Gehackt: eigen schuld?

De schuldvraag. Opmerkelijk genoeg komt die tijdens het herstel van een cybercrisis vaak snel bovendrijven. In gesprekken met directies merk ik regelmatig dat men op zoek gaat naar een verantwoordelijke en soms zelfs naar een passende straf. “De medewerker die haar gegevens heeft ingevuld via een phishing e-mail moeten we ontslaan” hoorde ik eens.

Of: “De IT-dienstverlener had dit moeten voorkomen. Zij zijn verantwoordelijk en moeten alle kosten dragen.” In een ander geval werd de algemeen directeur van de Engelse vestiging aangewezen als schuldige, omdat het voorlopige onderzoek suggereerde dat de aanval daar begonnen was. Je raadt het al: toen het onderzoek eenmaal afgerond was, bleek de eerste toegang in Duitsland te zijn verkregen.

De verantwoordelijkheid voor security en risicomanagement ligt bij de directie. Zij moeten vóór, tijdens en na een incident de leiding nemen. Dat betekent zorgen dat er maatregelen zijn om aanvallen te voorkomen, dat incidenten tijdig worden opgemerkt en dat er adequaat gereageerd kan worden.

En zelfs dan blijft er altijd een kans dat een organisatie getroffen wordt. Mocht dat gebeuren, dan hoop ik dat de directie zichtbaar aanwezig is, medewerkers ondersteunt en vooral de IT-afdeling laat voelen dat ze er niet alleen voor staan.

Binnen IT-teams zie ik namelijk vaak een mix van angst en schuldgevoel. De jonge IT-medewerker die weigert naar huis te gaan omdat hij denkt dat de aanval niet had plaatsgevonden als hij beter had opgelet. De systeembeheerder die haar eigen account niet meer durft te gebruiken, omdat dat account door de aanvallers is misbruikt. Wat als de directie denkt dat zij de oorzaak is? Of de IT-manager die vreest voor ontslag omdat nog niet alle beveiligingsmaatregelen waren ingevoerd.

Deze emoties komen vaak voort uit een groot verantwoordelijkheidsgevoel, maar ook uit de cultuur binnen een organisatie. Het is cruciaal dat fouten maken mag. Eén menselijke fout leidt in de meeste gevallen niet tot een grote cybercrisis. Als iemand in een phishing e-mail trapt, moeten er voldoende technische en organisatorische maatregelen zijn om te voorkomen dat dit direct uitmondt in een ransomware-aanval.

Wordt jouw organisatie toch slachtoffer, richt je dan op het beperken van de schade en het gezamenlijk oplossen van de crisis. En duikt ergens in dat proces de schuldvraag op? Dan is het antwoord simpel: de schuld ligt bij de cybercriminelen.

Als er bij je thuis wordt ingebroken, krijg je toch ook niet de schuld? Hetzelfde geldt voor cyberaanvallen. Hoe het juridisch zit met aansprakelijkheid tussen bestuurders en IT-dienstverleners, dat is werk voor juristen.

Is het je eigen schuld? Absoluut niet. Maar je kunt er wél voor zorgen dat de kans dat je slachtoffer wordt zo klein mogelijk is.

Boek Cybersecurity expert Lisa de Wilde voor jouw volgende evenement

Deze blog laat precies zien waar Lisa de Wilde voor staat. Cybersecurity gaat niet alleen over techniek maar vooral over mensen, leiderschap en cultuur. In haar lezingen voor directies, managementteams en IT-afdelingen maakt Lisa cyberrisico’s concreet en bespreekbaar. Ze combineert praktijkvoorbeelden uit echte cyberincidenten met scherpe inzichten over verantwoordelijkheid, besluitvorming en crisismanagement.

Lisa daagt organisaties uit om anders te kijken naar schuld, falen en veiligheid. Niet vanuit angst, maar vanuit eigenaarschap en samenwerking. Haar lezingen zetten aan tot reflectie en geven direct handvatten om cyberweerbaarheid structureel te verbeteren, zowel technisch als organisatorisch. Verwacht geen bangmakerij, maar een eerlijk en helder verhaal dat blijft hangen en aanzet tot actie.

Zoek je een spreker die cyber security begrijpelijk maakt voor niet-technische doelgroepen en tegelijk inhoudelijk sterk blijft voor professionals, dan is Lisa de Wilde een uitstekende keuze voor jouw organisatie.