Cybercriminaliteit tegengaan? 'Geen nieuwe wet nodig, bestuurders moeten belang van security inzien'

Wat begon met een uitstrijkje, eindigde voor veel vrouwen met hun data op het darkweb. Peter Wijninga, specialist defensie en internationale veiligheid bij het Den Haag Centrum voor Strategische Studies, zegt dat de organisatie op de werkomgeving Citrix draait, evenals het OM dat al eerder met een groot lek te maken kreeg.

"Een belangrijk punt bij cybersecurity is alertheid. Mensen leunen achterover wanneer ze denken dat het geregeld is. Maar je moet voortdurend alert zijn op mogelijke lekken, want criminele organisaties zijn daar constant naar op zoek. Zo'n Citrix-hack is een slordigheidsfout die grote gevolgen kent." Wijninga vraagt zich af of een lab überhaupt alle persoonsgegevens nodig heeft voor een uitstrijkje.

Dataminimalisatie

Dagmar Lens, directeur van NLDigital, stelt dat een bedrijf er goed aan om zoveel mogelijk onnodige informatieverstrekking te beperken. "Dataminimalisatie is ontzettend belangrijk, organisaties dienen in te zien welke info zij nodig hebben en hun systemen daar zo goed mogelijk op in te richten." Lens zegt dat het enige dat je zelf kan doen, is je inlezen op veiliginternetten.nl, maar dat verantwoordelijkheid uiteindelijk bij organisaties ligt.

Wat is de schade?

Julia Krauwer, sectorspecialist technologie bij ABN Amro, deed onderzoek naar de impact van cyberaanvallen op het Nederlandse bedrijfsleven en daaruit blijkt dat één op de vijf bedrijven vorig jaar schade ondervond door cybercriminaliteit. "De schade kan per incident oplopen tot honderdduizenden euro's, al is schade niet altijd financieel. 8 procent van de bedrijven ondervond financiële schade, maar daarnaast ondervinden bedrijven door cyberaanvallen ook operationele schade en reputatieschade. Met klantenverlies en ook emotionele schade als gevolg."

Ook ziet Krauwer dat de focus van hackers naar middelgrote en grote bedrijven trekt. "En juist daar worden risico's vaak niet goed ingeschat."

'Niets nieuws'

"'Hackers' is eigenlijk een geuzenterm voor mensen die technologie weten te begrijpen", zegt Brenno de Winter. Hij is expert op het gebied van informatiebeveiliging en privacy en zegt dat degene waar je je tegen wil weren als organisatie, de 'cybercriminelen zijn.' "Je kan hen proberen te weren met tools zoals AI, maar dan ga je om het daadwerkelijke probleem heen. Als mensen niet fatsoenlijk worden getraind om alles op orde te maken, dan gaat dat ook nooit lukken."

De Winter zegt dat het niet aan de wetgeving ligt. "Het is niet zo dat je iets nieuws moet gaan doen, het is zo dat men de wet eens moet gaan uitvoeren."

Volgens de informatiebeveiliging en privacy-expert wordt er door bestuurders te laks omgegaan met het databeheer en zouden zij hier meer verantwoordelijkheid in dienen te nemen. "Een overheid zou prima in staat moeten zijn om daar maatregelen op te nemen."

Hoger op mentale agenda

Verhoeven, voormalig Tweede Kamerlid namens D66, zegt dat het keer op keer blijkt dat de psychologie van de mens niet opgewassen is tegen de technologische mogelijkheden. "Als persoon vul je veel gegevens in, waar een organisatie uiteindelijk verantwoordelijkheid voor heeft. Maar dat besef van verantwoordelijkheid dient hoger op de mentale agenda te komen in bestuurskamers. Het gaat namelijk over de bestuurders die het belang van cybersecurity niet in het oog hebben. Zolang dit niet gebeurt, zijn we ook niet opgewassen tegen cybercriminaliteit."