De Europese Commissie begint met gigantische investeringen in cyberveiligheid. Geen dag te vroeg, want twee op de drie bedrijven werd de voorbije twaalf maanden geconfronteerd met een (poging tot) diefstal van data. En toch wordt er nog te vaak op een naïeve manier tegen gestreden. Cyberveiligheid is geen kwestie van firewalls, van het beschermen van zwakke plekken. Want vaak komt het gevaar van binnenuit.

Hoe stelt u het zich voor als er bij een bedrijf een belangrijk veiligheidslek wordt vastgesteld? Wellicht als het werk van een eenzame man in een schaars verlichte kamer, voor een scherm vol groene cijfers en tekens. Of als een hele groep van mannen, die samen het zwaar geschut inzetten om door de virtuele linies te breken en zo te proberen waardevolle informatie te bemachtigen.

Ja, dat soort hackers bestaat. Maar nog vaker heeft een veiligheidslek andere oorzaken: een onoplettende werknemer die per ongeluk een verkeerd commando invoert, een gefrustreerde werknemer die er bewust op uit is om schade te berokkenen, of simpelweg een verkeerde instelling van de back-up in de cloud. Een bevraging van Accenture bij meer dan 200 veiligheidsverantwoordelijken bij grote bedrijven wees onlangs nog uit dat meer dan twee op de drie bedrijven in de voorbije twaalf maanden geconfronteerd werden met een diefstal van data van binnenuit, of met een poging daartoe. Veel meer dan gedacht, wellicht, maar het is logisch dat bedrijven er niet op gebrand zijn om meteen aan de wereld te laten weten dat het een cyberprobleem had.

'Bedreiging komt vaak van binnenuit'

De neiging die veel bedrijven hebben om herhalingen te voorkomen, is om meer energie en budget te stoppen in het dichten van de gaatjes. Maar dat kost niet alleen veel geld, het blijft een aanpak die zelden een waterdicht resultaat oplevert. En dat komt net door het feit dat de bedreiging vaak van binnenuit komt. Een werknemer die per ongeluk het volledige klantenbestand verwijdert, of een foutje met copy en paste: tegenover dat soort fouten staan zelfs de meest geavanceerde firewalls compleet machteloos.

Waar de bedrijven nood aan hebben, is een geïntegreerde aanpak van het veiligheidsbeleid. Het werkt niet om er bij elk nieuw initiatief een laagje van veiligheid overheen te knutselen: beveiliging moet het beginpunt zijn en een attitude zijn doorheen de hele organisatie. Dat is extra belangrijk in tijden waarin veel werknemers een smartphone krijgen van de werkgever, met toegang tot hun e-mails of tot nog gevoeligere informatie.

Scannen

Een eerste stap: monitoren. Voortdurend scannen welke informatie wordt geraadpleegd, op welk moment en door wie. En dat is geen kwestie van Big Brother, want Artificial Intelligence is daarbij het antwoord. Zo'n systeem kan leren welke gedragingen normaal zijn en wat er afwijkt van de norm, waardoor het grote hoeveelheden dataverkeer controleert zonder menselijke tussenkomst. Het is daarnaast ook essentieel om de beveiliging op alle onderdelen van het bedrijf toe te passen, want een ketting is maar zo sterk als zijn zwakste schakel. Ook bewustmaking en training zijn belangrijk, en dat voor iedereen die gebruik maakt van bedrijfsdata.

Wat kost dat?

Ja, maar, wat kost dat, vragen veel bedrijfsleiders dan. Daarvoor bestaat een gouden regel: vraag je af wat er op het spel staat. Hoeveel omzet zou je na een lek verliezen, hoe zou de dienstverlening aan je klanten eronder lijden, en welke reputatieschade loop je op? Zet een cijfertje na elke vraag en zie dan hoeveel geld die beveiliging waard is. Als gebruiker zoek je de middenweg tussen veiligheid en gebruiksgemak, maar veiligheid is al lang geen optie meer: over vijf jaar zijn er 50 miljard toestellen met het internet verbonden.

En eigenlijk is beveiliging nog meer waard, want het verdient zichzelf terug. Een afdoende beveiligingssysteem tegen problemen in cyber space is een breekijzer om de digitalisering van het hele bedrijf te versnellen. Want het vergroot niet alleen het vertrouwen van je klanten, het geeft je ook meer mogelijkheden om het internet te gebruiken als instrument. Net daarom is een holistische benadering nodig: de kosten voor de veiligheid gaan hand in hand met de investeringen om data te gebruiken.

Fabrice Deval, manager IT-veiligheid bij Accenture