Gepubliceerd op 18 oktober 2017

Tijd voor bewustwording van veilig werken in de cloud

In een van de gastvrije conferentieruimtes van Thales in Hengelo is voor een rondetafelgesprek met als thema Werken in de cloud een groep specialisten op dat gebied bij elkaar gekomen. Diverse aspecten van online zakendoen komen aan de orde; belangrijke afwegingen als ‘bij de keuze van een cloudleverancier draait het om vertrouwen’, ‘automatisering: doel of middel’ en ‘snelle internetverbindingen bevorderen het werken in de cloud’ – 
en vooral wat van deze zaken de risico’s zijn.


De openingsvraag luidt: Is digitalisering een voordeel of noodzaak – en bestaan niet-gedigitaliseerde bedrijven over tien jaar überhaupt nog wel? William Sprakel van UPX reageert op dat laatste: “Nee. Als we kijken naar de wereld zoals die er in 2025, 2030 uit zal zien, dan zullen businessmodellen zoals 
we ze nu kennen niet meer haalbaar zijn. 
Dan verdwijnt de oude organisatie in het putje.” Maarten Buitink van Baker Tilly 
Berk beaamt dat: “Dat herken ik wel.” 
“Je ontkomt niet meer aan digitalisering, al is het maar gedeeltelijk”, zegt Dennis Doeve (IC Solutions). “Maar er zijn nog steeds ondernemers die niet of amper digitaal werken.”

Jasper Hofman van Thales: “Aan de ene kant word je gedwongen om IT in te zetten, maar anderzijds gaat het ook om wat die klant zelf wil, waar hij behoefte aan heeft.” “Het laatste stukje naar de consument doet misschien nog niet in alle gevallen mee op digitaal gebied, maar de rest van het proces loopt intussen volledig digitaal”, stelt William Sprakel. “Ik zie dat het bij mijn generatie, de babyboomers, vaak anders werkt”, zegt André de Lizer (HypoVisie Twente). “Daar gebeurt toch minder digitaal.” Maarten Buitink: “Wij adviseren bedrijven om de beschikbare data gericht te gebruiken, daarin bevindt zich een schat aan informatie.”

“Voor wie digitalisering omarmt, is het een zegen, voor wie dat niet doet is het een vloek”, zegt William Sprakel. “Onze klanten gebruiken big data en zetten dat doeltreffend in.” 
Dennis Doeve vertelt dat er in het mkb bedrijven zijn die bewust niet digitaal werken, en zich daarmee onderscheiden in de markt. Op William Sprakel’s vraag of dat dan cult is of mainstream, antwoordt hij: “Ik denk beide.”

Bewustwording
Het gesprek komt terecht op de vraag of de steeds sneller wordende ontwikkeling op het gebied van ICT een bedreiging voor onze privacy vormt. Of is onze privacy ondergeschikt aan de technologie en krijgt privacy hiermee in de toekomst een andere dimensie? Maarten Buitink: “Dat is bij grote bedrijven een hot item. Beide werken immers vaak niet prettig samen, privacy en IT.”

“Hoe kleiner het bedrijf, hoe minder 
aandacht eraan wordt besteed”, stelt 
Jasper Hofman. André de Lizer vindt dat het door digitalisering steeds makkelijker wordt om informatie te delen: “Rond het medisch geheim woedt momenteel al een flinke discussie, daar wordt qua privacy heel verschillend tegenaan gekeken.” 
“Het ontbreekt de ondernemer aan besef 
of informatie wel veilig is”, zegt Maarten Buitink. “Dat weet men vaak niet eens.”
Dennis Doeve: “Uiteindelijk staat of valt het met de uitvoering.” “Een op de tien bedrijven wordt gehackt”, vertelt William Sprakel. 
“Daar gaan dus echt ondernemingen failliet aan.” “Ransomware zet een klant nadrukkelijk voor het blok”, vult Dennis Doeve aan. 
”Wij worden dan ingeschakeld om het probleem op te lossen. Bedrijven blijken de beveiliging dan niet voor elkaar te hebben, hoewel men in de veronderstelling was van wel. Bewustwording en besef zijn absoluut niet optimaal.” André de Lizer: “Bedrijven zijn bezig met hun corebusiness: omzet maken. 
En dan gebeurt er zoiets …”

Ik concludeer dat bewustwording vaak pas intreedt zodra er een kalf verdronken is en de ICT-specialist komt om de put te dempen. Dan vraag ik of zij voortdurend een op een bedrijven bewust moeten maken van die risico’s. Dennis Doeve zegt dat dat klopt: “En dan krijg je te horen: ‘Jullie verspreiden angst’.”

Systeemgijzeling 

“Niet alleen het mkb bespaart overigens op beveiliging, ook grote organisaties doen dat stelselmatig”, legt André de Lizer uit. Jasper Hofman: “Vanuit privacywetgeving zijn er wel wat zaken goed geregeld, maar ook voor andere zaken moet in de wet worden afgedwongen dat organisaties beveiliging op orde moeten hebben.” “Bovendien denkt de ondernemer: ‘Mijn cloudleverancier zal dat wel geregeld hebben’”, zegt Maarten Buitink. André de Lizer stelt dat het essentieel is om een stuk ICT en beveiliging al op te nemen in je businessplan. “Als je een systeem bouwt, zorg je uiteraard meteen al voor een goede databeveiliging”, zegt Dennis Doeve. Maarten Buitink: “De ondernemer vertrouwt op zijn leverancier, die leverancier vertrouwt weer op een andere leverancier, die leverancier – enzovoort.” Jasper Hofman beaamt dat: “En er is maar een klein percentage dat het goed doet.” William Sprakel legt uit dat een systeem hacken en het besmetten met ransomware eenvoudig is. Vervolgens wordt losgeld geëist in de vorm van bitcoins. Dat kan iedereen overkomen. “Voor jullie zijn deze dingen duidelijk, maar de leek ziet dit allemaal niet”, merkt André de Lizer op. Jasper Hofman: “Aan de ene kant willen we qua privacy alles beschermen, maar neem je dan bijvoorbeeld Facebook, dan gaat iedereen opeens met allerlei voorwaarden klakkeloos akkoord.”

Dan komt de stelling ‘Hoe beter/sneller de digitale communicatie, des te beter de business’ ter tafel. André de Lizer vindt van niet: “Het hoort er wel bij, maar het is niet alleen dat.” “Het hangt ervan af”, zegt Jasper Hofman. “Het draait voor ondernemers eerder om beschikbaarheid dan snelheid. Als een organisatie daar afhankelijk van is, bijvoorbeeld als het hele bedrijf anders stilligt, zoals pintransacties op zaterdagmiddag bij een winkelier, dan is het van cruciaal belang.”

Allesbepalende dienst
Dennis Doeve: “Automatisering is een ondersteunende dienst. Maar als er problemen zijn, moeten wij wel 24/7 klaarstaan om die op te lossen. Het wordt steeds meer: automatisering is niet ondersteunend maar allesbepalend.” “Je ziet veel de worsteling: hoe om te gaan met veranderingen en innovaties, en de snelheid ervan”, zegt Maarten Buitink. “En wat gebeurt er met je data als je ICT-leverancier failliet gaat?”, vervolgt Dennis Doeve. “De héle keten is zo belangrijk.” Hij vertelt dat hij laatst bij een groot bedrijf was. “Toen zei de directeur: ‘Hoeveel gaat er nog van de prijs af?’ – dat gebeurt nog steeds, kijken naar de kosten. Terwijl het er juist om moet gaan wat je biedt, die zekerheid.” 
André de Lizer: “Is dus nog steeds een sluitpost.”

“Ik weet alleen wel dat het stelen van twee pakken melk in een winkel in onze samenleving nog altijd justitieel een hogere prioriteit heeft dan het stelen van vertrouwelijke gegevens”, stelt William Sprakel vast.

“Als jij 100.000 euro hebt, breng je 
dat naar de bank, dat leg je niet bij de 
buurman neer”, zegt Jasper Hofman. 
“Dat geldt ook voor cloudvoorzieningen, 
die breng je onder bij een betrouwbare partij.” Dennis Doeve: “Hoe groter de cloudleverancier die jouw zaken verzorgt, hoe groter de kans 
dat hij wordt gehackt. Maar vervólgens gaat het erom hoe ze ermee omgaan, het oplossen. Dat is doorslaggevend.”

Gevoel van veiligheid
Er wordt meermaals gezegd dat het bij het nemen van de stap om te gaan investeren in automatisering uitmaakt of het gaat om 
een kleine onderneming of een grote. 
Maar maakt het ook nog uit over welke generatie we het hebben: een oudere of een jonge ondernemer? Jasper Hofman reageert resoluut: “Vanuit verschillende organisaties hoor ik dat oudere board members die amper hun telefoon kunnen bedienen, beslissingen moeten nemen over beveiligingsrisico’s en investeringen.”

“Ik zie op dat gebied veel verschil om mij heen”, zegt André de Lizer. “Babyboomers die bijvoorbeeld op Facebook niet alles willen delen. Die schakelen voor automatisering wel derden in, maar het eerste contact is vaak ook degene die ze kiezen.” “Zeker daar is voorlichting ook van het grootste belang”, aldus Dennis Doeve. “Bij aanvragen op financieel gebied bijvoorbeeld wordt zo veel informatie vergaard die irrelevant is voor de beoordeling – dat is een aanslag op je privacy.” Jasper Hofman: “Je hoort mensen zeggen dat je tegenwoordig behoorlijk wat expertise moet hebben om je zaken veilig te kunnen regelen.”

“Maar tegelijkertijd denkt men te allen tijde veilig te zijn, want: wat valt er bij mij nou te zien en te halen?”, zegt Dennis Doeve. 
“Men beseft dan echter niet dat je internet-
verbinding je openstaande deur is naar alles wat langskomt.” Jasper Hofman zegt dat leveranciers van IT-systemen een belangrijke rol hebben en de klant bescherming kunnen bieden. “Gaat veiligheid boven service of service boven veiligheid?”, vraagt William Sprakel zich af. “Dat lijkt mij eerlijk gezegd uiteindelijk een goede afweging.”

Tekst: Theo Bennes / Fotografie: Wim van ‘t Hoff