“Dat overkomt ons toch niet.”
Vijf woorden. Een klein zinnetje. Onschuldig bijna. Het soort uitspraak dat je hoort vlak voordat iemand zichzelf buiten sluit, een belastingcontrole krijgt of per ongeluk op een bijlage klikt met de naam Factuur_final_nu_echt_definitief.xlsm.
In cybersecurity zijn dit misschien wel de duurste vijf woorden die een mens kan uitspreken. Niet omdat hackers zulke briljante demonen zijn die in een ondergronds vulkaancomplex met zes schermen tegelijk opereren. Nee. Het probleem is veel treuriger en dus veel menselijker: aanvallers hoeven vaak niet geniaal te zijn, omdat organisaties zo verbluffend voorspelbaar zijn.
Cybercriminelen rekenen daar ook op. Ze hoeven niet eens te gokken. Ze weten dat ergens in een middelgrote bestuurskamer iemand zal zeggen: “Dat is meer iets voor grote bedrijven.” Ze weten dat ergens een IT-manager denkt: “Die update doen we na kwartaalafsluiting.” Ze weten dat er altijd wel een medewerker bestaat die een verdachte mail opent omdat hij eruitziet alsof HR zich weer eens met iemands pensioen bemoeit.
Dat is het elegante aan menselijke zelfoverschatting: het schaalt uitstekend.
De psychologie van “het zal wel meevallen”
Er bestaat een prachtig psychologisch verschijnsel dat optimism bias heet. Dat klinkt vriendelijk, bijna opgewekt, alsof het een wellnessarrangement is. Maar in de praktijk betekent het gewoon dat mensen consequent denken dat vervelende dingen vooral andere mensen overkomen.
Regen is voor anderen.
Auto-ongelukken zijn voor anderen.
Hartklachten zijn voor mannen die er ongezonder uitzien dan jij.
En ransomware is kennelijk voor concurrenten, gemeenten en bedrijven die toevallig in het nieuws komen, maar nooit voor jouw keurige organisatie met een mission statement, twee BHV’ers en een directie die zichzelf “nuchter” noemt.
Dat is het hele mechanisme. We verwarren vertrouwdheid met veiligheid. Alles werkt vandaag nog, dus zal het morgen ook wel werken. Niemand is vorige week gehackt, dus zitten we blijkbaar goed. De server bromt nog, de mailbox doet het, en Henk van Finance heeft alleen per ongeluk zijn wachtwoord naar een extern adres gestuurd, maar dat liep ook met een sisser af, dus wat is eigenlijk het probleem?
Het probleem is dat mensen risico niet beoordelen op waarschijnlijkheid, maar op comfort. En comfort zegt altijd hetzelfde: laat het nog even liggen. Kijk later wel. Doe eerst de dingen die minder vervelend zijn.
En dan, op een dinsdag om 14:23
Cyberincidenten gebeuren ook zelden op een dramatisch filmisch moment.
Niet in een onweer.
Niet terwijl rode lampen beginnen te knipperen.
Niet met een man in een capuchon die in een donker magazijn “we’re in” fluistert.
Nee, het gebeurt op dinsdag. Altijd op dinsdag. Of een donderdag, dat andere bureaucratische rampendagdeel. Een volstrekt gewone middag waarop iemand net een broodje heeft gehaald, iemand anders in Teams “goed punt” typt zonder dat te menen, en de rest van het bedrijf denkt dat de grootste dreiging van de dag bestaat uit een uitgelopen vergadering.
En dan werkt ineens niets meer.
Bestanden openen niet.
Systemen reageren niet.
De printer, altijd al een vijand van de vooruitgang, krijgt er nu een duistere bondgenoot bij.
En ergens verschijnt een bericht in lelijk Engels dat je data versleuteld is en dat er betaald moet worden in een valuta waar de CFO spontaan jeuk van krijgt.
Dat moment voelt voor organisaties altijd als een schokkende, uitzonderlijke, bijna metafysische gebeurtenis. Alsof de bliksem specifiek hun gebouw heeft gekozen uit pure kwaadaardigheid.
Maar meestal is het geen bliksem. Meestal is het gewoon nalatigheid met een planningstool.
Het is bijna nooit de spectaculaire aanval
Dit is ook zo’n teleurstellend aspect van cybersecurity: de werkelijkheid is veel prozaïscher dan de fantasie.
Het zijn zelden staatshackers met onbeperkt budget, geavanceerde zero-days en een complotbord vol rode draden. Natuurlijk, die bestaan. Maar de gemiddelde organisatie wordt niet geveld door een geopolitieke superspion. Ze worden geveld door een update die al drie maanden beschikbaar was, een slecht wachtwoord, een hergebruikte inlog of iemand die dacht dat “klik hier om direct te verifiëren” een volstrekt normale formulering was voor de salarisadministratie.
Met andere woorden: het is zelden Ocean’s Eleven. Het is meestal gewoon iemand die de voordeur open laat staan en daarna verbaasd is dat er binnen iemand met de televisie onder zijn arm richting de uitgang loopt.
Dat is ook wat cybersecurity zo ondankbaar maakt. Mensen willen graag geloven dat een ramp alleen telt als hij ingewikkeld was. Als je gehackt bent via een exotische ketenaanval met een onbekende exploit en een forensisch rapport van 180 pagina’s, dan kun je tenminste nog zeggen dat het geavanceerd was.
Maar veel incidenten zijn beschamend gewoontjes.
De digitale equivalent van:
- de sleutel in de deur laten zitten,
- het alarm niet aanzetten,
- en vervolgens na de inbraak ernstig zeggen dat criminelen tegenwoordig wel erg slim zijn.
Nee. Jij was gewoon makkelijk.
De rekening, oftewel het moment waarop bestuurders ineens wel luisteren
Laten we het over geld hebben, want geld is in veel organisaties het enige onderwerp dat zonder awareness-training door iedereen wordt begrepen.
Een cyberincident kost geld. Eerst direct: onderzoek, herstel, advocaten, communicatieadvies, eventuele boetes, consultants die plotseling hun dagtarief verdubbelen zodra het woord “incidentrespons” valt. Daarna indirect: reputatieschade, verloren klanten, stilgevallen omzet, interne chaos, managementtijd, slapeloze nachten, en de onvermijdelijke reeks vergaderingen waarin iedereen vraagt hoe dit heeft kunnen gebeuren terwijl ze in stilte hopen dat niemand hun oude e-mails erbij pakt.
En dat is precies de tragikomedie van preventie: preventieve maatregelen voelen duur zolang er niets misgaat, maar achteraf blijken ze lachwekkend goedkoop.
Tweefactorauthenticatie voelt lastig tot je je hele klantendatabase kwijt bent.
Een awareness-training voelt overdreven tot iemand op een phishingmail klikt die begint met “Beste collega”.
Back-ups lijken saai tot je ontdekt dat saai precies is wat je nodig had.
Een pentest lijkt een kostenpost tot je beseft dat een incidentonderzoek vooral hetzelfde is, maar dan duurder, pijnlijker en met meer juridische cc’s.
Preventie is zelden sexy. Maar paniek is aanzienlijk duurder.
Wat je vandaag kunt doen
Het vervelende en tegelijk geruststellende nieuws is dat de basismaatregelen bekend zijn. Niet geheim. Niet mystiek. Niet alleen toegankelijk voor mensen met zwarte hoodies en zes certificeringen.
Zet tweefactorauthenticatie aan. Overal waar het kan. Ja, ook daar.
Update je systemen. Vooral die systemen waar “we liever niet aankomen want dan doet iets het misschien niet meer” over wordt gezegd. Dat is namelijk exact het soort zin waar rampen op teren.
Train medewerkers. Niet eenmalig, als een soort verplichte EHBO-cursus voor muisklikken, maar doorlopend. Mensen vergeten. Mensen haasten. Mensen zijn mensen.
Maak back-ups. En test ze. Een back-up die je niet kunt terugzetten is geen back-up; dat is digitale decoratie.
Laat iemand met verstand van zaken kritisch naar je omgeving kijken. Een checklist, assessment of pentest is goedkoper dan zelf ontdekken waar de gaten zitten terwijl er al iemand doorheen kruipt.
En vooral: neem afscheid van de gedachte dat afwezigheid van problemen bewijs is dat alles goed geregeld is.
Dat is geen strategie. Dat is bijgeloof in zakelijke kleding.
De moraal
De duurste woorden in cybersecurity zijn niet:
“We zijn gehackt, wat nu?”
Die komen pas later, als de ellende al binnen is, de koffie koud is en de directie plotseling verrassend veel vragen heeft over segmentatie, logging en herstelprocedures.
Nee, de echt dure woorden zijn de woorden die eraan voorafgaan:
“Dat overkomt ons toch niet.”
Want daarin zit alles samengebald wat organisaties kwetsbaar maakt: gemakzucht, zelfoverschatting, uitstel, wensdenken en dat oude, taaie geloof dat normaliteit vanzelf veiligheid oplevert.
Maar systemen zijn niet veilig omdat ze gisteren nog werkten.
Mensen zijn niet voorzichtig omdat ze zeggen dat ze voorzichtig zijn.
En organisaties zijn niet weerbaar omdat ze zichzelf nuchter noemen in de nieuwsbrief.
De cybercrimineel hoeft meestal niet slimmer te zijn dan jij.
Hij hoeft alleen maar te wachten tot jij weer denkt dat het wel meevalt.
En eerlijk gezegd is dat, van alles aan moderne technologie, misschien nog het meest verontrustende onderdeel.
