Ook al zien we op dit moment pas het tipje van de ijsberg, het momentum rond digitale transformatie blijft groeien; in de industrie en in datacenters, maar ook in onze gebouwen en steden. De verbinding van onze fabrieken, machines en gebouwen met het internet is een noodzakelijke stap om maximale voordelen te halen uit de digitalisering. Over deze waardecreatie werden al ontelbare artikels geschreven, en terecht. Toch blijft één cruciaal element nog vaak onderbelicht, de cybersecurity. Of met andere woorden, hoe beschermen we deze opgebouwde waarde?
Geen ver-van-mijn-bed-show
Cybersecurity een ver-van-mijn-bed-show? Nee, dat kan je al lang niet meer zeggen. Eind 2020 waren de cyberaanvallen met ransomware op enkele Vlaamse labo’s (onder meer in Brugge en Antwerpen) een nieuwe wake-up call[1]. Maar niet de eerste, zie ook de aanval die een Iepers weefgetouwenbedrijf wereldwijd lam legde. In elk geval kan één geslaagde cyberaanval destructieve of zelfs existentiële gevolgen hebben voor een bedrijf.
De waarde die we al gecreëerd hebben en die we nog zullen creëren vanuit digitale transformatie willen we natuurlijk in stand houden. Daarvoor hebben we dringend nood aan een nieuwe veiligheidscultuur.
Een nieuwe veiligheidscultuur
Sinds vele jaren hebben we in België en de wereld een veiligheidscultuur – veiligheid met de Engelse betekenis “safety” – die focust op het vermijden van niet opzettelijke schade. Denk bijvoorbeeld aan ongelukken op een bouwwerf of een fabriek. Dankzij een continue training, herhaling en leiderschap daalde het gemiddelde aantal ongelukken uiteindelijk spectaculair.
Het verleden is in deze een goede les voor de toekomst: we weten al hoe we een bedrijfscultuur moeten opbouwen en hebben het al eerder al gedaan rond veiligheid/safety. Een dergelijke aanpak hebben we nu nodig voor “security” en dan specifiek voor cybersecurity, waarbij we ons beschermen tegen opzettelijke aanvallen.
Zonder security geen safety
Want zonder “security” kan er geen “safety” zijn en vice versa. Een perfect internationaal voorbeeld is de cyberaanval op de kerncentrale in Iran van een paar jaar geleden[2]. Alle traditionele veiligheidsprocedures en -regels om werknemers fysiek veilig te houden volstaan niet als een cyberaanval erin slaagt om de parameters zo te verstoren dat catastrofes dreigen.
De menselijke factor
Technologie, processen en governance zijn belangrijk, maar we weten dat het allerbelangrijkste in het opbouwen van een cultuur de menselijke factor is. Als we een sterke (cyber)veiligheidscultuur willen opbouwen dan moeten we beginnen bij onszelf – bij onze mensen. De aanleiding van 95% van cyberaanvallen is een menselijke fout[3]. Het opbouwen van een (cyber) veiligheidscultuur start met het opbouwen van de awareness bij alle werknemers. Training, communicatie – training, communicatie – herhaal.... Dat is de sleutel om de basis op te bouwen.
Impact van IoT en Industrie 4.0
Een moderne (cyber)veiligheidscultuur vraagt bovendien niet alleen aandacht op IT vlak, maar steeds meer ook op het gebied van OT (operationele technologie). Heel wat bedrijven die op het vlak van IT cybersecurity al heel matuur zijn, onderschatten nog de impact die IoT en industrie 4.0 hebben op de OT. Denk bijvoorbeeld aan de steeds meer geconnecteerde systemen die zorgen dat ons drinkwater wordt gezuiverd, of die de turbines in elektriciteitscentrales veilig en onder controle laten werken. Dat IT en OT compleet verschillende prioriteiten hebben, en dat dit alles vraagt om een specifieke aanpak van een OT veiligheidsstrategie, is een thema waar ik in een volgende blog graag wat dieper op in ga.
