Veranderingen vragen om aanpassingen

In veel opzichten is de wereld hard aan het veranderen. Dit is natuurlijk van alle jaren maar misschien merken we het vandaag de dag gewoon meer dan voorheen. Een goed voorbeeld hiervan zijn de recente bevindingen inzake de bevuiling van Tata Steel. Ze hebben niets ‘verkeerd’ gedaan en gewerkt volgens de voorschriften en vergunningen vanuit de overheid. Toch, met de kennis van nu, blijkt dat de genomen maatregelen niet afdoende waren. Iets dat mogelijk, hopelijk niet, vergaande gevolgen kan hebben voor de volksgezondheid in die regio. Dit voorbeeld is ook tekenend voor informatiebeveiliging, elke dag is er wel een nieuw item te vinden over cybercrime. Van ‘kleine aanvallen’ op het MKB, tot aanvallen op de reuzen van de zakenwereld met flinke economische gevolgen en met tot slot overheden die elkaar bespioneren en dwarszitten.

Dit laatste is niets nieuws. Sterker nog, het lijkt soms in het takenpakket van de overheid te zitten. “U wilt regeren? Geen probleem, hier heeft u een verrekijker, drone en afluisterapparatuur. Veel plezier!”. We overdrijven, dat weten we. Maar toch is er wel degelijk sprake van een wapenwedloop. Ditmaal niet met tanks, bazooka’s en mensenlevens maar een wedloop op data. Ondanks toezegging van vele overheden dit te veranderen gebeurt het vandaag de dag nog wel degelijk. Er zijn grote belangen welke veel al financieel gedreven zijn. Vanuit overheden kan het interessant zijn om bepaalde economieën plat te leggen om daar vervolgens zelf van te kunnen profiteren of om landen verder te demoraliseren.

Dit zie je natuurlijk ook terug vanuit de criminele organisaties. Recente voorbeelden zijn natuurlijk de malware die de systemen gijzelt en waar de slachtoffers vervolgens een bak geld kunnen betalen om hun data weer beschikbaar te krijgen. Het voorbeeld van Kaseya is hier treffend. Veel bedrijven werden hierdoor getroffen, data werd ontoegankelijk en er werd gevreesd voor het ergste. Sommige IT-bedrijven, zoals Velzart, hebben veel werk verzet om hun data op eigen kracht weer toegankelijk te krijgen dankzij een sterk back-up-beleid. En toen, was plots de sleutel om het allemaal te unlocken beschikbaar zonder dat er, zo wordt gepleit, ook maar een euro aan losgeld was betaald. Positief? Ja. Vreemd, vaag, mysterieus en onduidelijk? Zeker.

Veel hangt af van samenwerking met externe partijen

Een andere ontwikkeling die wij in dit terugblik willen benoemen is de groeiende afhankelijkheid die bedrijven hebben ten opzichte van hun leveranciers. Tel daarbij op dat veel samenwerkingen worden aangegaan onder het mom van (blind) vertrouwen en ‘als het fout gaat dan zien we het wel, maar dat zal ons vast niet overkomen’. En je hebt een gevaarlijke combinatie. Wat ons betreft werkt dit ook niet. Je gaat een zakelijke overeenkomst met elkaar aan waarin je processen die invloed hebben op je bedrijfsvoering uitbesteedt. Dit is niet niks. Een verstoring van deze processen kan vergaande gevolgen hebben. Ons advies is dan ook altijd om voorafgaand aan de samenwerking duidelijke afspraken te maken en deze ook te honoreren en controleren. We hebben tenslotte de afgelopen tijd voorbeelden genoeg gezien van cyberincidenten waar leveranciers oorzaak waren van datalekken bij andere bedrijven.

Om uw geheugen even op te frissen:

• NOS – Datalek op ministerie van Justitie, persoonsgegevens van 65.000 ambtenaren
• NOS – Datalek bij autobedrijven treft mogelijk miljoenen Nederlanders
• NOS – Ook in Nederland mogelijk honderden bedrijven getroffen door ransomware-aanval
• NOS – Fors datalek bij New York Pizza
• NOS – Datalek testaanbieder: iedereen kon valse testuitslagen in app CoronaCheck krijgen

Deze houding van blind vertrouwen en ‘komt wel goed’ sluit ook goed aan bij wat we het afgelopen kwartaal toch nog teveel zien bij organisaties. ISO, NEN of BIO worden nog steeds gezien als ‘moetje’. Er wordt vaak met een enorm negatieve bril naar gekeken. Het kost geld en levert niet direct iets op. Met andere woorden, niet rendabel dus waarom zouden we hier moeite insteken? We blijven dit een interessante gedachte vinden. Zeker met het oog op al die incidenten in Q2. Gelukkig komen alle bedrijven waar wij betrokken zijn geweest bij het behalen van hun certificering terug met een eenduidige reactie. En die willen wij graag delen in dit terugblik.

“We zagen er tegenop maar wat zijn we blij dat we dit hebben gedaan. Het heeft ons veel meer gebracht dat alleen het verbeteren van onze informatiebeveiliging. Het heeft ervoor gezorgd dat we als bedrijf de processen beter op elkaar hebben afgestemd waardoor we efficiënter zijn gaan werken. We doen geen dubbele activiteiten meer, slaan dezelfde informatie niet meer op meerdere plaatsen op en omdat er meer duidelijkheid is over wie verantwoordelijk is voor de informatie, waar dat het staat en welke “waarde” deze informatie heeft zijn we beter in staat maatregelen te nemen om de informatie beschikbaar, integer en veilig te houden.”

Quote klant  van Beschermheren, actief in de zorgsector.

Een geslaagd Q2

Tijdens Q2 hebben we aan flink wat mooie projecten mogen werken, sommige van deze lopen nog lekker door Q3 in. Veel gehoorde feedback de afgelopen maanden was dat informatiebeveiliging in eerste instantie complex is maar dat de consultants van Beschermheren dit in begrijpbare taal binnen de organisatie van de opdrachtgever weet te implementeren en alle lagen van de organisatie daarin weet mee te nemen. Beschermheren weet de juiste snaar te raken en voorgang te houden. Daarnaast als ze klaar zijn zorgen ze voor de borging zodat informatiebeveiliging onderdeel is en blijft binnen de organisatie.

Voor ons is dat het mooiste compliment dat er is. Wanneer we organisaties kunnen doen inzien dat IB echt niet complex hoeft te zijn zien ze vaak ook de absolute meerwaarde. Wij gaan in Q3 en Q4 lekker door met waar we goed in zijn en veel plezier in hebben. Gaat Q3 voor jouw organisatie ook het moment zijn dat je informatiebeveiliging (nog) serieuzer gaat oppakken? Neem dan contact met ons op en we horen graag uw uitdagingen aan!