Artikel | 2 mei 2022 | 3 minuten
Tijdens De Dag van het Leiderschaps verzorgden Joost Schmaal en Migiel de Wit-Beets een deepdive sessie over cybersecurity voor organisaties. Joost is IT advocaat en partner bij Kennedy Van der Laan en Migiel is verantwoordelijk voor het team Cybersecurity bij Grant Thornton.
Joost en Migiel namen het publiek mee in een casus uit hun dagelijkse praktijk.
Stel je voor je dat je als MKB marketingbureau net een grote nieuwe klant hebt binnengehaald. Je komt op maandagochtend op kantoor en je ziet een zwart scherm. Op deze computer staat alles wat van belang is voor jullie nieuwe, grote opdrachtgever.
Wat zou jij doen? Ga je direct je klant informeren?
De gevoelens in de zaal met betrekking tot deze casus waren stress, spanning en negatieve gevoelens.
In de praktijk zien Joost en Migiel vaak dat je niet direct weet waar je aan toe bent. Je weet niet direct wat er aan de hand is en waar de oorzaak van bijvoorbeeld een zwart scherm ligt.
Wanneer ga je betrokkenen informeren? Migiel: “Evenwicht is belangrijk. Je moet die klant gaan informeren, maar als je hem iets vertelt wat niet klopt, dan kan het een heel eigen leven gaan leiden. Als je mensen wilt informeren, dan zul je dat moeten doen met gefundeerde informatie die kloppend is.”
Wet- en regelgeving speelt hier ook een belangrijke rol. Denk hierbij aan privacy (AVG) bij een datalek of inbreuk op de beveiliging. Er rust een meldplicht op de organisatie van wie de data is, die moet binnen 72 uur de Autoriteit Persoonsgegevens inlichten. Als er data van personen bemachtigd is, moeten de betreffende personen ook ingelicht worden.
Een ander belangrijk aspect zijn de overeenkomsten met klanten op dit vlak. En is je organisatie voor cybersecurity verzekerd?
In de casus van Joost en Migiel blijkt het scherm helemaal zwart te blijven. De eis is om 2,4 bitcoins (toen ongeveer €100.000) over te maken. Anders is je data weg. Of wordt het misschien zelfs verhandeld?
Dit is een lastige keuze: ga je betalen of niet?
Migiel: “Praktijkervaring en onderzoek leert dat er ergens tussen de 45 en 80 procent betaald wordt. De regel is dat overheidsinstanties in de basis nooit betalen.”
Joost: “Verzekeraars betalen soms wel, afhankelijk van de situatie.”
Joost en Migiel zijn het over één ding eens: Als we met elkaar afspreken dat we niet meer betalen en hiernaar handelen, dan stort dit businessmodel vrij snel in.
Het is altijd aan te raden om aangifte te doen als je slachtoffer wordt van inbreuk op je data.
Bij 90% van de bedrijven die te maken krijgt met een incident op het gebied van cybersecurity, is dat omdat de basis niet op orde is.
Migiel: “Zorg er als leider en organisatie voor, dat het op de juiste niveaus belegd wordt. Het is niet meer voldoende om het alleen op de IT afdeling te beleggen. Het is belangrijk om te zorgen voor bewustwording bij medewerkers, de IT afdeling is ondersteunend om een aantal maatregelen in te regelen. Je moet ook een aantal processen opschrijven en daar naar gaan handelen.”
Joost raadt organisaties aan zich niet te richten op 100% beveiliging, met de gedachte dat het je niet gaat overkomen. Goede voorbereiding heeft een grote waarde. Maak een draaiboek, wanneer doe je wat, wie bel je wanneer.
Joost: “Vanuit het perspectief van bestuurdersaansprakelijkheid is het ook belangrijk om cybersecurity goed te organiseren.”
Migiel: “Cyber kun je niet alleen meer als een IT aangelegenheid zien. Het is een bedrijfsrisico geworden. Hierdoor kun je je voorbereiden voor het geval zich een incident voordoet.”
De voorbereiding die je nu doet, is een goede investering. De komende 20 jaar wordt het onderwerp cybersecurity alleen nog maar belangrijker.
Meld u aan voor onze nieuwsbrief en blijf op de hoogte van relevante ontwikkelingen.
MijnNCD
