De mogelijke gevolgen van cyberaanvallen in ons almaar toenemende digitale tijdperk worden steeds groter. Dierentuin ARTIS en de Universiteit Maastricht deelden recent hun ervaringen met cyberaanvallen, opdat andere instanties kunnen leren van hun lessen. Veel bedrijven zijn echter niet open over hun cybersecurity. Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cybersecurity (CLECS) en universitair docent Economie en Recht aan Erasmus School of Law, dringt in een opiniestuk in het Financieele Dagblad (FD) aan op meer transparantie omtrent cybersecurity door bedrijven.
Samen met het CLECS onderzocht Nieuwesteeg de afgelopen vier jaar 300 jaarverslagen van beursgenoteerde bedrijven. Ze keken hierbij naar de mate van transparantie over cybersecurity. “Onze conclusie? Ondernemingen houden vaak de kaarten tegen de borst. Of ze melden een ratjetoe aan maatregelen met weinig nuttige informatie. En dat terwijl iedereen het er wel over eens is dat cyberrisico chefsache zou moeten zijn”, vertelt Nieuwesteeg.
Onderschat probleem
Critici die zeggen dat beperkte transparantie een beperkt probleem is, hebben het volgens de universitair docent bij het verkeerde eind: “Sommigen zullen zeggen dat dit een beperkt probleem is. ‘Organisaties met slechte cybersecurity worden toch wel gehackt en dan zal men die bedrijven wel mijden,’ is dan vaak de gedachtegang. Dat is onjuist. Ten eerste kan het lang duren voordat suboptimale cyberveiligheid wordt afgestraft door hackers. En soms worden juist goed beveiligde bedrijven toch gehackt.”
Cybersecurity en transparantie hierover is juist van groot belang, benadrukt Nieuwesteeg: “Organisaties zouden actief hun kennis moeten delen. Op dit moment vindt er geen gezonde uitwisseling van informatie tussen ondernemingen en externe stakeholders plaats. En zo komen bedrijven met slechte cyberveiligheid daar nog steeds mee weg.” Niet alleen aandeelhouders, maar ook andere bedrijven en de maatschappij hebben veel baat bij een transparante informatiestroom in de strijd tegen cybercriminaliteit.
Best practices delen
Soms klinken de zorgen dat het delen van cybersecurityinformatie criminelen juist helpen, maar volgens Nieuwesteeg zijn die zorgen nergens voor nodig: “het gaat hier uiteraard niet om het publiceren van onopgeloste kwetsbaarheden in software, maar om het delen van best practices. Als ik vertel dat ik een dikke fietsketting heb aangeschaft die bestand is tegen een mobiele cirkelzaag, dan maak ik mijzelf ook niet kwetsbaar.”
Het is nu juist belangrijk dat de overheid transparantie over cybersecurity meeneemt in haar nieuwe cybersecuritystrategie, bepleit Nieuwesteeg: “De strategie bepaalt de richting van het beleid voor de komende jaren. Ondernemingen zijn nu de dupe van het gebrek aan kennisdeling over cybersecuritymaatregelen. Zij zijn tegen hogere kosten minder cyberveilig. Producten en diensten worden duurder, en de concurrentiepositie van Nederland neemt af. Dus opstellers van de Nederlandse cybersecuritystrategie: pak nu nog de kans om de strategie aan te passen of regel het desnoods met een inlegvel, maar ga aan de slag met het thema externe transparantie.”
Klik hier voor het hele opiniestuk in het FD.
- Onderzoeker
- Gerelateerde content
