"Dat overkomt ons toch niet."
Vijf woorden. Veertien lettergrepen. En verantwoordelijk voor meer schade dan welke zero-day exploit dan ook. Want het probleem met cybersecurity is niet dat de aanvallen zo geavanceerd zijn — het probleem is dat wij zo voorspelbaar zijn.
De psychologie van "het zal wel meevallen"
Er is een prachtig psychologisch fenomeen dat optimism bias heet. Het betekent dat mensen systematisch onderschatten hoe waarschijnlijk het is dat hen iets naars overkomt. We weten dat het regent, maar we nemen geen paraplu mee. We weten dat auto-ongelukken bestaan, maar wij rijden natuurlijk uitstekend.
In cybersecurity werkt het precies zo. De directeur leest over een ransomware-aanval bij een concurrent en denkt: "Wij zijn kleiner, wij zijn niet interessant." De IT-manager ziet een waarschuwing over een kwetsbaarheid en denkt: "Die updaten we volgende maand wel." De medewerker krijgt een verdachte e-mail en denkt: "Het zal wel van HR zijn."
En dan, op een dinsdag om 14:23, werkt niets meer.
Het is nooit de geavanceerde aanval
Hier is wat de statistieken ons vertellen: het overgrote deel van succesvolle cyberaanvallen maakt gebruik van bekende kwetsbaarheden waarvoor al patches beschikbaar zijn. Geen zero-days. Geen staatshackers met onbeperkt budget. Gewoon een server die drie maanden niet geüpdatet is, of een medewerker die op een link heeft geklikt.
Het is alsof je wordt beroofd terwijl je voordeur openstaat, en je je vervolgens afvraagt hoe de inbreker door je alarmsysteem is gekomen. Dat alarmsysteem stond uit. De voordeur stond open. De sleutel zat er nog in.
De rekening
Laten we het even over geld hebben, want dat is een taal die bestuurskamers begrijpen.
De gemiddelde kosten van een datalek in Europa lopen in de honderdduizenden euro's. Dat is de directe schade: forensisch onderzoek, herstel, juridische kosten, boetes. Maar de indirecte schade — reputatieverlies, klantverlies, gemiste omzet — is vaak een veelvoud daarvan.
Vergelijk dat eens met de kosten van preventie. Een pentest. Een awareness-training. Het updaten van je systemen. Het instellen van tweefactorauthenticatie. Het zijn geen astronomische bedragen. Het is het verschil tussen een slotenmaker betalen en een nieuwe voordeur kopen nadat iemand de oude heeft ingetrapt.
Wat je vandaag kunt doen
Het goede nieuws: je hoeft niet alles tegelijk te doen. Begin met de basis:
- Schakel tweefactorauthenticatie in — overal waar het kan
- Update je systemen — ja, ook die ene server waar niemand aan wil komen
- Train je medewerkers — niet één keer, maar doorlopend
- Maak backups — en test of je ze kunt terugzetten
- Laat een security checklist over je omgeving lopen
Want de vijf duurste woorden in cybersecurity zijn niet "we zijn gehackt, wat nu?" Dat zijn er vier. De vijf duurste woorden zijn de woorden die daarvoor kwamen.