Het blijft elke keer weer bijzonder: sta ik bij een transportbedrijf om me aan te melden voor een presentatie over digitale veiligheid en zie daar een hele serie ingelijste ISO-certificeringen. Voor het besturen van hijskranen, voor het rijden op vorkheftrucks of het vervoeren van materiaal. Allemaal als gevolg van hoe het eraan toeging bij de bouw van het Empire State Building in 1930, want daar ging nog wel eens wat mis met al die bouwvakkers die honderden meters boven de grond op balken liepen zonder enige bescherming. Maar hoe zit het dan met de beveiliging van de mobiele telefoon die slechts 50 jaar later werden geïntroduceerd? Iedereen beschikt vandaag de dag over zo’n superkrachtige handcomputer, maar niemand heeft hiervoor een ISO-certificaat.
De beschermde perkamentrollen van Julius Cesar (Caesar cipher) en Enigma uit de tweede wereldoorlog – deze voorbeelden laten zien dat we als mensheid al eeuwen bezig zijn met het beschermen van de integriteit en vertrouwelijkheid van informatie.
Onze mobiele telefoon: we voeren er gesprekken mee, versturen de meest uiteenlopende informatie, loggen in op onze bankrekening en gebruiken het voor de bediening op afstand van huishoudelijke apparaten. Zonder dat we stilstaan bij vraag of het wel veilig is om het op deze manier te doen. Hetzelfde geldt voor de 1001 accounts die we online aanmaken voor het bestellen van goederen, het raadplegen van informatie of het volgen van ons dossier bij dokter en ziekenhuis. Je bent niet de enige wanneer je hierbij gebruikmaakt van eenzelfde gebruikersnaam en wachtwoord, want dat kan toch geen kwaad? Totdat de schoenenleverancier bij wie je altijd bestelt, wordt gehackt en al je gegevens op straat komen te liggen. Dan is de stap naar het hacken van je e-mailaccount en toegang tot je online bankrekening sneller gemaakt dan je denkt.
Denk je eens in: wereldwijd zijn 26 miljard wachtwoordcombinaties uitgelekt en bij elke succesvolle cyberaanval wordt dat aantal groter. Tel hier de mogelijkheden van AI bij op, dan wordt het kraken van (te simpele) beveiliging een peulenschil.
Zorg er daarom voor dat je in ieder geval minimale kennis hebt over informatiebeveiliging én dat je deze gebruikt. Maak regelmatig back-ups, zet waar mogelijk tweefactorauthenticatie in (ja, ook op je e-mailaccount), blijf weg van dezelfde en té voor de hand liggende wachtwoorden, et cetera. Vergelijk het met het beveiligen van je huis. Daar heb je goede sloten op ramen en deuren, misschien een camera bij de voordeur, of een hond die aanslaat als er iemand aanbelt. Dat wil niet zeggen dat je huis een onneembare vesting is, maar als het lastiger is om bij jou binnen te komen dan bij je buurman, dan is voor criminelen de keuze snel gemaakt. Hetzelfde geldt voor het beveiligen van je privacy, je identiteit, en meer en minder gevoelige persoonlijke informatie. Offline, maar tegenwoordig toch met name online.
De core business van WoodWing is Digital Asset Management – in die line of business gaat erg veel data om. Veel van de data die wij beheren is op een of andere manier persoonlijk en gevoelig. Een goede beveiliging is voor ons dus altijd en overal een basisvoorwaarde. Ik zie het als mijn verantwoordelijkheid als CISO om dit onderwerp op de agenda te hebben én houden. Maar ook privé is het een passie van me om mijn omgeving bewust te maken van hun digitale veiligheid en hen praktische handvatten te geven die ze hiervoor nodig hebben. Als 10% van mijn tips en opmerkingen blijven hangen, dan zijn ze al 90% meer cyberbewust dan de rest van Nederland.
Voor onze medewerkers organiseren we jaarlijks een security awareness sessie met aansprekende voorbeelden uit de praktijk. Daarnaast ontvangen collega’s elke 15e van de maand een e-mail van mij over het onderwerp veiligheid. Daarin geen hel en verdoemenis en een voorspelbare lijst met ‘gij-zult’s’, maar aansprekende voorbeelden hoe zij bijvoorbeeld ISO-regelgeving kunnen omzetten in hun persoonlijke voordeel. Technische tips om veiliger (digitaal) actief te zijn op werk en privé zijn ook vaste onderdelen van de update. Door het te hebben over dingen waar je echt iets mee kunt, brengen we belangrijke thema’s telkens weer op een positieve manier onder de aandacht.
Voor mijn collega’s van management en bestuur hanteer ik eenzelfde aanpak. Je ziet dat zij daardoor steeds beter doordrongen zijn van het feit dat databeveiliging en cybersecurity onderwerpen zijn waar we samen een verantwoordelijkheid hebben. Met de aangescherpte wet- en regelgeving is het zelfs iets waar je als bestuurslid persoonlijk op kunt worden aangesproken, met alle (juridische) gevolgen van dien. Met elkaar zorgen we voor een goede digitale weerbaarheid, waarbij de IT-afdeling ervoor moet zorgen dat mensen over technologie kunnen beschikken die het versterken van hun weerbaarheid zo eenvoudig mogelijk maakt.
Ook met klanten hebben we regelmatig overleg over de manier waarop je ISO-richtlijnen in het kader van data- en privacybeveiliging kunt toepassen. We zijn al heel lang en heel intensief met dit onderwerp bezig – kennis en ervaring die we graag met anderen delen.
Ja, we hebben het allemaal druk en we hebben allemaal te maken met steeds langere lijsten met aandachtspunten en prioriteiten. Maar op het moment dat cyberveiligheid bij jou op de 11e plaats op dat lijstje staat, is de kans groot dat de ‘hoodies’ jou als de ideale kandidaat zien voor hun volgende hack.
Hoe complex en lang deze reis er misschien ook uitziet, alles begint met een eerste stap. Vandaar dat ik al mijn communicatie afsluit met de uitnodiging om contact met mij op te nemen met vragen, ideeën, of de behoefte aan een klankbord. Digitale veiligheid is bij uitstek een reis die je met elkaar wilt maken.