Alles draait om integraal benaderen van risico’s

Vorige week ontstond er grote onrust, nadat bekend werd dat (Amerikaanse) inlichtingendiensten in staat zijn om smartphones af te luisteren en in te zien. Het zou om gerichte acties zijn gegaan, maar het gevoel van veilig ge-encrypteerd kunnen communiceren via de smartphone, verdween in één klap. Kennelijk leefden de mensen in schijnveiligheid voor wat betreft dit gegeven. Het klinkt wellicht belerend, maar dat krijg je als je risico’s niet integraal benadert en behandelt. Je ziet dingen over het hoofd en beschouwt iets als ‘veilig’ terwijl dat allerminst het geval is!

Risicoperceptie afdwingen met wetgeving
Consumenten worden verzekerd van het feit dat hun smartphones en hun social media- en communicatie apps veilig zijn, dankzij encryptie. In principe is daar niets aan gelogen. De berichten zijn inderdaad gecodeerd. Onbevoegden zullen nagenoeg niet in staat zijn deze berichten te ontcijferen. Deze wetenschap legitimeert voor veel mensen om bijvoorbeeld gevoelige bedrijfsinformatie te delen via verschillende digitale platformen. Het argument om dit te rechtvaardigen is regelmatig de massaliteit van deze online platforms, waardoor het gebruik ervan veiliger zou zijn dan bijvoorbeeld e-mail. Op de vraag of zij dan geen rekening houden met een gerichte aanval, is steevast het antwoord dat er van alle bedrijven en mensen in de wereld echt wel interessantere partijen zijn voor criminelen. Hieruit blijkt een lage risicoperceptie, maar ook een basis voor te implementeren maatregelen. De realiteit is namelijk dat honderden systemen dagelijks bezocht worden door onbevoegden. De digitale criminelen en inlichtingendiensten houden zich niet aan regeltjes of standaard processen. Wélke informatie zij vergaren is vaak onduidelijk en ‘slachtoffers’ merken er (in eerste instantie) niets van. Wanneer zij er achter komen, is het helaas te laat. Nieuwe wetgeving verplicht ondernemers om datalekken te melden. Indien zij dit verzaken en geen adequate maatregelen treffen, kunnen torenhoge boetes het gevolg zijn. Zo wordt een verhoogde risicoperceptie met wetten afgedwongen. Toch blijkt dat dit onderwerp nog steeds weinig prioriteit kent.

Onbekend maakt onbemind
Inlichtingendiensten ´misbruiken´ al enige tijd allerlei kwetsbaarheden van het digitale landschap.  Er zijn veel ‘slimme’ technieken en apparaten bij gekomen. En juist dáár bevinden zich die kwetsbaarheden en kinderziektes. Ze zijn relatief makkelijk te raadplegen en dienen zo als springplank tot het netwerk waar de zwaarder beveiligde apparatuur in communiceert. Zo kunnen programma’s als keyloggers makkelijk in het netwerk geïnstalleerd worden. Deze programma’s maken het mogelijk om mee te kijken op het scherm van iemand anders zijn pc, tablet of telefoon. Vóórdat iemand een bericht verstuurt, kent de inbreker al de inhoud. Dit geldt tevens voor inkomende berichten. Deskundigen geven al een tijdlang aan dat keyloggers een groot probleem zijn. Maar onbekend maakt onbemind. Mensen willen zich er niet mee bezighouden en wegen dit verschijnsel niet mee in de afwegingen tot welk niveau weerstand moet worden geboden aan bepaalde risico´s. Ze verkeren liever in ´schijnveiligheid´, zo lijkt het althans. Pas wanneer een inbreuk heeft plaatsgevonden, realiseert men dit zich. Dat geeft vaak een nog stevigere tik dan de daadwerkelijke digitale inbraak: het had immers zeer eenvoudig voorkomen kunnen worden.

Common sense risico binnen risicomanagement
In deze blog beperken we ons tot de IT, maar de parallellen zijn eenvoudig te trekken naar andere disciplines en onderwerpen. Een groot risico binnen risicomanagement is dat het vaak gebaseerd is op ’commen sense’. De risicodrager weegt niet alles mee in de discussie omtrent de waarschijnlijkheid en de impact van het risico. Oftewel, de integrale benadering ontbreekt en risico’s kunnen zich vrij manifesteren. Schijnveiligheid. Helaas, maar waar: zo ontstaan al die bekende verhalen waarin topspecialisten met tientallen jaren ervaring en groei, toch cruciale fouten maken in hun primaire proces. Zó cruciaal dat zij deze soms niet meer te boven komen.De kritische blik van buiten naar binnen geeft de inzichten die het verschil kunnen maken tussen succes of falen.