Cyberveiligheid is een taak voor de bedrijfstop, zegt PostNL chief information officer Marcel Krom. Maar dat is nog niet goed doorgedrongen bij het mkb. En ook de Nederlandse werknemer heeft nog een hoop te leren.
Hoe goed zijn ondernemers eigenlijk op de hoogte van cyberveiligheid?
‘De meeste grote bedrijven weten wat ze moeten doen bij een aanval of bij informatie die op straat is komen te liggen. En ze hebben vaak direct contact met het nationaal cyber-security centrum (NCSC) van de overheid. Maar dat geldt niet voor mkb-bedrijven. Bij hen is het bewustzijn over het algemeen nog veel te laag. Ik vind dat grote bedrijven verplicht zijn om cyber-kennis te delen met hen. Ook uit eigenbelang. Want als het mkb-bedrijf wordt geraakt, loop je zelf ook gevaar. Je logt in in elkaars systemen, stuurt bestanden heen en weer. Er is sprake van wederzijdse afhankelijkheid.’
Wat doet u daar dan mee bij PostNL?
‘Ook wij hebben veel koppelingen met externe bedrijven. Als we verdachte activiteiten, denk aan virus-activiteit, bij elkaar merken, hebben wij en het bedrijf waar we mee samenwerken het recht om direct de verbinding te verbreken. Daarmee heb je een reden in handen om veiligheid hoog op de agenda te houden. Want bij het verbreken van de verbinding, valt niet alleen de digitale keten, maar ook de fysieke keten om. Wij werken bijvoorbeeld samen met bedrijven uit het buitenland voor het distribueren van pakketten. Als bepaalde gegevens ontbreken, herkennen we de pakketten niet. Een heel pragmatisch voorbeeld, maar als er iets met de ander gebeurt op cyber-gebied en we kunnen de data niet uitwisselen, kunnen wij ook niet verder.’
Merkt u ook aan uw bedrijf dat het aantal aanvallen toeneemt?
‘Het is lastig te kwantificeren, maar het worden er wel meer ja. Wat dat betreft, deel ik de bevindingen van het laatste . , harde schijven die worden gegijzeld, geïnfecteerde Maar ook informatie die werknemers doorsturen naar een gmail account, wat niet veilig is, is een probleem voor bedrijven. Elk jaar zijn er wel een of twee dingen die de krant halen, de rest kunnen we gelukkig op tijd tegenhouden.’
Dus volgens u ligt het probleem deels bij de werknemer?
‘Die bewustwording moet ook echt nog beter. Wie een usb-stick vindt op het parkeerterrein met het bedrijfslogo erop, neemt die mee met de gedachte een collega een dienst te bewijzen. Dit is echter een veelgebruikte methode om het bedrijf binnen te loodsen. Waarop sommige bedrijven hebben besloten om usb-poorten af te sluiten. Bij PostNL hebben we elk jaar programma’s en we sturen nepemails het bedrijf in om te kijken wie er reageert. Bij sommige Amerikaanse bedrijven gaat het er strenger aan toe. Daar krijgen werknemers elke maand een -test en wie faalt wordt afgesloten. In Nederland gaat het langzamerhand die kant op.’
Is dat voldoende?
‘We moeten echt alle energie verzamelen om te zorgen dat we de strijd tegen cybercriminaliteit niet verliezen. Zonder veilig internet is er weinig over van de moderne economie. Alleen daarom is een bedrijfsfeestje en niet alleen de taak van de afdeling IT. Die bewustwording moet bij veel bedrijven echt beter. Er zit een grote gedragscomponent in dit probleem. Het is daarmee een maatschappelijk, een privé, en een bedrijfsbelang.’
