Vorige week waarschuwde generaal-majoor Swillens, de baas van de MIVD, dat hackers uit landen als China en Rusland regelmatig spioneren via laptops en telefoons. Cybersecurity in Nederland is volgens de generaal-majoor ‘niet goed genoeg’. Swillens is van mening dat directies van grote ondernemingen smartphones en tablets buiten de boardroom zouden moeten houden, om te voorkomen dat de vertrouwelijkheid van gevoelige informatie wordt geschonden. Is er reden tot paniek, of is sprake van een storm in een glas water?
Overdreven?
Ja: smartphones, tablets, laptops en andere apparaten kunnen worden gehackt. En ja: die apparaten kunnen vervolgens worden misbruikt om te spioneren. Het buiten de deur houden van zulke apparaten is een goede maatregel om spionage te voorkomen. Moet ieder bedrijf van enige omvang dan maar gaan vergaderen zonder apparatuur in de buurt? Dat is wel weer wat overdreven. Want niet voor ieder bedrijf zal het risico van spionage door overheden of concurrenten een reëel risico zijn.
Risico-inschatting
Om te beoordelen of het voor uw bedrijf of organisatie nodig is om smartphones etc. voortaan in de ban te doen bij vergaderingen, zal eerst moeten worden beoordeeld hoe groot het probleem precies is dat je met deze maatregel oplost. Want: oplossingen voor niet-bestaande of erg kleine problemen zijn zonde van de tijd, energie en kosten. Die kun je beter steken in het oplossen van échte problemen. Dus: analyseer eerst of het risico dat met de maatregel wordt afgedekt, een reëel risico is.
Bedrijfsspionage
Om het risico beter te begrijpen, is het goed om eerst te kijken naar de personen of instanties die hierbij een rol spelen en wat hun beweegredenen kunnen zijn. In het geval van bedrijfsspionage gaat het vaak om overheidsgerelateerde actoren, of om bedrijven. Via bedrijfsspionage proberen zij (kort samengevat) economisch voordeel of voordeel ten opzichte van de concurrenten na te streven (dat kunnen concurrerende bedrijven, maar ook concurrerende landen zijn). Bijvoorbeeld door informatie te stelen en voor eigen gewin in te zetten. Of door de concurrentie, nadeel te bezorgen, door hun systemen plat te leggen of informatie onbruikbaar te maken.
Interessant genoeg?
Voor veel organisaties zal gelden dat zij niet interessant genoeg zijn om bespioneerd te worden. Het hacken van apparatuur en het bespioneren van bedrijven is, hoe je het ook went of keert, geen kosteloze bezigheid. Bovendien is er altijd het risico om gepakt te worden. Degenen die zich bezighouden met bedrijfsspionage zullen dus niet direct met hagel schieten, maar hun doelwitten zorgvuldig selecteren. Pas als er wat te halen valt, is het de moeite waard om apparaten te hacken en te spioneren.
Risk assessment
Voor veel organisaties is bedrijfsspionage geen reëel risico. Tegelijkertijd zit het ook in onze Nederlandse cultuur om al snel te denken dat wij niet interessant zijn, want ‘doe nou maar normaal, dan doe je al gek genoeg’. Zaken die voor ons normaal zijn, kunnen voor anderen echter toch bijzonder interessant zijn.
Het loont daarom absoluut om toch even stil te staan bij het risico op bedrijfsspionage en daar een goed beeld van te vormen. Dat geldt ook voor andere risico’s waar u zich mogelijk nog niet van bewust bent. Het aangewezen middel om de risico’s inzichtelijk te maken en te wegen, is door een risk assessment uit te voeren. Op basis van het risk assessment kan vervolgens beter worden bepaald welke securityzaken binnen uw organisatie prioriteit moeten krijgen, en welke zaken nog even kunnen wachten. Op die manier gaat u doelgericht te werk en voorkomt u dat onnodig geld wordt uitgegeven.
