In voorbereiding op de Cyber Security Week (2 t/m 5 oktober, 2018) in Den Haag schrijf ik in deze blog over de aanpak van de overheid in de missie het midden- en kleinbedrijf (MKB) cyberweerbaar te helpen maken. Dit zou een hoop schade kunnen voorkomen maar eenvoudig is het niet.
Afgelopen jaar is het ministerie van Economische Zaken en Klimaat druk bezig geweest met het opzetten van het Digital Trust Centre (DTC). Dit centrum helpt alle Nederlandse ondernemers – lees 1,6 miljoen MKB’ers – met de digitale veiligheid van hun onderneming. Een belangrijke missie; in 2016 was één op de vijf Nederlandse bedrijven slachtoffer van een cyberaanval waarvan de helft financiële schade ondervond. Bovendien groeit cybercrimede komende decennia, dat weet de overheid. Daarom wordt nu jaarlijks 2,5 miljoen euro uitgetrokken om de digitale dijken van de private sector op peil te brengen. Maar hoe gaat het DTC deze enorme klus klaren? De aanpak valt uiteen in twee doelen: informatievoorziening en het aanjagen van samenwerking.
Autogordels, bumpers en airbags zijn maatregelen die automobilisten in staat stelt om hun veiligheidsniveau op te krikken. Deze maatregelen zijn bekend, beschikbaar en verplicht. In het geval van de digitale omgeving zijn veiligheidsmaatregelen beschikbaar, maar niet altijd bekend en laat staan verplicht. Informatievoorziening gaat over kennis omtrent preventieve en reactieve cybersecuritymaatregelen die bedrijven kunnen toepassen. Een praktische uitwerking is de whitepaper 5 principes van veilig digitaal ondernemen’. Als alle MKB’ers deze digitale gordels omdoen, zou het algehele digitale veiligheidsniveau flink stijgen. Maar zo gemakkelijk gaat dat niet. Daarom jaagt het DTC ook samenwerking aan.
Dit zijn samenwerkingsverbanden tussen bedrijven binnen regio’s en georganiseerde branches. Deze (typische Nederlandse) samenwerkingsverbanden worden met jaarlijks 1 miljoen euro gesubsidieerd. Verwacht wordt dat kennis en ervaringen omtrent cyberveiligheid branche breed gedeeld wordt. Maar hoe kan aantoonbaar gemaakt worden dat de regio- en branchegeorganiseerde samenwerkingsverbanden daadwerkelijk zorgen voor meer cybersecurity onder het MKB?
Dit is volgens mij een belangrijke vraag. De minister geeft hierop antwoord door te spreken van een succes vanwege het hoge aantal subsidieaanvragen en de gewenste geografische spreiding. Vervolgens is wederom 1 miljoen euro gereserveerd voor nieuwe samenwerkingsverbanden, zonder te weten of deze aanpak effectief is. De focus op de outputgaat volgens mij voorbij aan het doel om ondernemingen te helpen met cybersecurity. Daarom is het waardevoller om de outcomescentraal te stellen om inzichtelijk te maken wat de samenwerking daadwerkelijk oplevert. Wanneer dat niet gedaan wordt, blijven samenwerkingsverbanden praatplatforms waarvan de waarde enkel gegist kan worden.
De regio- en branchegeorganiseerde samenwerkingsverbanden is een unieke aanpak om bedrijven cyberweerbaar te helpen maken. Ik onderschrijf de missie en denk dat veel winst behaald kan worden. Maar niet op de manier waarop resultaten van samenwerking nu inzichtelijk gemaakt worden. Het kan anders. Het is essentieel om te zien hoe door en voor ondernemers waarde gecreëerd wordt. Geen eenvoudige opgave, maar wel een erg belangrijke opgave waar ik mij in de toekomst voor wil inzetten.