06 okt
Op 1 oktober heeft Alert Online in Nederland de officiële aftrap gegeven voor de Cybersecuritymaand. Dit Europese initiatief bestaat sinds 2012 en heeft als doel om samen een vuist te maken tegen cybercriminaliteit. Maar is dat nou echt nodig en helpt het?
Om maar met de deur in huis te vallen: ja, die speciale awareness-maand is nog steeds hard nodig. Want cyberincidenten komen steeds vaker voor. Volgens het laatste onderzoek Veilig Online 2020 van het ministerie van EZK is vorig jaar het aantal politie-aangiftes van cybercrime gestegen met 66%, kregen ondernemers en kennisinstellingen te maken met gijzelsoftware en liep de economische schade hierdoor navenant op.
Tegelijkertijd zit de optimism bias ons behoorlijk in de weg. Want volgens ditzelfde onderzoek vinden Nederlanders zelf dat zij juist goed op de hoogte zijn van hun digitale veiligheid. Ze schatten de kans dat zij schade ondervinden van online risico’s laag in: 10% En ze hebben nauwelijks de behoefte om hun online veiligheid te verbeteren.
Vergelijkbaar met wat we zien bij het coronavirus (‘ik krijg het toch niet’) denken ondernemers die lezen over een bedrijf dat door cybercrime forse schade lijdt: ‘Dat overkomt mijn bedrijf niet! Want wij zijn een te kleine vis/te onbekend/te weinig zichtbaar op internet/…’ Vul de reden maar in.
De praktijk wijst echter uit dat deze vlieger helaas niet opgaat. Juist kleinere bedrijven belanden meer dan eens in de sleepnetten van internetcriminelen, die hun aanvallen groots uitvoeren opdat er zoveel mogelijk aan de strijkstok blijft hangen. En ja, daar zitten dus ook MKB-ondernemingen bij.
Helpt zo’n speciale maand ook echt? Als je kijkt naar het Stoptober-initiatief, waarbij rokers in de maand oktober worden gemotiveerd om de sigaret voorgoed te laten liggen, zou je denken van wel. Uit onderzoek van het AMC van een paar jaar geleden blijkt dat 70% van de Stoptober-deelnemers het niet-roken een maand volhoudt. Dit percentage is vijf keer zo hoog als bij een 'gewone' stoppoging. Bijna de helft is drie maanden later nog steeds gestopt. Natuurlijk is er een wezenlijk verschil met cybersecurity: de intrinsieke motivatie is niet vergelijkbaar. En voor cyberveiligheid moet je niet iets laten, je moet er juist iets voor doen. Beleid vaststellen, de techniek op orde maken, medewerkers instrueren en het geheel voortdurend monitoren.
Toch zijn wij ervan overtuigd dat alle aandacht helpt. We vechten namelijk niet alleen tegen cybercriminelen, maar ook tegen de menselijke psyche, die in dit geval maar moeilijk te overtuigen is. De vaste overtuiging ‘dat gebeurt ons niet’ blijkt een noeste tegenstander. De vaak schrijnende verhalen van slachtoffers delen is niet voldoende. Laten zien hoe relatief eenvoudig het verbeteren van de cyberweerbaarheid kan zijn, lijkt zelden meteen tot concrete actie te leiden. Maar luidt het gezegde niet: de druppel holt de steen niet uit doorkracht, maar door vaak te vallen? Daarom blijven wij vanuit ThreadStone ons inspannen voor een veiliger internet. Wat ons betreft is elke maand cybersecuritymaand!