Er bestaat in het Nederlandse bedrijfsleven een merkwaardig en hardnekkig misverstand, van het soort dat zo absurd is dat het eigenlijk bewondering afdwingt. Het is hetzelfde logische niveau als denken dat je tandarts ook prima een bypassoperatie kan uitvoeren. Per slot van rekening: allebei witte jassen, allebei medische termen, allebei een wachtkamer met tijdschriften waar Mark Rutte nog jong in oogt.
Het misverstand luidt als volgt:
“We hebben een IT-afdeling, dus onze beveiliging is geregeld.”
Dat klinkt geruststellend. Het heeft ook de prettige compactheid van iets wat iemand zegt vlak voordat de problemen beginnen. Maar het is onzin. Complete, glanzende, bedrijfsmatig verpakte onzin.
En ik zeg dat met alle respect voor de Nederlandse IT’er, die doorgaans onderbemand, onderbetaald en ondergewaardeerd ergens tussen een vastlopende printer, een verlopen certificaat en een directeur met drie iPads probeert te voorkomen dat het hele bedrijf in brand vliegt.
Het fundamentele probleem
IT houdt de boel draaiende. Dat is al een fulltime wonder op zich.
Zij zorgen ervoor dat mensen kunnen inloggen, bestanden terugvinden, mail ontvangen, Teams kunnen vervloeken en, op goede dagen, zelfs iets kunnen printen zonder dat daar een religieuze ervaring voor nodig is. Ze zorgen er ook voor dat die ene collega — elk bedrijf heeft er één — die nog leeft alsof 2007 gisteren was, niet met een dubieuze browserextensie het complete netwerk de afgrond in sleurt.
Maar beveiliging is iets anders.
IT vraagt: hoe krijgen we dit aan de praat?
Security vraagt: hoe zorgen we dat niemand dit misbruikt, sloopt, gijzelt, kopieert of per ongeluk aan een Rus mailt?
Dat zijn fundamenteel verschillende vragen. De een gaat over functioneren. De ander over bescherming. Het verschil is ongeveer dat tussen een conciërge en een portier. De conciërge zorgt dat het gebouw open kan. De portier kijkt wie er naar binnen loopt met een bivakmuts en een sporttas.
Toch verwachten bedrijven voortdurend dat één en dezelfde persoon beide rollen vervult. Alsof dat heel redelijk is. Alsof je zegt: “Kees, zou jij naast het onderhoud van de cv-ketel ook even de nationale veiligheid op je nemen? Je bent toch handig met systemen.”
En dan geven we Kees daar geen extra tijd voor, geen extra mensen, geen extra budget en hooguit een webinar van 45 minuten met de titel Bewustwording in een Digitale Wereld.
De belangenconflicten
Hier wordt het pas echt mooi, want IT en security willen in de praktijk vaak precies het tegenovergestelde.
IT wil dat alles werkt. Alles. Meteen. Liefst gisteren al.
Security wil heel vaak dat bepaalde dingen juist níét werken. Zoals USB-poorten waar Jan van Administratie zijn privé-stick in duwt alsof hij op een camping de stroompaal probeert te vinden.
IT wil snelheid.
Security wil vertraging. Eerst nadenken. Dan testen. Dan documenteren. Dan nog eens nadenken. En pas daarna misschien toestemming geven.
IT wordt beloond voor uptime.
Security wordt beloond voor het feit dat er ogenschijnlijk niets is gebeurd.
Dat is ook een prachtige managementparadox. De IT-afdeling kan trots melden dat de systemen 99,98 procent beschikbaar waren. Security moet in feite zeggen: “Goed nieuws, alles is nog steeds niet afgeperst.” Daar kun je lastig een inspirerende KPI-poster van maken voor in de kantine.
Het is alsof je de man die de gasleiding aanlegt ook meteen vraagt de brandveiligheid te waarborgen. “Piet, je hebt de boel net aangesloten. Zou je ook nog even willen garanderen dat het nergens explodeert? Budget is er niet, maar je krijgt wel meer verantwoordelijkheid.”
Wat je in de praktijk ziet
Als pentester kom je in situaties terecht die je geloof in de collectieve volwassenheid van organisaties stevig op de proef stellen.
Je ontmoet de systeembeheerder die ook “even” CISO is geworden, meestal omdat niemand anders zijn hand opstak en hij toevallig het minst hard achteruit liep. Hij weet van firewalls, printers, groepsbeleid en Exchange-migraties, maar niet waar OWASP voor staat. En eerlijk gezegd: waarom zou hij? Er zitten maar 24 uur in een dag, en 9 daarvan gaan al op aan mensen die hun wachtwoord vergeten zijn terwijl het letterlijk op een geel briefje onder hun toetsenbord ligt.
Je ziet IT-managers die het securitybudget hebben opgemaakt aan nieuwe monitoren, met redeneringen die alleen in vergaderruimtes kunnen overleven. “Grotere schermen verhogen ook de veiligheid. Je ziet meer.” Prachtig. Dan kunnen we binnenkort ook zeggen dat nieuwe bureaustoelen de cyberweerbaarheid versterken, omdat men comfortabeler gehackt wordt.
En dan heb je de bedrijven waar het complete securitybeleid neerkomt op één post-it op het scherm van de receptie met:
“Geen vreemde USB-sticks!”
Dat is dan de verdedigingslinie. Alsof de digitale dreiging van de 21e eeuw kan worden afgewend met dezelfde communicatiestrategie als een herinnering om koffiemelk te bestellen.
Het tragische is: deze mensen zijn meestal niet dom. Ze zijn ook niet lui. Ze doen juist enorm hun best. Ze hebben alleen een taak gekregen die structureel onmogelijk is gemaakt. Het bedrijfsleven heeft een merkwaardige gewoonte om specialismen te erkennen tot het geld kost. Dan heet het opeens “iets wat we er prima bij kunnen doen”.
De oplossing is niet ingewikkeld
Je hoeft geen bunker in de Ardennen te bouwen en ook geen leger van voormalige inlichtingenofficieren in te huren die elkaar aanspreken met codenamen. Het punt is veel eenvoudiger: erken dat beveiliging een apart vak is.
Niet als bijzaak. Niet als hobby. Niet als het digitale equivalent van “doe maar even als je tijd hebt”.
Je moet rollen scheiden. En als dat op papier nog door dezelfde persoon gebeurt, geef die rollen dan op zijn minst verschillende doelen, verschillende verantwoordelijkheden en vooral een verschillend budget. Anders heb je niet twee functies, maar één overbelaste medewerker met twee problemen.
Je moet je laten testen. Niet door iemand intern die zegt dat het “er best netjes uitziet”, maar door mensen die betaald worden om onaangename waarheden boven tafel te halen. Een security-assessment is nuttig omdat het je vertelt waar je werkelijk staat, en niet waar de organisatie hoopt te staan zolang niemand te hard kijkt.
Je moet investeren in kennis. Securitytraining is niet sexy, maar een datalek is dat ook niet, behalve dan voor advocaten, toezichthouders en de mensen die achteraf een crisispresentatie mogen maken.
En soms moet je gewoon externe expertise inhuren. Dat voelt voor sommige organisaties als zwakte, maar dat is alleen omdat ze nog steeds denken dat je alles intern moet kunnen. Dat doen we nergens anders. Niemand zegt tegen de boekhouder: “Nu je toch met cijfers werkt, zou jij ook even de fundering van het pand kunnen inspecteren?”
De moraal
Je IT-afdeling is waardevol. Vaak heroïsch waardevol. Het zijn de mensen die met pleisters en tiewraps de digitale beschaving in jouw organisatie overeind houden terwijl iedereen tegelijk op iets klikt wat ze absoluut niet hadden moeten aanklikken.
Maar verwachten dat zij daarnaast ook nog de complete organisatie beschermen tegen professionele cybercriminelen, statelijke actoren, ransomwarebendes, supply-chain ellende, misconfiguraties, menselijke domheid en directieleden die “Shadow IT” zien als ondernemerschap — dat is absurd.
Dat is alsof je je loodgieter vraagt ook meteen even de elektra te doen.
Ja, het zit allebei in de muur.
Nee, het is niet hetzelfde vak.
En nee, zelfvertrouwen is geen certificering.
En voor wie nog steeds denkt dat dit allemaal wat overdreven klinkt: de schade van een serieus datalek loopt al snel in de miljoenen. Een externe security-audit kost een fractie daarvan.
Soms is de goedkoopste oplossing gewoon: de juiste expert inhuren.
Net als bij tandartsen en hartchirurgen.
Je kunt natuurlijk blijven geloven dat het ongeveer hetzelfde is.
Maar dat is meestal een inzicht dat pas verdwijnt zodra iemand wakker wordt onder narcose, zonder kies, zonder bypass en met een rekening waar niemand blij van wordt.
