Managers en directies houden ervan om via het zogenaamde ‘stoplichtmodel’ op de hoogte te worden gehouden van verschillende programma’s in de organisatie. Ik heb het voorheen vaak meegemaakt als ik rapporteerde aan de directie. Een zin die mij bijbleef was: ‘Bedankt voor je verhaal en erg verhelderend, maar zou je het de volgende keer in kleurtjes kunnen weergeven, zodat we er sneller doorheen kunnen?’
Ons vakgebied gaat over details en juist de nuances in ons vak zorgen ervoor dat we de juiste besluiten nemen; ofwel de kosten en baten zijn in balans als het gaat om security-investeringen. Ik gebruik de hack op de verouderde stoplichten graag als synoniem voor het feit dat we verder moeten kijken dan het stoplichtmodel. Want iedere security professional die dit leest weet dat zij nog steeds verouderde systemen in hun netwerk hebben, maar dat om verschillende redenen accepteren. Grote kans dat dit komt omdat de beslissers besluiten op basis van het stoplichtmodel.
Het nieuws dat verouderde verkeerslichten in Nederland relatief makkelijk te hacken zijn benadrukt een zorgwekkend patroon. Hoewel deze verkeerssystemen misschien nooit ontworpen zijn met moderne cyberdreigingen in gedachten, schept dit een opening voor kwaadwillenden. Het lijkt misschien vergezocht, maar het hacken van deze stoplichten is een voorbeeld dat resoneert met bredere IT-uitdagingen binnen organisaties. Veel bedrijven gebruiken nog altijd verouderde systemen of software, omdat upgrades als kostbaar worden beschouwd. Zonder in iedereen zijn portemonnee te kunnen kijken is een risicoanalyse of een business impact analyse wellicht een goed middel om tot andere inzichten te komen.
Bedrijven die opereren met verouderde systemen lopen gevaar, net zoals de infrastructuur van die verkeerslichten. Systemen die lange tijd zonder updates draaien, missen niet alleen nieuwe functionaliteiten, maar vooral essentiële beveiligingspatches. Cybercriminelen richten zich op bekende kwetsbaarheden in dergelijke systemen, wat resulteert in datalekken, ransomware-aanvallen of downtime die het bedrijf miljoenen kan kosten. Voor C-level executives is het van groot belang om te begrijpen dat de kosten van het niet up-to-date houden van systemen veel hoger kunnen uitvallen dan de investering in tijdige upgrades. Bij veel organisaties zien we dat verouderde systemen langer in gebruik blijven dan wenselijk, simpelweg omdat het functioneren ervan nog 'goed genoeg' lijkt. Zoals de gehackte stoplichten aantonen is dit niet langer goed genoeg in de huidige cyberomgeving.
Naast verouderde technologie is er nog een andere factor die vaak wordt onderschat: het gedrag van de medewerkers. Technologie kan niet los worden gezien van de mensen die ermee werken. Net zoals systemen verouderd raken, kunnen ook mensen verouderde kennis en gewoontes ontwikkelen die hen kwetsbaar maken voor cyberaanvallen. Daarom is het essentieel om binnen een organisatie niet alleen te investeren in technologie, maar ook in de voortdurende training van medewerkers.
De meeste aanvallen richten zich vaak op onoplettende medewerkers en daarom zijn menselijke fouten verantwoordelijk voor een groot deel van de beveiligingsincidenten. Helaas blijven dezelfde succesvolle aanvalstypes de lijsten al jaren aanvoeren:
Zonder regelmatige en effectieve training worden medewerkers straks dat ‘verouderde stoplicht’ en blijven zij onbewust risico’s introduceren. Een ander gevaar van verouderd gedrag is de misvatting dat alles met technologie te organiseren en te beveiligen is. Cybercriminelen passen hun technieken voortdurend aan. Zonder regelmatige bijscholing lopen medewerkers achter op deze nieuwe dreigingen. Voor management en directie ligt hier een belangrijke uitdaging: de noodzaak om een cultuur van security awareness te creëren, zodat medewerkers zich bewust zijn van hun rol in de beveiliging van het bedrijf.
Management en C-level executives spelen een cruciale rol in het creëren van een cyberveilige omgeving. Vaak is er een grote focus op het implementeren van nieuwe technologieën, maar zonder de juiste gedragsveranderingen en continue awareness binnen de organisatie blijven er risico’s bestaan. Het is van belang dat cybersecurity niet alleen wordt gezien als een technische verantwoordelijkheid van de IT-afdeling, maar als een collectieve verantwoordelijkheid waarbij iedereen betrokken is. Door ook te investeren in security awareness trainingen kan een organisatie de kennis en alertheid van haar medewerkers continu in balans houden met de veranderende omgeving.
De uitdaging voor C-level is om budget vrij te maken voor zowel technische upgrades als trainingen en tegelijkertijd een bedrijfscultuur te stimuleren waar informatiebeveiliging écht op de agenda staat. Dit vergt niet alleen financiële middelen, maar ook tijd en toewijding. De gevolgen van een cyberincident - zoals financiële schade, reputatieschade en verlies van klantvertrouwen - kunnen echter desastreus zijn voor een organisatie.
Compliance zou tot slot ook een mooi synoniem kunnen zijn voor deze ‘stoplicht hack’. We zijn gecertificeerd, we voldoen aan ons beleid en we geven regelmatig een statement van ‘in control’ af! Tussen die papieren werkelijkheid en de dagelijkse realiteit is vaak een hoop nuance te vinden die het verschil kan maken tussen veilig en onveilig, of tussen slachtoffer zijn van een incident of het voorkomen daarvan. Hiervoor moet je verder kijken dan het stoplicht en echt luisteren naar wat security professionals te vertellen hebben.