Door: Patrick Jordens
De recente hack op de Nederlandse politie laat het nog maar eens duidelijk zien. De namen en contactgegevens van 63.000 medewerkers van de politie ‘liggen op straat’. Het is moeilijk om voor te stellen dat dat bij zo’n organisatie kan gebeuren. Ook hier betrof het waarschijnlijk een fout van een individuele medewerker.
Cyberdreigingen nemen dagelijks toe en organisaties lopen steeds meer digitale risico’s. Hackers worden slimmer, hun aanvallen geavanceerder, en organisaties raken steeds meer afhankelijk van digitale processen. Tegelijkertijd is er een schrijnend tekort aan gekwalificeerde cybersecurity-professionals. Dit tekort creëert een gat waar organisaties last van krijgen en brengt de veiligheid van hun data, systemen en reputatie in gevaar. Het is tijd voor organisaties om in te zien dat zij zonder de juiste expertise niet in staat zijn deze dreigingen effectief aan te pakken en daarom externe hulp moeten inschakelen. Het MKB gaat met name last van hebben van dat tekort, omdat zij over het algemeen niet over de financiële middelen beschikken waar grote organisaties en overheden wel over beschikken. De investeringsbereidheid van het MKB in cybersecurity is bovendien te laag.
De toenemende dreiging van cyberaanvallen
Cyberdreigingen zijn niet meer weg te denken uit het moderne bedrijfsleven. Het aantal datalekken, ransomware-aanvallen en andere vormen van cybercriminaliteit blijft elk jaar toenemen. Volgens schattingen hebben cyberaanvallen in 2023 wereldwijd voor meer dan 8 biljoen dollar aan schade veroorzaakt. Met de toename van digitale transformatie, de opkomst van nieuwe technologieën zoals kunstmatige intelligentie en het Internet of Things (IoT), en de verschuiving naar remote werken, worden de aanvalsmogelijkheden voor kwaadwillenden steeds talrijker.
Voor elke nieuwe technologie of uitbreiding van de IT-infrastructuur van een organisatie, zoals cloudmigraties of de implementatie van mobiele oplossingen, komen ook nieuwe kwetsbaarheden aan het licht. Cybercriminelen zijn constant op zoek naar zwakke plekken, en een enkele fout in de beveiliging kan desastreuze gevolgen hebben. Organisaties kunnen zich niet langer veroorloven om cybersecurity als een bijzaak te beschouwen. De bescherming van gegevens, systemen en klantvertrouwen moet een topprioriteit zijn.
Het tekort aan cybersecurity-professionals
Ondanks de groeiende dreiging is er een enorm tekort aan gekwalificeerde cybersecurity-experts. Wereldwijd zijn er naar schatting miljoenen onvervulde vacatures op dit gebied. Nederland vormt hier geen uitzondering op. Dit tekort aan personeel leidt ertoe dat organisaties niet in staat zijn om hun beveiligingsteams adequaat te bemannen, laat staan te zorgen voor continue monitoring en proactieve beveiligingsmaatregelen. De specialisten die wel beschikbaar zijn, worden vaak overbelast en kunnen niet altijd de kwaliteit en aandacht bieden die nodig zijn om een organisatie volledig te beschermen.
De oorzaken van dit tekort zijn divers. Ten eerste vereist cybersecurity gespecialiseerde kennis en vaardigheden, die niet in korte tijd kunnen worden aangeleerd. Het opleiden van een volwaardige security professional vergt tijd, middelen en voortdurende educatie vanwege de snel veranderende aard van de dreigingen. Daarnaast groeit de vraag naar cybersecurity-experts veel sneller dan het aanbod, waardoor organisaties in een constante strijd zijn om talent aan te trekken en te behouden. Dit leidt niet alleen tot hoge salariseisen, maar ook tot een groot verloop onder professionals.
Een intern probleem: Cybersecurity bij de verkeerde functionarissen beleggen
In de praktijk zien we vaak dat organisaties, vanwege de schaarste aan professionals en kostenoverwegingen, cybersecuritytaken toevertrouwen aan functionarissen zonder de benodigde achtergrond of affiniteit. Dit gebeurt vaak uit noodzaak, omdat het moeilijk is om gekwalificeerde experts te vinden of te behouden. Deze aanpak creëert echter aanzienlijke risico’s. Wanneer cybersecurity wordt belegd bij mensen die onvoldoende kennis hebben van het vakgebied, blijven belangrijke kwetsbaarheden onopgemerkt en wordt er onvoldoende gereageerd op dreigingen.
Het intern beleggen van cybersecurity bij niet-specialisten leidt vaak tot een focus op reactieve maatregelen, zoals het oplossen van problemen nadat een incident heeft plaatsgevonden, in plaats van proactieve risicobeheerstrategieën. Dit maakt organisaties kwetsbaarder voor geavanceerde aanvallen en verhoogt de kans op datalekken, systeemuitval en reputatieschade. Bovendien zorgt deze aanpak ervoor dat beveiligingstaken vaak worden gezien als een bijkomende verantwoordelijkheid, in plaats van een kernonderdeel van de organisatiecultuur.
De schijnveiligheid van cybersecurity door een IT-leverancier
Een ander groot probleem waar veel organisaties tegenaan lopen, is hun afhankelijkheid van IT-leveranciers die tegelijkertijd verantwoordelijk zijn voor hun cybersecurity. Vaak gaan organisaties ervan uit dat hun IT-leverancier hun cybersecurity ‘erbij doet’ en dat ze hierdoor voldoende beschermd zijn. Dit creëert echter een schijnveiligheid die organisaties in gevaar brengt. IT-leveranciers hebben vaak als primaire taak om IT-systemen draaiende te houden en problemen snel op te lossen, maar dat betekent niet dat zij ook experts zijn in het identificeren en mitigeren van cyberdreigingen.
Het gevaar van deze afhankelijkheid is dat organisaties geen onafhankelijke blik op hun beveiliging hebben. Een IT-leverancier kan niet altijd objectief zijn in het beoordelen van de eigen infrastructuur, en vaak is de focus gericht op het goed functioneren van systemen in plaats van op beveiligingsanalyses en proactieve risicobeperking. Dit leidt ertoe dat kwetsbaarheden over het hoofd worden gezien, en dat er onvoldoende wordt geïnvesteerd in cyberweerbaarheid.
Een onafhankelijke cybersecurity-leverancier kan juist deze blinde vlekken aanpakken door de beveiliging van een organisatie van buitenaf te beoordelen en door specifieke expertise in te brengen die verder gaat dan het onderhoud van IT-systemen. Door samen te werken met externe beveiligingsexperts, kunnen organisaties voorkomen dat ze ten onrechte vertrouwen op de veiligheid van hun IT-infrastructuur en kunnen ze ervoor zorgen dat hun systemen echt goed beschermd zijn.
Het groeiende gat: een gevaar voor organisaties
Het tekort aan cybersecurity-expertise creëert een gevaarlijk gat in de digitale weerbaarheid van organisaties. Zonder voldoende beveiligingsspecialisten kunnen organisaties geen effectieve beveiligingsstrategie implementeren en blijven ze kwetsbaar voor aanvallen. Bovendien leidt het gebrek aan mankracht ertoe dat cybersecurity-teams zich vaak beperken tot reactieve maatregelen in plaats van proactieve bedreigingsdetectie en risicobeheer. Dit betekent dat veel organisaties een incident ondergaan voordat ze zich realiseren dat hun beveiliging ontoereikend was.
De gevolgen van een cyberaanval kunnen enorm zijn: dataverlies, stilstand van systemen, reputatieschade en enorme financiële kosten. Voor veel organisaties, met name kleine en middelgrote ondernemingen, kan een grote aanval zelfs het einde betekenen. Het is daarom van cruciaal belang dat organisaties inzien dat zij deze dreigingen niet alleen kunnen aanpakken en dat externe hulp noodzakelijk is om hun beveiliging te waarborgen.
De rol van externe cybersecurity-leveranciers
Gezien het tekort aan interne expertise, de neiging om beveiligingstaken te beleggen bij functionarissen zonder de juiste achtergrond, én de schijnveiligheid van afhankelijkheid van niet-onafhankelijke IT-leveranciers, wordt de rol van externe cybersecurity-leveranciers steeds belangrijker. Door samen te werken met gespecialiseerde dienstverleners, kunnen organisaties de noodzakelijke expertise in huis halen, zonder dat zij hoeven te strijden om schaarse talenten op de arbeidsmarkt. Externe leveranciers kunnen hun klanten voorzien van ervaren security officers, die voor een bepaald aantal uren per maand beschikbaar zijn om te helpen met strategisch risicomanagement, compliance, en incidentrespons.
Daarnaast kunnen externe dienstverleners specifieke diensten aanbieden, zoals penetratietesten, monitoring van netwerken, en het opstellen van beveiligingsbeleid. Deze diensten zijn essentieel voor organisaties die hun beveiligingsmaatregelen willen versterken, maar niet over de interne middelen beschikken om dit te doen. Door gebruik te maken van deze diensten kunnen organisaties proactief inspelen op bedreigingen en kwetsbaarheden, in plaats van te wachten tot een aanval plaatsvindt.
Flexibiliteit en schaalbaarheid
Een van de grote voordelen van het werken met externe leveranciers is de flexibiliteit en schaalbaarheid die zij bieden. Organisaties hoeven geen fulltime CISO of compleet beveiligingsteam aan te nemen, wat vaak niet haalbaar is vanwege de kosten en het tekort aan professionals. In plaats daarvan kunnen zij kiezen voor een flexibele oplossing waarbij zij een security officer of andere diensten inhuren op basis van hun behoeften en budget. Dit maakt het mogelijk om op een kostenefficiënte manier toch hoogwaardige expertise in huis te halen.
Bovendien kunnen externe leveranciers hun diensten afstemmen op de specifieke behoeften van een organisatie. Of het nu gaat om compliance met wet- en regelgeving, het verbeteren van netwerkbeveiliging, of het trainen van medewerkers in cybersecurity awareness, externe partners kunnen op maat gemaakte oplossingen bieden die passen bij de unieke uitdagingen van elke klant.
De toekomst van cybersecurity: samenwerking is de sleutel
Nu de cyberdreigingen blijven toenemen en het tekort aan professionals waarschijnlijk de komende jaren niet zal verdwijnen, is het duidelijk dat samenwerking de sleutel is tot een veilige toekomst. Organisaties die blijven vertrouwen op hun eigen, vaak onderbemande beveiligingsteams, cybersecurity-taken delegeren aan functionarissen zonder de juiste expertise, of afhankelijk zijn van niet-onafhankelijke IT-leveranciers, lopen een enorm risico. Door samen te werken met externe cybersecurity-leveranciers kunnen zij niet alleen hun digitale weerbaarheid verbeteren, maar ook hun continuïteit waarborgen in een steeds onveiliger digitale wereld.
Patrick Jordens (1969) is bestuurslid digitalisering & digitale veiligheid bij MKB Westland en een ondernemer met een hart voor privacy & cyebsrecurity. Hij is directeur van de Trusted Third Party (TT3P) en oprichter van DMCC Group. Ook is hij gastdocent marketing, dataprivacy en ethiek aan de Hogeschool van Rotterdam en de Haagse Hogeschool.