Het aantal berichten over succesvolle ransomware stijgt, het aantal gehackte bedrijven neemt dagelijks toe en cybercriminelen verdienen meer dan ooit. Wat gaat hier mis?
Organisaties nemen cybersecurity nog steeds niet serieus en investeren te weinig. Dit blijkt uit succesvolle ransomware aanvallen. Noodzakelijke basale cyber-hygiëne ontbreekt bij veel organisaties wat onbegrijpelijk is in de huidige digitale wereld. Ook hebben veel organisaties geen CISO met een mandaat. Dit maakt wel het verschil tussen wel of niet worden gehackt. Verder zijn er te veel securitybedrijven die hun eigen ‘oplossing’ promoten. Er wordt vooral geconcurreerd en niet samengewerkt, uitzonderingen daargelaten. Daarnaast hebben investeerders deze groeimarkt ook ontdekt en richten voortdurend nieuwe cybersecuritybedrijven op. Die komen allemaal met een vergelijkbare ‘point products’ wat de overkoepelende aanpak niet ten goede komt.
Ik constateer ook dat mensen met minimale cybersecurity-ervaring worden gepositioneerd als ‘cybersecurity advisor’ of ‘cloud security architect’. Blijkbaar is echte security-ervaring niet nodig voor gedegen cyberadvies. Het helpt niet dat de organisaties geen idee hebben waar een CISO aan moet voldoen waardoor ze in vacatures vaak een schaap met vijf poten zoeken.
En de overheid dan?
Ook bij overheden is cybersecurity geen ‘core business’ maar als ‘noodzakelijk kwaad’. Dit blijkt uit de salarissen waarmee overheden proberen cybersecurityprofessionals te werven. Een CISO die bij de Nationale Politie, die verantwoordelijk is voor de IT-beveiliging van het hele (!) politiekorps, verdient schaal 14. Dat staat in geen verhouding tot zijn verantwoordelijkheid. ‘If you pay peanuts, you get monkeys’.
Ook is cybersecurity binnen de overheid versnipperd. Er is geen centrale organisatie die informatie verzamelt, verbanden legt en beleid ontwikkelt. Alle ‘verzamelingscentra’ (NCSC, Digital Trust Center, HSD, ECP, Brainport Eindhoven, AIVD, MIVD, Nationale Politie, High Tech Crime Team, regionale politiecorpsen) doen hun eigen.
Is het alleen kommer en kwel?
Nee, zo wordt de roep om een ministerie van Digitale Zaken luider en zien we de invoering van ‘Digitalisering’ in het onderwijs. Natuurlijk zijn er organisaties die security wel serieus nemen en erin investeren. Deze bedrijven staan NIET op de voorpagina’s bij een ransomware aanval. Helaas zijn dit uitzonderingen. De cybersecurity-industrie is ziek en moet snel genezen!
Fred is directeur Cyber Security EMEA bij Hikvision. Na de KMA diende hij 16 jaar als officier Inlichtingen en Veiligheid bij de Koninklijke Luchtmacht, MIVD en de NAVO. Daarna werkte hij bij IBM, Accenture, Exact, LeaseWeb en Palo Alto.
(Dit artikel verscheen eerder in ITchannelPRO magazine nummer 2)
