Heb jij cyber-weerbaarheid hoog op de agenda staan?

Afgelopen week zijn er twee publicaties verschenen die ingaan op het begrip weerbaarheid. De Britse politiek en het Amerikaanse Tanium hebben los van elkaar onderzoek naar het thema gedaan. De uitkomsten zijn goed naast elkaar te leggen.

In Londen verscheen het rapport van de Joint Committee on the National Security Strategy. Daarin staat te lezen dat de Britse overheid en het bedrijfsleven de kansen op een cyberaanval op de kritische infrastructuur zwaar onderschatten. Evenmin zijn overheid en bedrijfsleven in staat overtuigend aan te geven hoe effectief kan worden opgetreden als een onverlaat (lees: een niet bevriende mogendheid of een voldoende aantal boze pubers) besluit de digitale aanval in te zetten. Verder ontbreken kennis, middelen en uiteraard mensen. Dat The Register hier over schrijft zal niemand verbazen. Dat een aantal landelijke kranten er over schrijft is meer opvallend. De Britse burgers en ondernemers kunnen daardoor begrijpen dat er echt grote risico’s zijn en dat het een illusie is dat “de overheid” kan en wil beschermen. Of dat dan leidt tot de conclusie dat men de eigen cyberweerbaarheid moet opvoeren is nog maar de vraag.

Tanium, een Amerikaanse bedrijf dat endpoint beveiligd en klanten als Go-Daddy heeft, kwam ook met een publicatie. Het heeft bureau Censuswide opdracht gegeven in de VS, het VK, Frankrijk, Duitsland en Japan onderzoek te doen naar de weerbaarheid. Ruim 4.000 bedrijven hebben aan dat onderzoek deelgenomen, wat een opvallend groot aantal is. Door te kiezen voor de term Business Resilience sluiten de antwoorden niet perfect aan op het Britse onderzoek. Dat ging namelijk alleen maar om weerbaarheid tegen cyberaanvallen. Business Resilience kan ook betrekking hebben het afslaan van fysieke bedreigingen en natuur ongemakken zoals inbraak en overstromingen. Die kunnen er immers toe leiden dat er niet gewerkt kan worden of dat data verloren gaat.

Toch kan het geen kwaad de twee naast elkaar te leggen en de bevindingen te combineren. Dat is ook het geval als je een leverancier bent van IT diensten zoals connectiviteit, colo of hosting. Het blijkt namelijk dat bijna iedereen wel doorgeeft dat weerbaarheid een plek hoog op de agenda moet hebben (96% volgens Censuswide en 100% volgens het Britse onderzoek). De praktijk is echter anders. De Britse situatie werd al kort aangestipt. Volgens Censuswide kan slechts 54% van de bedrijven verzekeren dat weerbaarheid een plek op de agenda heeft.

Het draait echter vooral om de vraag die daarna is gesteld: wie zou er voor verantwoordelijk moeten zijn. Dan blijkt dat 30% naar de CIO of CTO wijst, 23% zegt “iedereen” 13% vindt dat de CEO als enige verantwoordelijk is en de rest heeft nog weer andere ideeën. Op basis van die antwoorden kun je met zekerheid stellen, dat als het een keer mis gaat iedereen naar iedereen zal gaan wijzen. Het zwarte pieten zal niet beperkt blijven tot de eigen organisatie maar ook de leveranciers raken.

Wat je op basis van beide onderzoeken moet onthouden is het volgende. Je kunt accepteren dat je klant als het over weerbaarheid gaat zijn zaakjes waarschijnlijk niet optimaal voor elkaar heeft. Als je dat doet neem je het risico dat in geval van een serieus incident jij als toeleverancier een deel van de schuld krijgt ook al is dat volkomen onterecht. De kans op een verslechterde klant-leverancier relatie daardoor is groot. Je kunt ook pro-actief handelen. Dat begint er mee dat je weerbaarheid hoog op je eigen communicatie agenda zet. Leg uit wat de scope van je werkzaamheden is en wat daarvan de impact is op de weerbaarheid van een klant.