Roel van Rijsewijk: Alleen awareness lost niets op

Roel van Rijsewijk

29-10-2019 | door: Redactie

Roel van Rijsewijk: Alleen awareness lost niets op

Tijdens de Europese Cyber Security Maand wil de EU haar burgers bewustmaken van de dreigingen uit cyberspace. Die nadruk op dreigingen werkt averechts, vindt Roel van Rijsewijk. “Cybersecurity maakt innovatie mogelijk.”

“Wanneer wordt ‘cybersecurity awareness’ paranoia?” Roel van Rijsewijk, Directeur Cyber Defence bij Thales, vindt het uitermate belangrijk dat mensen bewust nadenken over cybersecurity, maar dan liefst wel op een constructieve manier. “De voortdurende dreiging met een digitaal Armageddon leidt tot risicomijdend gedrag. Op het moment dat we alleen nog maar bezig zijn te voorkomen dat er ooit iets gebeurd waarop we kunnen worden aangesproken, kunnen we net zo goed stoppen met innovatie.”

Van Rijsewijk (46) vindt risico’s een logisch gevolg van innovatie. “Bestuurders moeten zich er bewust van zijn dat een bedrijfsstrategie eigenlijk altijd risico’s creëert. Een ondernemersplan zonder risico is een plan zonder ambitie. Als je iets wilt bereiken, moet je je nek durven uitsteken.” Maar als je tegelijkertijd cybersecurity aanvliegt als een manier om ieder risico te vermijden, ben je in feite je eigen organisatie aan het dwarsbomen.

“Waar je naartoe wilt is een organisatie die zo weerbaar is dat je op een verantwoorde manier risico’s kunt nemen.” Mensen nog bewuster maken van de gevaren is daarbij niet constructief, maar ook niet nodig, meent Van Rijsewijk. Uit de recent verschenen Cybersecuritymonitor 2019 van het CBS blijkt dat bedrijven wel degelijk al steeds meer maatregelen aan het nemen zijn. “Die awareness is er echt wel. De kunst is ervoor te zorgen dat je als organisatie cybersecurity op strategisch niveau gaat omarmen. In een weerbare organisatie is het een enabler in plaats van een noodzakelijk kwaad.”  

De mens is niet de zwakste schakel

In het Cybersecuritybeeld 2019 stelde de Nationaal Coördinator Terrorismebestrijding en Veiligheid eerder dit jaar dat opvallend veel bedrijven nog steeds hun basismaatregelen op het gebied van cybersecurity niet op orde hebben. Volgens Van Rijsewijk komt dat niet zozeer doordat mensen en organisaties zich onvoldoende bewust zijn van de risico’s, maar doordat ze niet bereid zijn daar hun gedrag op aan te passen. “Wat we zien is dat mensen wel degelijk weten wat de risico’s zijn, maar er niet naar handelen. Je moet je afvragen waarom dat zo is.”

Een belangrijke oorzaak ligt volgens Van Rijsewijk in de technologie. “Cybersecurity maakt technologie nog steeds vaak zwaar en ingewikkeld. Dat kunnen organisaties zich niet veroorloven.” Hij wijst op de grote aarzeling om cybersecuritymaatregelen door te voeren in de wereld van de Operationele Technologie (grote industriële machines). Veel meer nog dan in de IT moet OT zonder haperingen en storingen kunnen draaien. “OT-verantwoordelijken zijn zich wel degelijk bewust van de cyberrisico’s. Het probleem is dat naar hun beleving het middel, cybersecurity, erger is dan de kwaal!”

De praktijk bewijst zijn gelijk, stelt Van Rijsewijk: “Mensen willen graag hun werk ongehinderd kunnen doen. Als cybersecurity daarbij een hindernis vormt, zoeken ze een manier om het te omzeilen.” Mensen kiezen wachtwoorden die ze eenvoudig kunnen onthouden, gaan andere toepassingen gebruiken dan het bedrijf ze aanbiedt (‘Shadow IT’) en slaan gegevens op op plaatsen waar dat niet hoort omdat ze er dan makkelijker bij kunnen. “Dergelijke ‘olifantenpaadjes’ zijn een gruwel voor IT-managers, en al helemaal in de OT, waar controle cruciaal is.”

In de medische wereld is cybersecurity extra belangrijk vanwege de vele zeer gevoelige gegevens die er omgaan. “Dat is een wereld waar snelheid soms van levensbelang kan zijn”, vertelt Van Rijsewijk. “Als cybersecurity dan een barrière vormt, zul je zien dat mensen onmiddellijk op zoek gaan naar manieren om het te omzeilen.”

De oplossing ligt volgens Van Rijsewijk in een veel proactievere benadering van cybersecurity. “We moeten af van dat reactieve. Secure by design moet het uitgangspunt zijn, zowel in technologisch opzicht als in de bestuurskamers.”

Risico’s nemen is gezond

Cybersecurity die achteraf wordt opgelegd, vormt bijna per definitie een belemmering. “Zorgen dat security al in de ontwerpfase wordt meegenomen is de beste manier om te voorkomen dat veilige oplossingen ten koste gaan van de gebruikservaring en de bruikbaarheid. Als je veilig IT-gebruik aantrekkelijk en vanzelfsprekend weet te maken, verandert het gedrag vanzelf.”

Dat geldt in feite ook voor de bestuurskamer, waar nadenken over bedrijfsrisico’s, en dus ook over cybersecurity, essentieel is om een gezonde bedrijfsstrategie te voeren. Cybersecurity wordt nu nog te vaak besproken in termen van dreiging, en te weinig als empowerment, vindt Van Rijsewijk. “Angst is een hele slechte raadgever. Wat we nu nog vaak zien is dat maatregelen voor cybersecurity gedreven worden door de angst voor aansprakelijkheid en onrealistische verwachtingen. Je kunt zoveel Security Awareness programma’s draaien als je wilt, maar het risico wordt nooit nul. Wat je wél kunt doen is zorgen dat risico’s acceptabel worden.”

Dat begint met zorgvuldig in kaart brengen wat de risico’s precies zijn. Van Rijsewijk: “Alles begint bij inzicht: weten wat je hebt, wat zich afspeelt in je organisatie en wat er gebeurt als er ergens iets fout mocht gaan. Vervolgens kun je gericht maatregelen nemen om die risico’s te reduceren tot een acceptabel niveau.”

Een bedrijfsnetwerk moet bijvoorbeeld goed bereikbaar zijn. Het idee dat dat ook betekent dat hackers erbij kunnen, jaagt veel mensen schrik aan. Maar zelfs een netwerk dat vanaf het internet volledig onbereikbaar is, kan nog steeds worden gekraakt. De vraag is volgens Van Rijsewijk dan ook niet hoe je dat ten koste van alles kunt voorkomen. De vraag is hoe je je business optimaal kunt laten presteren en tegelijkertijd goed voorbereid kunt zijn op het moment dat iemand probeert de boel te saboteren. “Hoe snel kom je erachter, hoe snel kun je vervolgens ingrijpen, en hoe zorg je dat de mogelijke schade beperkt blijft en eventueel direct hersteld kan worden?”

De business moet door, vindt Van Rijsewijk, die liever over Cyber Defence spreekt dan over cybersecurity. “Security suggereert een zekerheid die niet werkelijk bestaat. Je bent nooit ‘100% secure’.” Waar een organisatie wél voor kan zorgen is dat de verdediging zo goed op orde is dat de risico’s aanvaardbaar worden en de angst voor security-incidenten wordt weggenomen. “Een goede defensie geeft je organisatie de vrijheid, de rust en het vertrouwen om te ondernemen en te innoveren. Organisaties die hun cybersecurity op die manier benaderen, hebben een serieuze voorsprong op de concurrentie.”

Door: redactie 

Terug naar nieuws overzicht