Virtueel kwaad
Virtueel kwaad
Het speelveld van de security manager ondergaat een fundamentele verandering. Misschien niet altijd zichtbaar, maar op een schaal en met een snelheid die weinig precedenten kent. Security in de virtuele wereld wint snel terrein op beveiliging in de fysieke wereld. Security is in toenemende mate cybersecurity.
Waar de blik en het instrumentarium van de security manager van oudsher zijn gericht op de 'tastbare' kwaadwillende, virtualiseert 'het kwaad' in toenemende mate. De kwaadwillende 2.0 is hyperactief in een – gevoelsmatig – nog ongrijpbare wereld: een stuwende kracht achter wellicht abstracte maar snel groeiende dreigingen. De metaforen dringen zich op: remmende voorsprong, achterhoedegevecht, nieuwe strijd met oude wapens, enzovoort. Risicobeheersing in de fysieke wereld is redelijk overzichtelijk en fi jnmazig. Natuurlijk lang niet volkomen, maar in staat om dreigingen te dempen en risico's te reduceren. De doorgaans private inspanningen van de security manager worden bovendien ondersteund door de rechtstaat. Zo worden samen met de autoriteiten barrières opgeworpen tegen kwaadwillenden. Hoe anders is dit in de virtuele vrijstaat.
Ondanks dat wetten onverminderd van kracht zijn, ontbreekt het in cyberspace aan toezicht en handhaving. Gekoppeld aan het hightechkarakter van de virtuele misdaad is er tevens een schaarste voor wat betreft relevante kennis en kunde. Overheden staan hierdoor momenteel op zeer grote achterstand. Ondertussen blijft de virtuele wereld verstoken van serieuze barrières. De virtuele realiteit biedt zo een ongekende gelegenheidsstructuur voor criminelen wereldwijd. De belangen om deze status quo zo snel mogelijk te doorbreken zijn enorm. Afgaande op mijn kwaliteitskrant treft cybercrime wereldwijd dagelijks meer dan één miljoen mensen. Terwijl de mondiale schade van cybercrime op jaarbasis momenteel wordt geraamd op 1.000 miljard Amerikaanse dollar (!). Een criminele 'economy of scale' dus. Met groeiende aantrekkingskracht op ondernemers uit alle krochten van de onderwereld. Variërend van individuele techneuten, tot 'klassieke' criminele groepen, tot activisten of zelfs staten. De recente certificatenkwestie onderstreept de – potentieel – forse impact van cyberrisico's. De schaal waarop de effecten van een security-incident voelbaar werden, illustreert het voornoemde belang nog eens extra. Als vrijwel geen burger meer kan vertrouwen op de integriteit van zijn privacy en persoonlijke gegevens. Als de overheid de betrouwbaarheid van haar systemen niet meer kan garanderen. En als burgers vervolgens, vanwege de nalatigheid van één 'trusted' certifi catenleverancier, ook echt slachtoffer worden van kwaadwillenden, dan wordt duidelijk dat de kans en effecten van cyberrisico's al snel grootschalig zijn. Ook bezien vanuit bedrijfsbelangen. De certifi catenleverancier is immers failliet, terwijl de gevolgen van de kwestie voortwoekeren.
Nodig is een strategische verschuiving. Eén die maakt dat cyberrisico's bovenaan de risicoagenda komen – én voorlopig blijven. Een verschuiving die tevens aanstuurt op het snel verkleinen van de ruimte van cybercriminelen. Zowel door middel van het versneld doorvoeren van institutionele veranderingen, als door het creëren van het juiste instrumentarium om cybercrime te bestrijden. Een verschuiving die muren in de fysieke wereld naar beneden haalt en ons in staat stelt om het virtuele kwaad discipline-overstijgend, vanuit nieuwe bestrijdingsconcepten, tegen te gaan. We kunnen het ons niet meer permitteren om op achterstand te blijven. Anders zullen we de strijd blijvend verliezen.
Colin T. is security manager bij een Nederlandse multinational.
Deze column is verschenen in Security Management nummer 10, oktober 2011.