Eigen schuld, dikke bult
De schuldvraag. Gek genoeg een vraag die regelmatig rondzingt tijdens het herstel van een cybercrisis en die vaak expliciet besproken wordt. Ik sprak directieleden die op zoek waren naar een schuldige en een passende straf. “De medewerker die haar gegevens achterliet via een phishing e-mail, moeten we ontslaan.”
Of: “De IT-partij had dit moeten voorkomen, het is hun schuld en zij moeten opdraaien voor alle kosten.” Er was zelfs een situatie waarin de Algemeen Directeur van de vestiging in Engeland werd aangewezen als schuldige omdat het tussentijdse onderzoek liet zien dat de ransomware-aanval gestart was in de vestiging in Engeland. Je ziet hem al aankomen: toen het onderzoek afgerond was, bleek dat de initiële toegang was verkregen in Duitsland.
De directie is verantwoordelijk voor security en risicomanagement. Zij moeten verantwoordelijk pakken voor, tijdens en na een incident of crisis. Zij zijn er verantwoordelijk voor dat maatregelen genomen (kunnen) worden om een cyberincident te voorkomen, detecteren én erop te reageren.
Dat laatste is belangrijk want zelfs na het nemen van maatregelen is er een kans dat een organisatie slachtoffer wordt van een cyberaanval. Mocht dit jouw organisatie helaas overkomen, dan hoop ik dat de directie er voor alle medewerkers en voor elkaar is. Dat ze aanwezig zijn, praten met betrokken en met name de IT-afdeling het gevoel geven dat ze er niet alleen voor staan.
Bij de IT-afdelingen zie ik vaak een combinatie van angst en schuldgevoelens. De drieëntwintigjarige IT-medewerker die niet naar huis wil omdat hij denkt dat de cyberaanval niet plaatsgevonden had als hij beter zijn best had gedaan. Hij vindt het zijn taak om nu alles zo snel mogelijk op te lossen. Of de systeembeheerder die haar account niet meer durft te gebruiken. Deze is immers gebruikt bij de aanval. Wat als de directie denkt dat zij de aanval gestart heeft? En de IT Manager die bang is om ontslagen te worden, want niet alle security-maatregelen zijn geïmplementeerd.
Deze gevoelens komen vaak voort uit een enorm hoog verantwoordelijkheidsgevoel, maar hagen ook samen met de bedrijfscultuur. Zorg er als organisatie voor dat fouten maken mag. Het is zelfs zo dat één fout in het merendeel van de gevallen niet leidt tot een succesvolle én impactvolle cyberaanval. Dus als iemand gegevens achterlaat via een phishing e-mail dan moeten er voldoende maatregelen geïmplementeerd zijn om ervoor te zorgen dat dit nooit leidt tot een succesvolle ransomware-aanval.
Als jouw organisatie toch slachtoffer wordt van een cyberaanval, besteed dan je aandacht, tijd en energie aan het samen beperken van de impact van de aanval en het oplossen van een eventuele crisis. Komt ergens in het dit proces de schuldvraag naar voren? Dan heb ik hier alvast het antwoord voor je. Het is de schuld van de cybercriminelen.
Als er ingebroken wordt in je huis, dan is het toch ook niet jouw schuld? Precies hetzelfde geldt voor cyberaanvallen. Hoe dit juridisch zit met de aansprakelijkheid van de bestuurders of tussen jouw organisatie en een eventuele IT-dienstverlener, dat mogen de advocaten uitzoeken.
Eigen schuld, dikke bult? Nee. Maar jij kan er wel voor zorgen dat die bult zo klein mogelijk blijft.
Over Lisa
Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.
Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.
Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.
