Tweederde van Nederlandse bedrijven is onvoldoende cyberweerbaar, terwijl mkb-bedrijven voor het eerst vaker worden aangevallen dan grote corporaties. Lector Rick van der Kleij waarschuwt voor gevaarlijke schijnveiligheid: “We moeten stoppen met denken dat we cyberincidenten kunnen voorkomen.”
De cijfers zijn alarmerend, maar de werkelijke schok zit in wat eronder ligt. Onderzoek van Rick van der Kleij, lector Cyberweerbare Organisaties aan Avans Hogeschool en onderzoeker bij TNO, toont aan dat 66 procent van de Nederlandse bedrijven onvoldoende cyberweerbaar is. Tegelijkertijd laat ABN AMRO-onderzoek zien dat mkb-bedrijven (80 procent) voor het eerst vaker worden aangevallen dan grote corporaties (75 procent) – een ongekende verschuiving in het dreigingslandschap.
Maar het meest verontrustende? Een groot deel van die 66 procent denkt dat alles prima geregeld is. “We hebben een groep die we ‘overmoedigen’ noemen”, vertelt Van der Kleij. “Bedrijven die denken dat ze het op orde hebben, maar als je dan goed kijkt, dat is een hele enge groep. Die denken dat ze veilig zijn en volwassen zijn, maar die zijn het feitelijk niet. Die gaan ook niet investeren, want die denken dat het al op orde is.”
Illusie van veiligheid
Deze schijnveiligheid kan fataal zijn. Van der Kleij illustreert dit met een voorbeeld van een schoonmaakbedrijf uit zijn onderzoek: “Die vroeg: Waarom moet ik dit? Ik heb toch helemaal geen dingen die cybercriminelen zouden willen hebben. Pas toen een andere deelnemer uitlegde dat het bedrijf codes heeft van klantpanden, personeelsgegevens en klantinformatie, viel het kwartje.”
Het probleem zit dieper dan kennisgebrek. Van der Kleij onderscheidt vijf segmenten in de Nederlandse bedrijvenpopulatie, waarvan drie groepen – samen die 66 procent – verschillende redenen hebben om achter te blijven. “Je hebt de overmoedigen, je hebt een groep waar kennis en middelen ontbreken, en je hebt een hele grote groep die willens en wetens bewust niet investeert in cyberweerbaarheid vanwege belemmerende overtuigingen.”
Die laatste groep is volgens Van der Kleij het meest zorgwekkend. Nederland heeft een overvloed aan cybersecurity-initiatieven – evenementen, kennisproducten, stappenplannen, vouchers – maar bereikt steeds dezelfde partijen. “Die twee miljoen mkb’ers die achterblijven, die zien we gewoon niet”, constateert hij.
Het paradox is schrijnend: terwijl overheid en cybersecurity-sector massaal investeren in ondersteuning, blijft de groep die het hardst hulp nodig heeft buiten beeld. “Het probleem zit niet in kennis, maar in motivatie”, stelt Van der Kleij. “Er zijn allerlei belemmerende overtuigingen die maken dat ondernemers denken dat cyberweerbaarheid niet voor hen van belang is.”
Die overtuigingen zijn voorspelbaar: ‘Ik ben maar klein, dus mij moeten ze niet hebben’, ‘Er valt niks te halen’, ‘Ik heb toch helemaal geen vertrouwelijke informatie’, of ‘De overheid moet dit maar organiseren, dat is niet aan mij’. Opmerkelijk genoeg veranderen deze denkpatronen vaak niet eens na een daadwerkelijke cyberaanval. “Studies laten zien dat als bedrijven gehackt worden, het niet automatisch tot betere beveiliging leidt”, aldus Van der Kleij.
Dit heeft directe gevolgen voor Nederland’s digitale weerbaarheid. “We kunnen nog geen 10 mkb’ers vinden om een voucher aan te geven zodat ze tegen gereduceerd tarief gebruik kunnen maken van een cybersecurity professional”, constateert Van der Kleij. Terwijl cybercriminelen juist hun pijlen richten op deze kwetsbare groep, blijft zij onbereikbaar voor hulp. Voor Van der Kleij is dit het bewijs dat er zaken moeten veranderen, omdat de traditionele cybersecurity-benadering faalt.
IT-feestje
“Cybersecurity zit heel erg op veiligheid. Het voorkomen van incidenten, het beschermen van kwetsbare onderdelen van bedrijven tegen voorspelbare dreigingen. Maar we moeten gewoon afscheid nemen van cybersecurity. Dat werkt gewoon niet.”
Het alternatief: cyberweerbaarheid. “Weerbaarheid zegt: je moet ook nadenken over het moment dat het misgaat. Je moet capaciteit hebben om adequaat te kunnen reageren, om te kunnen herstellen, maar ook om te kunnen leren van dat wat is misgegaan.” Dit vereist volgens Van der Kleij vier fundamentele vermogens: voorbereiden, reageren, herstellen en aanpassen. Heel veel bedrijven gaan, als het misgaat, over tot actie. “Maar als het dan is opgelost, vergeten ze om stil te staan en te reflecteren. Wat is ons nu overkomen? Wat kunnen we hiervan leren?”
De oorzaak van de Nederlandse achterstand wordt pijnlijk blootgelegd door wat Van der Kleij de ’85-14-1 regel’ noemt: van elke euro cybersecurity-investering gaat 85 cent naar technologie, 14 cent naar processen en slechts 1 cent naar de mens. “Het is gewoon nog steeds een IT-feestje”, constateert hij. “Als je met CISO’s om tafel gaat zitten, dan gaat het vaak over technologie. Maar organisaties zijn sociotechnische systemen. Je kunt cyber niet compartimenteren.”
Het Uber-incident van 2022 illustreert dit perfect. Na een hack in 2016 waarbij alle mogelijke informatie werd gestolen, implementeerde Uber tweefactorauthenticatie – een technische maatregel die het systeem bulletproof zou moeten maken. Zes jaar later brak een 18-jarige hacker genaamd TeaPot opnieuw binnen, met alle gevolgen van dien.
Zijn methode was simpel maar effectief: hij stuurde WhatsApp-berichten naar Uber-medewerkers met de tekst “Ik ben van de IT-servicedesk. Er gaat iets mis met inloggen. Kun je even op ja klikken als die pop-up weer komt?” De medewerkers, niet wetend dat dit onderdeel was van de tweefactorauthenticatie-beveiliging, klikten braaf op ‘ja’ – en TeaPot was binnen. “Dit laat precies zien waarom alleen investeren in technologie niet werkt”, legt Van der Kleij uit. “Als je alleen in IT investeert, maar je mensen niet meeneemt in waarom tweefactorauthenticatie dient, wat het betekent en hoe het werkt, dan gaat het nog steeds mis. Je moet ook je processen erop afstemmen.”
Psychologie wint van technologie
Dat psychologie belangrijker is dan geavanceerde technologie, illustreren Nederlandse cijfers pijnlijk. ABN AMRO-onderzoek toont dat phishing – gebaseerd op psychologische manipulatie, niet technische hoogstandjes – 71 procent van de Nederlandse bedrijven treft. Voor Van der Kleij, van origine psycholoog, komt dit niet als verrassing: “Het is een relatief simpele aanvalsmethode die niet leunt op grof technologisch geschut maar op psychologische manipulatie.”
Hij wijst op een fundamenteel ontwerpprobleem: “We weten al lang dat mensen niet geschikt zijn om 25 verschillende ingewikkelde wachtwoorden te onthouden. Toch vragen we dat. Dan moet je ook niet gek vinden dat mensen wachtwoorden opschrijven of hergebruiken.” De oplossing ligt in ‘human-centered security design’: systemen die het mensen makkelijk maken zich veilig te gedragen, in plaats van ze te straffen voor menselijke beperkingen. Deze mensgerichte benadering vereist een fundamenteel andere kijk op cyberrisico’s.
Van der Kleij’s boodschap is helder: de Nederlandse aanpak van cyberrisico’s moet fundamenteel veranderen. “We moeten stoppen met denken dat we cyberincidenten kunnen voorkomen. Het gaat er niet om óf je wordt aangevallen, maar wanneer – en hoe effectief je daarop reageert.”
De overgang van cybersecurity naar cyberweerbaarheid is meer dan semantiek. Het is een erkenning dat absolute veiligheid een illusie is, en dat organisaties moeten leren leven met risico terwijl ze hun vermogen om te herstellen en te leren maximaliseren.
“Impact neemt alleen maar toe, aantal incidenten neemt toe. We moeten naar iets anders toe”, concludeert Van der Kleij. Voor Nederlandse bedrijven die nog in de schijnveiligheid leven, is de tijd van ontwaken aangebroken.