In de maand november organiseerde Cyber Netwerk Drechtsteden een drietal online rondetafelsessies met als thema’s Cyber&Verzekeringen, Cyber&Accountants en Cyber&SaaS.
Aan het Cyber&SaaS rondetafelgesprek namen deel: Rolf Ritsema (Kien ICT), Jacob van der Vis (KvK), Remko Polack (4COM), Steven Verkaart (Hoek en Blok)
Wico van Helden en Pieter Kroon waren aanwezig namens Cyber Net Werk Drechtsteden. De techniek werd verzorgd door Edwin van der Lee.
Dit is deel 2 van het verslag.
Uitbesteden zegt niet alles over het afdekken van cyberrisico’s
Steven stelt zich de vraag of, wanneer alles is versaast, de perceptie m.b.t. veiligheid verandert. Remko reageert daarop dat veel klanten aangeven dat ze denken dat het allemaal wel geregeld is dan. Rolf vergelijkt het met fysieke inbraak. “Je houdt ze niet buiten. Als ze echt ergens op uit zijn, dan lukt het altijd. De Nachtwacht is goed beveiligd, maar reken maar dat als ze hem willen hebben, ze hem ook komen halen. Maar vaak zijn aanvallen niet zo gericht op een doel. Bij beveiliging van je huis geldt ook dat een inbreker het huis pakt waar hij het makkelijkst binnenkomt. Het gaat om snelle handel. De zwakste wordt gepakt”. Steven: “Als dat zo is, dan moeten we vooraf goed nadenken wat we moeten doen als we aan de beurt zijn”
Koppel security aan risico
Jacob geeft aan dat, als je security niet aan risico koppelt je het nooit de boardroom in krijgt. Via techniek gaat dit echt niet lukken. Een directeur/ondernemer moet zich realiseren waar het pijn doet als het misgaat. Steven ziet een verschil tussen de kleinere ondernemingen en de grotere partijen. De “kleine mkb`er” vertrouwt vaak blind op zijn dienstverlener. Grotere ondernemingen vragen steeds vaker om zekerheid in de vorm van certificeringen van leveranciers”.
Rolf geeft aan dat over security vaak niet bewust wordt nagedacht. Zijn ervaring binnen het onderwijs is dat scholen niet zelf over kennis beschikken op dit gebied en op zoek gaan naar advies. In de praktijk blijkt dan dat ze ook het kiezen o.b.v. een advies lastig blijken te vinden.
Jaap verbaast zich erover dat hij in de dagelijkse praktijk nog op zoveel, vaak heel basale, onwetendheid stuit. Veiligheid neemt bijvoorbeeld nauwelijks plaats in binnen inwerkprogramma’s en on- en offboardingprocessen. Bij inbedrijfstelling van een nieuwe telefonieoplossing krijgen mensen 3, 4 soms 5 dagen training, maar aan security awareness wordt in die 5 dagen nauwelijks een kwartier besteed. Mensen lopen in het kader van security keurig met de hand aan de leuning de trap op, maar vergeten vervolgens wel gewoon hun toestel uit te loggen zodat iedereen overal bij kan”. Het lukt op een of andere manier niet of heel moeilijk om mensen met cybersecurity aan de gang te krijgen.
Kan dit bij ons ook gebeuren?
Rolf merkt dat n.a.v. het incident bij universiteit van Maastricht bestuurders zich de vraag gaan stellen “Kan dit ons ook overkomen?”. En dan is het antwoord toch echt: “ja”. Je kunt systemen niet 100% veilig maken. Jacob: “Bij ons wordt er vanuit de overheidsorganisatie heel erg gelet op veiligheid. Niemand komt nog binnen zonder pasje of zonder zich te registreren. Er lopen bijvoorbeeld regelmatig bloemen- en fruitmensen binnen. Wie zegt dat ze echt zijn wie ze zeggen dat ze zijn?”. Rolf: “Ik was eigenlijk verrast door de eenvoud waarmee ze in Maastricht zijn binnengekomen. Ze hebben hun moment gewoon afgewacht. Dat deed mij denken “Zouden ze ook bij ons in het systeem al aanwezig zijn? Eerlijk gezegd heb je geen flauw idee”.
Tip(s)
Een leuke tip kwam voort uit de Cyber Challenge Day. Probeer cybersecurity een plek in je organisatie te geven zoals BHV dat ook doet. Tweede tip: geef cybersecurity vanuit de leiding meer aandacht. Leg er meer de nadruk op dat dit iets is waar iedereen bij betrokken is. Neem het op in je bedrijfsprocessen. Check op risico’s en waarschijnlijkheid. Tenslotte: blijf herhalen dat er risico’s zijn. Zoals het mannetje van de inbraakpreventie: “Ik blijf het zeggen hoor”