De coronatijd heeft onder meer duidelijk gemaakt dat ‘het bedrijfsleven’ tegenwoordig bestaat uit een wirwar van aan elkaar gekoppelde ondernemingen en samenwerkingsverbanden. Er is geen bedrijf meer dat van het begin tot het einde alles zelf doet; samenwerken in diverse ketens is de norm. Dit heeft de industrie natuurlijk heel veel voordelen geboden, maar op het digitale front worden de risico’s vaak pijnlijk zichtbaar.
Digitalisering heeft de afgelopen decennia een vogelvlucht genomen. Waar in het begin van de jaren negentig email nog nauwelijks gebruikt werd, bestoken we elkaar er nu de hele dag mee. De structureel toegenomen digitalisering heeft er ondertussen voor gezorgd dat we hiervan voor 100 procent afhankelijk van zijn. Zonder, of met een verstoorde, digitale infrastructuur kan een bedrijf niet meer functioneren. Er is geen contact met klanten en toeleveranciers, geen productie, geen orderverwerking en zelf geen interne communicatie. Onze afhankelijkheid is zo groot geworden dat er ook geen plan B meer beschikbaar is. Orders doorgeven via de telefoon, terug naar de typemachine? Totaal kansloos gezien de volumes en snelheid die tegenwoordig gevraagd worden.
Arbeidskrachten zijn een steeds schaarser goed geworden. Maar voor IT’ers geldt dat in nog veel sterkere mate. Deels komt dat doordat ze vaak behoorlijk ondergewaardeerd worden. Dat is ook hun eigen schuld: ze praten in doorsnee in een taal die weinig mensen begrijpen. Maar gezien de digitale afhankelijkheid zouden ze meer aandacht verdienen. En dan heb ik het hier niet over de hippe designers van allerlei apps. Nee, ik wil hier een lans breken voor de mensen die de digitale infrastructuur van een bedrijf overeind moeten houden. Weet u dat er op veel plaatsen nog Windows 2003 in de lucht is? Na een acquisitie moeten zij veel extra werk verrichten om twee IT-omgevingen goed te integreren.
Het zijn ook deze IT’ers die hun uiterste best moeten doen om alle applicaties die hun bedrijf gebruikt – vaak meer dan 500 – up-to-date beveiligd te houden tegen cybercriminelen. Zij zijn het die iedere dag worden bestookt met digitale aanvalsgolven. Parallel daaraan moeten zij dertig jaar historie migreren en transformeren. In het geval van een datalek of cyberincident staan zij in de frontlinie en kijkt iedereen naar hen. Hoe heeft het zo kunnen gebeuren? Wat is er eigenlijk gebeurd? Hoe snel kunnen we weer opstarten?!
De algehele bedrijfsvoering en risicoacceptatie zijn en blijven primair een verantwoordelijkheid van een directieteam of raad van bestuur, ook in geval van een cyberincident. Dit kan en mag niet bij de hardwerkende IT’ers worden belegd. Ga met ze in gesprek en probeer elkaar te begrijpen.
Marcel van Oirschot is adviseur bij Hunt & Hackett in Den Haag, experts in cybersecurity.