2021 was voor veel securitybedrijven waarschijnlijk een van meest winstgevende jaren ooit. Vreemd genoeg was het jaar ook heel succesvol voor de cybercriminelen die met ransomware een recordbedrag aan losgeld binnenhaalden. Wat gaat hier mis?
Ransomware was het vaak trending in 2021 jaar en dat maakt één ding duidelijk: IT-security is geen bijzaak. Als IT niet werkt, kun je je core business onmogelijk uitvoeren. IT en security zijn geen sluitposten op de begroting. Dit bewustzijn moet het management vertalen naar serieuze commitment en dito investeringen. Helaas zie ik dat te weinig en worden CISO’s nog marginaal gewaardeerd.
Het lijkt dat de maatschappij in 2021 steeds ‘cyber onveiliger’ is. Het is (dus) logisch dat leveranciers van cyber incident response-diensten de vraag amper aankunnen. Maar hoe zit het met cybersecurity-leveranciers? Volgens het ministerie van Sociale Zaken en Werkgelegenheid zijn er ruim 400 cybersecuritybedrijven ingeschreven bij de KVK en zijn er 6.000 IT-bedrijven in Nederland met security-gerelateerde producten of diensten. Een klein land als Nederland zou met zoveel expertise in huis toch ‘cyber-secure’ moeten zijn.
De politiek en overheid deden vorig jaar hun best op het gebied van cybersecurity, maar zijn versnipperd. Er zijn werkgroepen, commissies en praatclubjes opgericht, maar er is geen eenhoofdige leiding en/of centraal aanspreekpunt voor cybersecurity. Er is geen ministerie van Digitale Zaken waardoor diverse ministeries wel ‘iets’ doen met cybersecurity, maar eigenlijk geen idee hebben. Sommige ministeries hebben nu wel een CISO maar die wordt niet centraal aangestuurd.
Ook de securityleveranciers zijn helaas verdeeld. Ze promoten eigen oplossingen, veelal een ‘point product’. Er wordt meer geconcurreerd dan samengewerkt. Kwartaalcijfers lijken belangrijker dan de goede zaak, uitzonderingen daargelaten. Ook bieden veel leveranciers naast hun core business ook zeer winstgevende securitydiensten. Eindgebruikers zien daarom door de bomen het bos niet meer. Het daadwerkelijk managen van digitale risico’s is dus steeds complexer. CISO’s blussen brandjes en hebben geen tijd voor een overkoepelende securitystrategie, zoals bijvoorbeeld Zero Trust.
Ik hoop dat organisaties zich door al die security-incidenten realiseren dat de versnippering in de publieke en private sector moet worden doorbroken. Organisaties moeten serieus investeren in cybersecurity en de overheid moet een centrale rol pakken. Als dit komend jaar niet serieus wordt opgepakt, vrees ik dat ik eind 2022 dezelfde conclusies kan trekken.