De afgelopen tijd heeft de impact van cyberincidenten de media gedomineerd. Ransomware in Maastricht, Citrixfiles door de uitval van thuiswerkmogelijkheden en ga zo maar door. Hierin is opvallend wat wellicht niet meteen opvalt. Namelijk, dat zo weinig organisaties openlijk durven te spreken over hetgeen hen is overkomen. De Universiteit van Maastricht, die eind vorig jaar slachtoffer werd van een ransomware-aanval, deed iets uitzonderlijks: uitgebreid vertellen over hoe de ransomware-aanval tot stand was gekomen en wat de impact was.
Dat dit zo bijzonder was, werd mij pijnlijk duidelijk toen we als Cyberveilig Nederland eerder deze week werden gebeld door de redactie van een actualiteitenprogramma. Zij waren op zoek naar een organisatie die openlijk in de uitzending wilde vertellen over de gevolgen van een cyberincident dat hen was overkomen. Na wat rondbellen in ons eigen netwerk bleek niemand organisaties bereid te vinden hier open over te willen vertellen. Laat staan voor een camera van een landelijk nieuwsmedium.
We moeten af van de schaamte die rondom slachtoffers van cyberincidenten hangt
Met kritische adviezen worden slachtoffers niet uitgenodigd tot openheid
En dat is een groot gemis. Aan de ene kant is het goed dat het onderwerp een steeds prominentere plek in de media krijg en dat de weg naar verschillende cybersecurity experts goed wordt gevonden. Het nadeel is dat er ook een wc-eend geur blijft hangen rondom het onderwerp. Immers, de cybersecurity experts buitelen over elkaar heen hoe kwetsbaar we zijn en welke maatregelen er genomen (moeten) worden om cyberweerbaar te worden. Overigens met over het algemeen zeer terechte adviezen. Wat wij als sector in ons vak-enthousiasme lijken te vergeten is dat al onze kritische adviezen slachtoffers niet echt uitnodigen tot transparantie.
Universiteit van Maastricht is te prijzen voor hun openheid
Zolang de slachtoffers niet openlijk durven te praten over hun ervaringen en de impact van een cyberincident, missen we essentiële informatie om ons beter te kunnen beveiligen. Onze samenleving raakt steeds meer digitaal verbonden, waardoor de schade en impact van een incident alleen maar zal toenemen. We moeten daarom af van de schaamte die rondom slachtoffers van cyberincidenten hangt. Ook in het geval van de Universiteit van Maastricht, die te prijzen is over hun openheid, las ik op veel plekken negatief commentaar op het feit dat belangrijke maatregelen door hen niet waren genomen. En ik betrap mezelf ook op dit soort kritische uitspraken. We moeten echter beseffen dat we door dit wijsneuzerige gedrag er zelf voor zorgen dat er voorlopig nog veel schaamte rondom cyberincidenten blijft bestaan.
Praat erover!
Daarom mijn oproep aan eenieder die zelf slachtoffer is geworden of slachtoffers van cyberincidenten kent: praat er over. Deel met elkaar informatie over de oorzaken en gevolgen. En of je het handig hebt aangepakt. Welke essentiële zaken er misten in je beveiliging. Anderen kunnen leren van je incident en hoe je dit hebt opgelost. Ik vraag echt niet of je op een podium je verhaal wilt doen of voor de camera’s van een landelijk nieuwsprogramma wilt verschijnen, hoewel ik dat helemaal geweldig zou vinden. Deel je ervaring dan in elk geval met anderen in je directe omgeving. Alleen op deze manier voorkomen we dat slachtoffers zich slachtoffer blijven voelen.
Te veel organisaties krijgen vroeg of laat te maken met een cyberincident. Het zou mooi zijn als we door openheid over cyberincidenten er in de toekomst een aantal kunnen voorkomen. Of uiteindelijk een heleboel. Daar worden we allemaal beter van.
Het is mijn goede voornemen om dit vanaf nu vaker bespreekbaar te maken en slachtoffers te overtuigen transparant te zijn over hun ervaringen. Wie sluit zich bij mij aan?
Petra Oldengarm, directeur Cyberveilig Nederland