In de fysieke wereld herkennen we tijdens de coronacrisis de zogenoemde ‘hygiëneregels’ maar al te goed: was vaak en goed uw handen, houd 1,5 meter afstand van elkaar, zorg voor voldoende frisse lucht en blijf thuis bij klachten. Maar waar zijn de tegenhangers in de digitale wereld? Er wordt ons niet verteld dat we geen usb-sticks van onbekenden mogen aannemen, dus steken we deze virusdragers zonder na te denken in onze apparaten, besmetten we buren en vrienden en helpen we onbewust bij de verspreiding van malware. Als ik mijn apparaten niet ‘inent’ en vervolgens besmet raak en overgenomen wordt door een kwaadwillende, kan ik zonder het te weten deelnemen aan DDoS-aanvallen tegen anderen. Net als de Volksgezondheid is de gezondheid op internet een zaak van ons allemaal, en als we de algehele veiligheid van onze technologische toekomst willen verbeteren, moeten bedrijven budget vrij maken voor informatiebeveiliging/Cyber Security.
De coronacrisis heeft ervoor gezorgd dat we massaal gingen thuiswerken, we zijn nog meer afhankelijk geworden van IT-infrastructuur. Onder andere door het thuiswerken is er in de fysieke wereld in 2020 een forse afname van het aantal woninginbraken te zien (ANP producties,2021), online misdrijven is daarentegen flink toegenomen (CBS, 2021). Krantenkoppen als: ‘Industrieconcern VDL Groep getroffen door digitale aanval’ komen regelmatig op de voorpagina (De Graaf, 2021). Het mag duidelijk zijn dat geen enkele organisatie een cyberaanval kan veroorloven, waarbij een organisatie out of business is. Het gezegde ‘voorkomen is beter dan genezen’ is daarbij vanzelfsprekend, maar waarom is het beter om een cyberaanval te voorkomen dan achteraf te ‘herstellen’?
- Je voorkomt dat bedrijfsprocessen stil komen te liggen
Door een cyberaanval kan de continuïteit van de organisatie in het gedrang komen, waardoor er geen controle meer is over de IT-infrastructuur, zoals bij ransomware. Door te investeren in informatiebeveiliging/cyber security, kunnen er preventieve maatregelen worden genomen, zoals het inrichten van endpoint protection. - Bescherming van ‘kroonjuwelen’/risico verlaging
In beveiligingslandschap wordt vaak gesproken over ‘kroonjuwelen’ hiermee wordt informatie/data bedoelt die extra goed beveiligd moet worden, zodat de Beschikbaarheid, Integriteit en Vertrouwelijkheid gegarandeerd kunnen worden. - Voldoen aan wet-en regelgeving
De Algemene verordening gegevensbescherming (AVG) zorgt voor versterking en uitbreiding van de privacyrechten van mensen, meer verantwoordelijkheden voor organisaties en dezelfde bevoegdheden voor alle Europese privacyzichthouders. De AVG is van toepassing op alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de Europese Unie. - Kosten besparing
Indien niet voldaan wordt aan de verplichtingen van de Algemene verordening gegevensbescherming (AVG) kan de Autoriteit Persoonsgegevens (AP) organisaties die de privacywetgeving overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet (AP, z.d.). Recent heeft het UWV een boete van 450.000 euro gekregen voor slechte beveiliging bij verzending groepsberichten (AP, 2021)
Daarnaast kun je bij een cyberaanval te maken krijgen met indirecte kosten, als gedwongen downtime, dataverlies, en aansprakelijkheid.
- Verkleind de kans op imagoschade
Naast de financiële kosten, kan een cyberaanval leiden tot immateriële schade, zoals bij imagoschade. Krantenkoppen als: ‘Gigantisch datalek in Aalten: persoonlijke gegevens van 5.500 kinderen liggen op straat (De Gelderlander, 2021)’ kunnen het vertrouwen van klanten schaden.
Uit onderzoek blijkt dat ruim zes op de tien (61,9%) organisaties imagoschade ziet voor hun organisatie als grootste gevolg van een hack (OrangeCyberdefense, 2020).
- Vertrouwen van stakeholders
Het vertrouwen van stakeholders (klanten, leveranciers, belangenverenigingen, enz) kan gewonnen worden door het behalen van een ISO27001 certificaat. Doordat de organisatie ISO27001 certificeert is kun je aan de stakeholders laten zien dat je informatiebeveiliging serieus neemt en hier actief mee bezig bent.
Tot slot, helaas is een cyberaanval nooit met 100% te voorkomen, wél kunnen we het kwaadwillende zo moeilijk mogelijk maken.