “Als wij langskomen worden we regelmatig gezien als een bedrijf dat zichzelf wil verrijken, terwijl we juist willen beschermen.”
“Security wordt nog vaak als iets saais gezien”, aldus een andere partner. “En als iets negatiefs. Je krijgt geen compliment als je iets goed gedaan hebt, maar je loopt wel het risico om ontslagen te worden als je verantwoordelijk bent voor een incident.”

Koning vertelt over een onderzoek dat Kaspersky uit heeft laten voeren. “Daarin geven bedrijven wel aan dat ze het een belangrijk onderwerp vinden. Maar het mag niet te veel kosten. Bovendien is het opvallend dat het management van veel bedrijven aangeeft dat awarenesstrainingen alleen voor het personeel zijn en niet voor hen.”

Change manager
Om een verandering voor elkaar te krijgen moeten zowel IT-partners als zakelijke eindklanten loskomen van de techniek, concluderen de meeste deelnemers. “Het heeft niet veel met techniek te maken, maar meer met verandering. Je moet als bedrijf misschien wel een change manager op dit onderwerp zetten en er ook een communicatiedeskundige en een psycholoog bij betrekken. En bovendien de boodschap blijven herhalen. De omslag moet gemaakt worden door herhalen, belonen, auditen en scannen.”

Omdat security veel verder gaat dat techniek moeten IT-bedrijven samenwerken, is de gezamenlijke conclusie. Met concullega’s, of juist met bedrijven buiten de IT. “Je hebt verschillende soorten specialisten nodig. Ook juristen, bijvoorbeeld.”

AVG
Dat geldt zeker voor de AVG (of, in het Engels, GDPR). Dat onderwerp komt al tijdens de voorstelronde aan bod. Een typisch onderwerp waarbij securitybewustwording een grote rol speelt. De aanwezige partners zien dat de AVG hen wel een boost bezorgt, maar dat betekent niet dat bedrijven er allemaal goed mee omgaan. “Ze kiezen toch vaak voor de meest minimale oplossing. Daarnaast wordt het veel te vaak gezien als een afzonderlijk project dat op 25 mei is afgerond, maar zo is het natuurlijk niet”, geeft iemand aan. Er wordt instemmend geknikt door de rest. “Bedrijven zijn bezig met de regels, tot en met de punten en de komma’s, maar niet met waar het eigenlijk om gaat: de beschikbaarheid en validiteit van data. Daar moet het in gesprekken met het C-level eigenlijk over gaan.”

Trainingen
De oplossing voor het AVG-vraagstuk, en voor bewustwording in het algemeen, zou kunnen liggen in het geven van trainingen. “Maar een Powerpoint-presentatie aan je personeel laten zien in een klein zaaltje en daarna denken dat het goed zit is natuurlijk absoluut niet zoals het zou moeten”, vindt een deelnemer. Kaspersky zet al ruim twee jaar nadrukkelijk in op het geven van trainingen en assessments. Dat gebeurt eigenlijk altijd in een spelvorm. Kirsten Koning vertelt over het programma. “In eerste instantie waren bedrijven wel enthousiast, maar wilden ze er nog geen budget voor vrijmaken. Het afgelopen jaar was dat laatste veel vaker wel het geval. We zien een sterk groeiende vraag.”

Een aantal aanwezige partners gaat daar op dezelfde manier mee om en biedt ook trainingen in spelvorm, of volgens een soort Netflix-model, aan. Iemand zegt: “Gamification werkt. Je moet het leuk en speels maken, bijvoorbeeld door er een spel of quiz van te maken en er beloning aan te hangen”, zegt iemand. “Op die manier wordt security ook iets positief in plaats van iets waar mensen alleen maar angst voor hebben. Dat is de enige manier waarop het kan werken.” Iemand anders zegt: “Met goede en leuke trainingen kun je bovendien je band met de klant versterken.”

Maar trainingen zijn ook niet heilig, ook al worden ze goed gegeven, vindt iemand. “Iedereen een training laten volgen is niet zo ingewikkeld. Om er daarna aan vast te houden is dat wel. Trainingen zijn een onderdeel van de complete suite. Het doel van ons moet zijn om klanten die suite te laten zien. Dat is vaak nog lastig.”

Angstcultuur
Er heerst rond security te vaak een angstcultuur, vindt vrijwel iedereen die aan de tafel zit. “Mensen zijn bang om incidenten te melden. Ze vrezen voor hun baan. Terwijl het iedereen, zelfs ons, kan overkomen. Het moet juist beloond worden als iemand een incident meldt. Het is heel belangrijk. Je moet het daarom ook mogelijk maken dat medewerkers dat anoniem kunnen doen. Je ziet duidelijk verschil tussen bedrijven die alleen de intrinsieke motivatie hebben om boetes te voorkomen en bedrijven die echt met datahygiëne bezig zijn. Bij het eerste soort bedrijven heerst veel vaker een angstcultuur.”
Dat werknemers incidenten regelmatig niet melden is volgens iemand logisch. “Het heeft met onze natuur te maken. We willen vluchten als er iets misgaat. Dat zit diep in onze genen en dat doorbreek je niet zomaar.”

Sectoren
Er zijn veel verschillende sectoren die hun zaken nog niet op orde hebben. De overheid springt er volgens veel deelnemers met name uit. Ook in bijvoorbeeld de zorg is er nog veel terrein te winnen. “De papiertjes met ‘Mevrouw Jansen moet worden gewassen’ hangen daar aan de deuren. Dat heeft alles met het adoptievermogen te maken”, oordeelt iemand. Volgens een ander is dat niet zo vreemd. “Je kunt van bijvoorbeeld een verpleegster niet verwachten dat die met bescherming van data bezig is. Als je een keer meeloopt op de spoedeisende hulp, dan snap je dat mensen daar andere dingen aan hun hoofd hebben. Er is een leven buiten de IT. Mensen in de zorg hebben een prachtige passie voor het verzorgen van mensen. Zoals een leraar niets liever wil dan les geven aan zijn leerlingen. Wij moeten ervoor zorgen dat zij zich daar helemaal op kunnen richten. Dat is onze taak.”
De deelnemers kijken op die manier ook kritisch naar hun eigen branche. “We zijn kunstenaars in simpele dingen heel moeilijk uitleggen. Elke afkorting tussen AAA en ZZZ hebben we weleens gebruikt. Als we van toegevoegde waarde willen zijn moet dat echt veranderen.”

Toekomst
Er volgt een blik in de toekomst. De overheid moet volgens iemand meer actie ondernemen, onder andere als het gaat om het toezien op de productie van veilige producten en het voorkomen van de invoer van producten uit het buitenland die makkelijk te hacken zijn. Het doembeeld van het hacken van pacemakers of zelfrijdende auto’s komt aan bod. “Ontwikkelingen gaan snel, maar er zitten ook een keerzijde aan.”

Bewustwording begint al op jonge leeftijd, zo concluderen de deelnemers nadat ook de vijfde gang van het diner achter de kiezen is. “Op sommige scholen zijn ze er al mee bezig. Dat is een goede zaak.” Met die opmerking eindigt de discussie, maar tijdens de naborrel wordt er nog lang inhoudelijk nagepraat.

Bekijk de video over de Dutch IT-channel Cybersecurity Awareness roundtable.

Door: Johan van Leeuwen

Terug naar nieuws overzicht