De cruciale rol van een veilige meldcultuur bij cybersecurity

Het CSBN 2025 laat zien dat Nederland te maken heeft met verschillende soorten cyberaanvallen, zoals ransomware, spionagecampagnes, DDoS-aanvallen en gerichte aanvallen op vitale infrastructuur. Opvallend echter is dat een aanzienlijk deel van de incidenten niet ontstaat door geavanceerde hacks, maar door kwetsbaarheden in systemen. Het rapport noemt onder meer softwarefouten, foutieve updates en verouderde systemen. Het zijn juist deze onbedoelde fouten die een ideale ingang voor cyberaanvallen vormen. Cybercriminelen kunnen bijvoorbeeld misconfiguraties of verouderde software misbruiken om vervolgens diep in een netwerk door te dringen. Menselijke fouten dragen hieraan bij. Denk bijvoorbeeld aan medewerkers die op een phishing-link klikken, of documenten die verkeerd worden geüpload.

Cyberveiligheid is dus niet alleen een technisch probleem, maar ook een menselijk en organisatorisch probleem. Veel incidenten komen namelijk voort uit een gebrek aan digitale basishygiëne, en niet zozeer uit een tekort aan technologische capaciteit. Het CSBN benadrukt daarom dat de oplossing niet primair ligt in steeds complexere verdedigingsmechanismen, maar in het versterken van de digitale basisprincipes, zoals opgesteld door het NCSC en DTC. Daaronder valt onder andere het tijdig installeren van updates en het goed beheren van toegang tot data en diensten. Ook het signaleren en melden van fouten en incidenten wordt benoemd, wat direct raakt aan organisatiecultuur.

De link tussen cybersecurity en een veilige meldcultuur

Effectieve cyberveiligheid valt voor een groot deel samen met menselijk gedrag en de cultuur van een organisatie waar incidenten plaatsvinden. Mensen zijn immers de zwakste schakel in digitale veiligheidssystemen: door onoplettendheid, het maken van fouten of de gevoeligheid voor omkoping. Zo blijkt uit onderzoek dat één op de drie Nederlanders wel eens te maken heeft gehad met phishing. In werkelijkheid zouden deze cijfers nog veel hoger kunnen liggen, aangezien niet iedereen altijd zal toegeven dat ze door phishing zijn misleid. Schaamte en angst voor repercussies spelen hierbij een grote rol.

We zien hier een direct verband met integriteitsschendingen. Mensen die zich niet veilig voelen om integriteitsschendingen te melden, zullen zich vrijwel zeker niet veilig voelen wanneer ze een fout maken met cybersecurity. Ook bij integriteitskwesties geldt dat wanneer medewerkers incidenten niet durven te melden, situaties veel groter kunnen worden dan ze al zijn. Wanneer organisaties hun werknemers afstraffen voor het maken van fouten, demotiveert dit werknemers om aan de bel te trekken. Daardoor worden deze organisaties niet alleen gevoeliger voor integriteitsschendingen, maar ook in toenemende mate voor cybercriminaliteit.

Organisatiecultuur speelt daarom een belangrijke rol bij het bevorderen van digitale veiligheid. Zo is het essentieel dat organisaties goed begrijpen welke risico’s voor hen relevant zijn. Dat betekent dat medewerkers moeten worden getraind in het herkennen van mogelijke incidenten, maar ook dat zij incidenten durven te melden wanneer er iets misgaat. Alleen dan kunnen organisaties tijdig ingrijpen en schade beperken.

Veilige meldcultuur als voorwaarde

De inzichten uit het CSBN 2025 laten zien dat technologische maatregelen slechts een deel van de oplossing vormen. Veel incidenten vinden hun oorsprong in menselijke fouten en een gebrek aan basishygiëne. Een veilige meldcultuur is daarom geen bijzaak, maar een absolute voorwaarde voor cybersecurity. Organisaties die medewerkers ruimte geven om fouten te melden, vergroten hun weerbaarheid voor zowel integriteitsschendingen als cyberdreiging.

Eerder dit jaar publiceerde TI-NL een handreiking om organisaties te begeleiden in het opzetten van een effectieve meldregeling en zo te ondersteunen bij het creëren van een veilige meldcultuur. De handreiking kan hier kosteloos worden gedownload.