Al jaren maken we ons samen met een aantal andere specialisten hard voor veiligere automatisering. Ondanks alle inspanningen moeten we constateren dat informatiebeveiliging wel meer aandacht krijgt, maar dat dit vooral binnen het MKB nog veel te weinig is. En als het onderwerp aandacht krijgt, dan is er meestal niet het benodigde budget om de basis op orde te brengen. Daarom vraag ik mij af: waarom zouden we er niet gewoon mee stoppen?
1. Informatiebeveiliging is lastig
Informatiebeveiliging is lastig. Voor gebruikers van IT-systemen en webapplicaties is beveiliging lastig. Je moet letten op SSL-certificaten en slotjes in browsers. Klopt de URL wel met de organisatie waarvan je de website wilt bezoeken? En al die wachtwoorden, die ook nog eens aan bepaalde eisen moeten voldoen én uniek moeten zijn, daar wordt je al helemaal niet vrolijk van. Informatiebeveiliging is voor een gebruiker simpelweg niet leuk. Het maakt het leven ingewikkeld, terwijl je alleen maar je werk wilt doen.
2. Build it, ship it!
Build it, ship it. Leveranciers van apparaten die aan internet verbonden zijn willen helemaal geen rekening houden met informatiebeveiliging. Een product moet zo snel mogelijk ontwikkeld worden, zoveel mogelijk functionaliteit bevatten en niet te ingewikkeld zijn. Hardening en andere informatiebeveiliging maatregelen maken het alleen maar lastiger. En laten we wel wezen: de gebruiker is toch zelf verantwoordelijk voor het veilig gebruiken van de producten?
3. Informatiebeveiliging is eng
Informatiebeveiliging is eng. Vraag een gemiddelde gebruiker van IT-systemen hoe een hacker eruit ziet en je krijgt de standaard kenmerken te horen die door Hollywood gebruikt worden. Hackers dragen hoodies, zitten de hele dag achter hun pc, ze zijn niet sociaal vaardig en ze zitten achter je geld en data aan. En dat gebeurt allemaal via het internet, zonder dat je het weet. Wat een enge gasten en wat een spannende situatie!
4. Informatiebeveiliging is duur
Informatiebeveiliging is duur. De gemiddelde MKB-ondernemer denkt momenteel: “wie wil mij nou hacken? De data die ik heb is toch voor niemand interessant? Als mijn IT het niet doet, dan ga ik wel even wat anders doen, toch?”. Waarom zou je dan geld uitgeven aan informatiebeveiliging? Je kunt er geen businesscase van maken, het kost alleen maar geld. En elk jaar dat je ervoor betaald hebt, zonder dat er een incident heeft plaatsgevonden, zorgt ervoor dat je geld weggegooid hebt.
5. Ik ben toch nog niet gehackt?
Ik ben toch nog niet gehackt? De meeste managers denken dat ze nog geen last hebben van internetcriminelen. Spam en virussen, dat hebben ze al geaccepteerd. Dat een andere organisatie bijna failliet ging door ransomware, of flinke schade leed door productiviteitsverlies, daar hebben zij geen last van. Dat er in de krant staat dat een organisatie miljoenen kwijt is door ceo-fraude? Dan hadden ze maar beter op moeten letten. In mijn organisatie is het niet mis gegaan, dus waarom zou dat in de toekomst wel gebeuren?
Bovenstaande redenen kun je als organisatie natuurlijk prima aanvoeren om niets aan informatiebeveiliging te doen. Toch is er een onomkeerbaar proces ingezet: informatiebeveiliging, en vooral het kunnen aantonen dat je je zaakjes op orde hebt wordt steeds belangrijker. Het zal niet lang meer duren voordat consumenten en organisaties zullen inzien dat informatiebeveiliging essentieel is om zaken te kunnen doen. Wij zullen dan met onze partners klaar staan om deze organisaties te helpen om zoveel mogelijk incidenten te voorkomen en hoge schades te voorkomen.