‘Hoe groot denkt u dat de kans is dat uw bedrijf de komende twaalf maanden het slachtoffer wordt van cybercriminaliteit?’ Deze vraag stel ik samen met mijn collega’s en partners regelmatig aan ondernemers. Hieruit blijkt dat nagenoeg elke ondernemer deze kans nihil acht. En dat is ergens logisch. Want ondernemer zijn, is risico’s aangaan en daar positieve kansen in zien. Maar de kans inschattingen rond cybercriminaliteit onder ondernemers doen echt geen recht aan de werkelijkheid. Een op de vijf bedrijven komt jaarlijks immers in aanraking met cybercriminelen en de gevolgen daarvan zijn groot. Maar waar komt deze overtuiging – dat het allemaal zo’n vaart niet zal lopen – eigenlijk vandaan?
Wanneer je mensen vraagt hoe groot de kans is geconfronteerd te worden met welk risico dan ook, is het antwoord steeds hetzelfde: heel klein. Dit fenomeen is in de wetenschappelijke literatuur bekend onder verschillende namen: Optimism bias; optimistic bias; defensive denial; othering; unrealistic optimism en downwards comparisation. Maar het komt allemaal op hetzelfde neer. We moeten het risico ergens kwijt als we met informatie over risico’s worden geconfronteerd. Zelf willen we er niet aan, dus leggen we het in het bakje van ‘de ander’. Dat zit in onze bedrading en programmering als mensen. Als we stil zouden staan bij alle ellende die ons zou kunnen raken, dan kunnen we niet meer functioneren. Dat geldt ook zeker voor je bedrijf waar je al je ziel en zaligheid in hebt zitten: dat gaat je aan het hart.
In mijn promotieonderzoek naar veiligheidsbeleving kwam ik dit fenomeen al op het spoor rondom de beleving van het risico van slachtofferschap van offline criminaliteit. Na het in interviews even over de risico’s van verschillende vormen van criminaliteit te hebben gehad, namen elk van de respondenten al snel – achteraf in de analyse beschouwd – bizarre afslagen in de interviews. Het ene moment hadden ze het bijvoorbeeld over woninginbraak als een compleet voorstelbaar risico, daarbij liep de spanning al snel op en dan ineens – poef – weg was de spanning: “Nee dat overkomt mij niet”,
“Dat overkomt oudere mensen”, “Nee hoor, ik let goed op”, “We hebben het er nu over, maar ik ben er eigenlijk niet zo mee bezig”, ”Ik wil er eigenlijk niet aan denken” en meer reacties volgden. Het er alleen al over praten en over nadenken was kennelijk teveel.
Echt waar. Dat waren mensen als jij en ik. Na enkele interviews kon ik het bijna timen als de spanning bij de respondent opliep, waarna een van deze uitwegen volgde. Zo schuiven we ook het risico op slachtofferschap van cybercriminaliteit in onze gedachten van de ene naar de andere ondernemer, zonder dat het daadwerkelijk ergens zal landen. Want we blijven het doorgeven: niemand wil het hebben natuurlijk! Een oneindige ronde van zakdoekje leggen. En we praten er ook niet over – niemand zeggen! – want dat is super oncomfortabel. Maar cybercriminelen en criminele netwerken buiten de ondernemers, die onbewust met dit spelletje risico-verplaatsen bezig zijn, gewoon keihard uit. Eerlijk is eerlijk: het is niet de vraag of maar wanneer zij jouw bedrijf te grazen nemen. Je bent er vroeg of laat bij met je bedrijf. Punt.
Verdiep je dus als ondernemer alsjeblieft – tegen je gevoel en eerste reactie in – wel in deze risico’s. Cybercriminelen kunnen je bedrijf – hoe gezond het ook is – platleggen en uiteindelijk ook serieus de kop kosten: hoe vang je bijvoorbeeld 28 dagen stilstand van alle processen en alle bijkomende schade op, wanneer je bedrijf het slachtoffer wordt van ransomware? En wat te denken van CEO fraude, phishing, spyware, enzovoorts. Ik weet dat je er niet op zit te wachten, maar echt: voorkomen is beter dan genezen. Dat kost tijd, geld en energie, maar scheelt jou en je medewerkers wel een heleboel ellende. Je moet nu vooral de eerste drempel over: het kan je bedrijf WEL gebeuren. Word wakker en kom in beweging en neem al je collega’s mee in deze oncomfortabele waarheid. Cyberweerbaarheid is een gedeelde verantwoordelijkheid, het gaat immers over de toekomst van het bedrijf!
Dit blog is geschreven door Remco Spithoven, Lector Maatschappelijke Veiligheid bij Saxion Hogeschool.