Bangmakerij en boetebeleid datalekken werken averechts

Onlangs werden we opgeschrikt door het zoveelste bericht over de dramatische beveiliging van online systemen: ‘Vier jaar na Lektober is Nederland nog steeds lek’. Overheid en hun toezichthouders eisen van bedrijven dat ze de privacy van hun gebruikers goed beschermen. Ze kunnen nu boetes opgelegd krijgen bij nalatigheid.

Boetebeleid en de bangmakerij werken echter juist averechts

De Wet bescherming persoonsgegevens (Wbp) stelt dat bedrijven die persoonsgegevens van hun gebruikers of klanten opslaan, deze ‘adequaat moeten beveiligen’. Wie dat niet doet riskeert hoge boetes als het mis gaat. De overheid, het WEF (World Economic Forum) en vele andere organisaties roepen bedrijven en overheden op, om serieus aandacht te besteden aan informatieveiligheid en het onderwerp security op de directie-agenda te plaatsen.
Je zou verwachten dat dit ondernemers zo langzamerhand aan het denken zet. Het gaat tenslotte om grote risico’s, die zelfs impact kunnen hebben op het voortbestaan van hun onderneming. Desondanks is het effect van dergelijke berichten, het dreigen van de overheid en de awareness campagnes gering. De actiebereidheid van ondernemers in het MKB blijft onverminderd laag en de budgetten voor security bij het MKB stijgen maar mondjesmaat.

Dreigen is contraproductief
Het alleen wijzen op de ernst van de situatie en dreigen met boetes is niet erg effectief. Het leidt tot het tegenovergestelde van wat we willen bereiken. Dat komt door het gevoel dat het beleid bij MKB ondernemers oproept. Bangmakerij werkt bij ondernemers in het algemeen averechts. De berichten maken niet duidelijk wat entrepreneurs moeten of kunnen doen om zich beter te beschermen, terwijl het wél leidt tot een gevoel van onmacht en gelatenheid. Een onwenselijke combinatie.
Een MKB ondernemer is gewend om tegen de stroom in te roeien en ondanks vermeende onmogelijkheden en risico’s te volharden in zijn of haar visie en aanpak. Wie als ondernemer te horen krijgt dat iets niet kan of riskant is, is al snel geneigd juist harder in te zetten op deze lijn. Bovendien hebben ondernemers een hekel aan het investeren in het vermijden van risico’s. Ze zijn juist gewend om hun geld en energie te steken in de kansen en niet in de onmogelijkheden of problemen.

Veel onduidelijkheid
De onduidelijkheid van het huidige beleid maakt het voor veel ondernemers nog veel gecompliceerder. De wet stelt dat ze persoonsgegevens ‘adequaat moeten beveiligen, naar de stand der techniek’. Dit geeft weinig duidelijkheid en is net zo vaag als de opmerking dat bedrijven ‘naar de stand der techniek iets aan brandveiligheid moet doen’ . Betekent dit dat de ondernemer een rookmelder moet ophangen? Of juist dat permanent een brandweerauto met bemanning voor de deur moet staan? Beide zijn mogelijk met de stand der techniek, terwijl niemand hem kan vertellen of hij daarmee de risico’s af kan wenden of een boete kan voorkomen.

Het meest contraproductieve aan de huidige aanpak is echter het gevoel van onmacht en gelatenheid dat de griezelverhalen en dreigingen bij de ondernemer oproept. Deze verhalen geven het beeld dat het gevecht tegen hackers, online bedreigingen en de overheid dweilen met de kraan open is. FBI director Robert Mueller verwoordde het al in 2012 als volgt: ‘I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again.’ Ondernemers vragen zich hierdoor al snel af waarom zij zouden investeren in veiligheid als zij hackers toch niet buiten de deur kunnen houden.

‘We weten het nou wel van die lekken’
Een typische reactie van een bestuurder die ik onlangs uit de mond van een security expert mocht optekenen is: ‘Ach, dat van die lekken, dat weten we nu wel zo langzamerhand wel. Maar mijn websitebouwer zegt dat het best meevalt, en die vertrouw ik. En weet je, als ze echt binnen willen komen lukt ze dat. En die boetes? Die krijg je toch wel als ze (de overheid) willen. Kijk maar naar KPN, die doen van alles aan veiligheid en kregen een boete van een paar ton na een hack.’

Kortom, de negatieve aanpak is funest voor de motivatie van bedrijven om te investeren in informatieveiligheid. En het ‘boy cries wolf’ effect zorgt bovendien voor verlamming. We moeten onze aandacht niet langer richten op negatieve verhalen, maar juist op kansen. Ondernemers zouden verteld moeten worden hoe zij door serieus werk te maken van informatieveiligheid het vertrouwen in hun dienstverlening kunnen verbeteren. Het imago en profiel van een secure ondernemer werkt in zijn voordeel. Door te investeren kan hij harder groeien dan een collega die dat niet doet.

Houd het boetebeleid voorlopig in de kast
Ook de overheid heeft in dit verhaal een verantwoordelijkheid. Die moet het boetebeleid beslist in de kast houden totdat veel duidelijker is wat een security baseline, een minimaal pakket van maatregelen voor bescherming van informatie en privacy, feitelijk inhoudt en wat er van de ondernemers op dat gebied mag worden verwacht. Alleen dan heeft het zin om te dreigen met boetes om ondernemers die zulke maatregelen niet nemen tot actie te dwingen. Over het nut en noodzaak voor zo’n security baseline vertel ik u binnenkort meer in een andere blog!

Zoeken
Related
event
De 25e editie van het ECP Jaarfestival vindt dit jaar plaats op donderdag 11 november in de Fokker Terminal in...
event
De One Conference is een internationale cybersecurityconferentie, waarbij toonaangevende sprekers inzichten en de laatste ontwikkelingen rondom cybersecurity delen. De conferentie...
event
EuroDIG 2020
EuroDIG is het Europese platform waar verschillende stakeholders van het internet bijeenkomen om kennis en best practices over het internet...