Wie wil inzetten op cybersecurity, kan leren van vliegtuigrampen: ‘Het gaat om het creëren van vertrouwen’

Wie op digitaal gebied veilig wil zijn, zal in cybersecurity moeten investeren. Toch kan die beslissing deuren openen en een bedrijf laten groeien. Dat zegt Patrick Coomans, global product owner cybersecurity bij Vinçotte.

Wie in de negentiende eeuw in een fabriek rondliep, speelde letterlijk met zijn of haar leven. De stoomketels die men in het gebouw gebruikte, konden namelijk al eens ontploffen. Het Belgische Vinçotte ontstond in 1872 als reactie op die ongevallen, en focuste op de keuring en de controle van die ketels. 150 jaar later keurt Vinçotte zo goed als elk denkbaar toestel, gebouw of proces. “Het zit in het DNA van ons bedrijf om veiligheid te garanderen en zo vertrouwen te scheppen”, zegt Patrick Coomans, global product owner cybersecurity bij Vinçotte.

Dat het bedrijf iemand als Coomans in dienst heeft, is een logisch gevolg van die geschiedenis, klinkt het. “Cybersecurity werd lang als een vreemde eend in de bijt bekeken, maar meer en meer maakt het integraal onderdeel uit van hoe men naar veiligheid kijkt. Er is ook heel wat nieuwe regulering in cybersecurity die op bedrijven afkomt”, zegt Coomans. “Denk aan de NIS2-richtlijn, waarvan de scope enorm is uitgebreid. Vroeger moesten een stuk of 150 Belgische bedrijven zich daaraan houden, voortaan zullen die regels voor meer dan 2.000 ondernemingen gelden. Het gaat niet alleen over multinationals, maar ook om kmo’s in risicovolle sectoren, zoals de voedingsindustrie.”

Daarnaast wijst Coomans op bestaande regulering die een update zal krijgen, zoals de GDPR, of zeer specifieke richtlijnen voor bepaalde sectoren. “Een voorbeeld daarvan is de Radio Equipment Directive, die focust op alles wat met straling en bediening op afstand te maken heeft.”

Vertrouwen als unique selling point

Cybersecurity wordt door veel ondernemers als een pure kostenpost gezien, maar Coomans zegt dat het vooral een kwestie van perspectief is. Wie het slim speelt, kan het als een hefboom zien om beter te verkopen. “Ik beeld me altijd twee scenario’s in. In het eerste zie ik een IT-manager die bij zijn topmanagement ijvert voor meer budget voor cybersecurity. Dat is een moeilijke dialoog, want die is gebaseerd op risico, verplichtingen en investeringen. Anderzijds kan het gesprek ook aangeknoopt worden door een salesmanager, die aankomt met een belangrijke potentiële klant die ‘waarschijnlijk niet met ons in zee zal gaan, als we niet afdoende kunnen bewijzen dat wij cyberveilig zijn’. Dat verandert de dynamiek van die dialoog volledig. Dan hebben we het niet langer over een kostenpost, maar over het creëren van vertrouwen. Je zou dan bijna de brug naar branding kunnen maken.”

Die switch van de mentaliteit zal ervoor zorgen dat iedereen mee is, want dat is volgens Coomans nu nog te weinig het geval. “We staan in Vlaanderen nog bijlange niet waar we zouden moeten staan. Cybersecurity kan je vergelijken met de verplichting van autogordels vroeger. Dat heeft ook lang geduurd voor we tot een bepaald acceptatieniveau zijn gekomen en toch rijden nog steeds mensen zonder gordel of fietsen ze zonder helm.”

Dat is frappant, zegt hij, want de link met het mogelijke risico is hier zeer duidelijk. “Bij cybersecurity is het potentiële gevolg virtueel, waardoor mensen het risico niet kunnen vatten. Een arbeider die onbeveiligd op hoogte aan het werken is, voelt aan zijn knikkende knieën dat hij zwaargewond zal zijn als hij valt. Bij cybersecurity is dat niet zo. Men denkt dat het hen nooit kan overkomen, omdat het in het verleden nog niet gebeurd is. Het wordt weggeredeneerd.”

Leer van vliegtuigrampen

Wie daar verandering in wil brengen, moet aan de top beginnen en het hele bedrijf meekrijgen. “Ik ben een grote fan van het tv-programma Air Crash Investigation, waarin men vliegtuigrampen analyseert. Zo’n ramp is zelden een alleenstaand feit, maar wordt veroorzaakt door een samenloop van omstandigheden. Er is een slechte cultuur, te weinig opleiding, te weinig testing, men gebruikt verkeerde of onvoldoende apparatuur… Die zaken komen in een stroomversnelling die tot rampen leidt”, zegt Coomans.

Door werk te maken van een veiligheidscultuur, waar men niemand met de vinger wijst, kan daar verandering in komen. “Je moet je werknemers opleiden, maar zie het niet als iets dat je enkel doet omdat het verplicht is. Zorg ervoor dat ze er ook in hun persoonlijke leven iets mee zijn, en ze bijvoorbeeld zaken leren die ze ook thuis kunnen toepassen. Dan maak je het een waarde, waar een dialoog over kan ontstaan.”

Mensen, processen, technologie

Hoewel cybersecurity meer is dan een pure kostenpost, zullen Vlaamse kmo’s er budgetten voor moeten vrijmaken. Niet iedere onderneming heeft voldoende geld, maar dat hoeft volgens Coomans geen probleem te zijn. “Ik denk niet dat men zich moet kunnen verdedigen tegen een heel gerichte aanval vanuit bijvoorbeeld een vijandige staat. Als zo’n land je wil aanvallen, dan zal het daarin slagen. Je kunt wel aan risicomitigatie doen en ervoor zorgen dat 95 procent van alle aanvallen kan worden tegenhouden met een aanpak die ik met ‘gatenkaas’ zou vergelijken. Je stapelt plakken kaas op elkaar, om er zo voor te zorgen dat eventuele gaten afgedekt worden door een volgende plak. Zo kun je die stroomversnelling uit Air Crash Investigation tegenhouden.”

Cruciaal daarin staan drie factoren: mensen, processen en technologie. “Een stuk software of een bepaalde firewall aankopen is eenvoudig, maar het is een utopie om te denken dat je er dan bent. Het is vooral belangrijk om mensen op te leiden om bijvoorbeeld in dialoog te kunnen gaan met je leveranciers”, zegt Coomans. “Wees achterdochtig als men je een technologie aanprijst die zogezegd 100 procent veilig zou zijn. Vraag aan je leverancier wie problemen zal opvolgen en hoe je informatie zal delen met elkaar. Kmo’s hebben zelden de technische expertise in huis om dag in, dag uit op te volgen wat er gebeurt. Koop daarom niet enkel de technologie, maar meteen ook het operationele beheer erbij.”

Naast de opleidingen en de juiste technologie, valt de grootste groei bij kmo’s volgens Coomans te realiseren op het gebied van procesmaturiteit. “Als bedrijven qua cybersecurity nog niet matuur zijn, zijn ze dat vaak ook niet voor andere zaken. Het zijn ondernemingen die veel dingen ad hoc regelen, terwijl je cybersecurity net in processen moet verankeren. Zo moet je bijvoorbeeld om de zoveel tijd nagaan of er nog accounts in je systeem zitten die toebehoren aan mensen die je bedrijf al verlieten. Het uitschrijven van die processen is de grote uitdaging. Als je dat doet, en ervoor kan zorgen dat die processen geen dode letter vormen, kan je écht werk maken van cybersecurity.”

Beluister de podcastreeks Business Intelligence op Trends.be, Spotify of uw favoriete podcastapp.