CSR: Bedrijven niet goed voorbereid op cyberaanvallen

Nederlandse bedrijven zijn onvoldoende voorbereid op digitale dreigingen. Er wordt niet voldoende data uitgewisseld en bedrijven doen lang niet altijd aangifte van cyberaanvallen. Om die redenen zou Nederland volgens de Cyber Security Raad een soort informatieknooppunten moeten opzetten om gegevens uit te wisselen.

Dit vertelt Ron de Mos, lid van de CSR, tegenover De Volkskrant. Hij laat weten dat grote bedrijven over het algemeen hun beveiliging op orde hebben. Zij zijn ook direct aangesloten op de crisisinfrastructuur en worden zo snel ingelicht over eventuele cyberaanvallen. Dat is voor kleine bedrijven echter niet het geval.

“Kleine bedrijven moeten soms uit de pers horen dat er een aanval is,” vertelt De Mos tegen het dagblad. Daar moet snel verandering in komen en om die reden stelt De Mos dan ook voor dat er een nationaal informatiepunt komt, waar data snel en efficiënt uitgewisseld kan worden. Hij stelt voor dat het nieuwe kabinet enkele tientallen miljoenen euro’s reserveert voor de oprichting van dit informatiepunt, een Digital Trust Centre.

Tegenover BNR geeft De Mos als voorbeeld de recente cyberaanval met Petya. De schade daarvan had beperkter kunnen zijn denkt hij, als meer bedrijven hiervan op de hoogte zouden zijn geweest. Tegelijk benadrukt hij dat bedrijven uiteindelijk zelf ook de verantwoordelijkheid voor goede security dragen, maar een informatiepunt kan wel bijdragen aan de opstelling hiervan.

Fox-IT directeur Ronald Prins stelt tegenover BNR dat hij het niet helemaal eens is met het advies. Hij denkt dat als een aanval plaatsvindt, het kwaad al geschied is en dat het dus te laat is om bedrijven nog in te lichten. Problematisch is vooral dat kleine bedrijven volgens Prins ook lang niet altijd klaar zijn om goed met de informatie om te gaan. Een voorbeeld ligt Prins in de recente aanvallen met WannaCry, dat binnen een half uur heel Europa raakte. Dan kan je wel een waarschuwingssysteem bouwen, maar gaat het te snel om op te reageren.

Cruciaal blijft gewoon voor bedrijven om hun security op orde te hebben en systemen te updaten. Dat hebben we ook gezien met de aanvallen van WannaCry en het toont aan dat hier ook veel winst op te halen valt.