De microfoon zat in een stoffen kubus verpakt, waardoor je hem makkelijk door het publiek naar iemand met een vraag kon gooien. Ik moest hem vangen, want ik had een vraag. De hele dag had ik verhalen over de nieuwe NIS2 wetgeving aangehoord. Nieuwe Europese regelgeving die bedrijven verplicht cybersecurity maatregelen serieus te nemen.

De “key-note” en enkele “break-out sessies” begonnen stuk voor stuk met angstaanjagende statistieken en anekdotes van IT-bedrijven over klanten die op de simpelste manieren gehackt konden worden. Er was het voorbeeld van een foodtruck die ze hadden voorgereden bij een bedrijf waarvan de beveiliging getest moest worden. Ze adverteerden met gratis lunch in ruil voor het invullen van een enquête die op een USB-stickje stond. Binnen enkele uren waren ze niet alleen binnen bij hun klant, maar ook bij het merendeel van de andere bedrijven op het bedrijventerrein. Er werd gezucht onder de IT’ers in het publiek: ”hoe kunnen mensen zo naïef zijn?” Dan was er het verhaal van de stad Antwerpen. Eind vorige jaar getroffen door een aanval, bleek het vrijwel niet in staat om ervan te herstellen. Uiteindelijk kostte het meer dan een half jaar en ruim 100 miljoen euro, en toen wisten ze eigenlijk nog altijd niet wat hen overkomen was.

Denk ook niet dat je er bent met een back-up. Er waren verhalen van bedrijven die na een hack binnen 24 uur back--ups hadden hersteld en weer operationeel waren, maar de volgende 48 uur opnieuw Bitcoins konden overmaken omdat ze ook de ransomware hadden hersteld. Je kunt back-ups lange tijd proberen te bewaren (van vóór de hack), maar hackers zullen proberen de klok van je back-up-apparatuur vooruit te zetten, zodat alle back-ups automatisch gewist worden. Ook waren er voorbeelden van bedrijven, die na een hack, simpelweg niet meer bij hun servers konden omdat alles door de politie afgezet was. De moraal van het verhaal: wees voorbereid. Er is zelfs een nieuw buzzwoord: resilient: Robuust. Veerkrachtig. Weerbaar. Plan wat je gaat doen als de hackers toeslaan. Ga ervan uit dat het gebeurt en stel jezelf de vraag: “wat nu?” Vergeet ook niet de vraag: “wie gaat er pizza halen?”, want de IT’ers hebben daar zelf geen tijd voor.

Natuurlijk waren er ook de producten van de aanwezige vendors om je resilient te maken: scannen, back-uppen, herstellen, consultancy en ja, artificial intelligence, die snapt dat wanneer ik vanmorgen inlogde vanuit thuis, het hoogst onwaarschijnlijk is dat ik een uur later inlog vanuit Afrika. Het is big-business want: “wat is duur, in vergelijking met een hack die tonnen kan kosten?”

Helaas belooft niemand 100% veiligheid. Zoals er werd gezegd: “Als Truus, op de administratie, op elk linkje blijft klikken dat ze per mail ontvangt, gaat het natuurlijk nooit goedkomen.” Er werd gelachen. Zo herkenbaar, die Truus. Maar laten we even pauzeren. Want het is anno 2023 en nu kan Truus, van de administratie, dus in haar eentje het hele bedrijf een faillissement in storten, door op een fout linkje te klikken? Of USB-stick in haar pc te steken? Hoe heeft het zover kunnen komen?

“Als Truus, op de administratie, op elk linkje blijft klikken dat ze per mail ontvangt, gaat het natuurlijk nooit goedkomen.”

Ik weet dat ik vanwege de veiligheid mijn telefoon in een vliegtuig op vliegtuigmodus moet zetten, maar ik ben er vrij zeker van dat ik het vliegtuig niet kan laten neerstorten als ik het vergeet. En als dat wél kon, zou de vliegindustrie geen telefoons aan boord toelaten. Dit is niet helemaal eerlijk tegenover Truus.

Daar ging mijn vraag over: “is het toch ook niet een probleem dat de industrie zelf heeft gecreëerd?” In de kern is internet onveilig, misschien wel te onveilig. Het was de industrie zelf die een inlognaam en wachtwoord voldoende veilig vond (een huis sluit je af met een sleutel, niet met een password, en om geld op te nemen heb je een fysieke bankpas nodig). Dat zijn keuzes geweest. Zoals Apple heeft gekozen om alle apps in de AppStore handmatig te controleren en het ecosysteem gesloten te houden. En Android niet.

Het is de industrie zelf die aan de ene kant nieuwe functionaliteit toevoegt (Office365) en tegelijk securityproducten verkoopt om diezelfde functionaliteit te beveiligen (Office365 Premium met ‘geavanceerde beveiliging’).

Is het niet vreemd dat nu alle bedrijven uitgebreide cybersecurity-plannen moeten schrijven omdat IT zo alles bepalend, maar tegelijk zo onveilig is geworden? Had de EU niet beter (of tenminste óók) hogere eisen aan de IT-oplossing zélf moeten stellen? Dat klikken op linkjes niet meer mag kúnnen leiden tot ransomware, bijvoorbeeld? Of dat security geen optionele add-on mag zijn?

Auto’s moeten toch ook verplicht voorzien zijn van een hele reeks beveiligingsmaatregelen zoals gordels, ABS, derde remlicht en andere systemen die het rijden veiliger maken? En Truus mag niet autorijden zonder rijbewijs. Heel simpel.

Auto’s moeten toch ook verplicht voorzien zijn van een hele reeks beveiligingsmaatregelen zoals gordels, ABS, derde remlicht en andere systemen die het rijden veiliger maken?

Dat zijn concrete maatregelen die het Europees Parlement en de lidstaten wettelijk vastleggen. Dat is wat waar we op cybersecurity volgens mij ook meer mee geholpen zouden zijn. Liever dat, dan een richtlijn, die ook nog eens niet van toepassing is op kleinere bedrijven, terwijl die hetzelfde risico lopen.

Dit artikel verscheen 4 oktober 2023 op AG Connect: https://www.agconnect.nl/business/europa/moet-nis2-niet-op-industrie-gericht-zijn