Cyberveiligheid in culturele organisaties

“We zien steeds meer digitale dreigingen”, vertelt Christine. “Soms specifiek gericht op culturele instellingen, soms op organisaties die hun beveiliging niet op orde hebben. In dat laatste geval zien cybercriminelen een mogelijkheid om die organisaties af te persen. Het is belangrijk dat culturele instellingen zich tegen dit soort dreigingen wapenen om zo samen weerbaar en veerkrachtig te worden. Hiervoor bestaat onder andere de online Cyberveilig tool. “Dit stappenplan is hierop een mooie aanvulling. We willen de culturele sector hiermee helpen zich beter voor te bereiden op mogelijke incidenten. En mocht het dan toch mis gaan, dan bieden we hiermee ook een handvat om effectiever te reageren en waar nodig dingen te herstellen”, vult Gijs aan. De Cyberveilig tool geeft een actielijst met begrijpelijke instructies om je basisbeveiliging - vandaag nog - op orde te brengen. Dat is de eerste stap die je als culturele organisatie moet zetten. Daarna ga je aan de slag met het stappenplan voor verdere verdieping en extra maatregelen.

Waarom cyberveiligheid in de cultuursector een urgent thema is

In het Stappenplan Cyberveiligheid wordt gesproken over ‘kroonjuwelen’. Dit zijn de meest essentiële processen, systemen en gegevens voor een organisatie. Voor een museum kunnen dit bijvoorbeeld een digitale kunstcollectie en klimaatbeheer zijn, en bij een theater is met name het reserverings- en ticketsysteem essentieel. Zonder deze ‘kroonjuwelen’ kan een organisatie niet functioneren. Daarom is het cruciaal om ze te identificeren en goed te beveiligen. Als culturele instelling moet je dit dus goed in kaart brengen én actie ondernemen.

Christine: “Daar hoort bij dat je je moet afvragen of het mogelijk is om alle risico’s af te dekken. In de praktijk zal dit heel lastig zijn, dus daarom moet je ook rekening houden met ‘risicoacceptatie’. Dat houdt in dat je bepaalt welke risico’s je accepteert.” Om een goede afweging te maken, moet je als organisatie drie vragen beantwoorden:

• Wat kan er misgaan?
• Hoe groot is de kans dat dit gebeurt?
• Wat is de impact als het gebeurt?
  

Op basis hiervan kun je keuzes maken over welke middelen je als organisatie inzet om de risico's te beperken en/of te accepteren. Op die manier is het een bewuste keuze. 

Effectieve maatregeling 

Doorlopend proces

Gijs benadrukt dat cyberveiligheid geen eenmalige actie is. “Het is een doorlopend proces. Bedreigingen veranderen continu, en organisaties moeten hun maatregelen blijven toetsen. Daarom is het zo belangrijk dat we dit stappenplan nu lanceren om instellingen een helpende hand te bieden.” En wat ook ontzettend belangrijk is, is dat het onderwerp regelmatig aan de orde komt binnen organisaties en dat er een cultuur heerst waar eventuele problemen bespreekbaar zijn. Christine: “Medewerkers moeten zich veilig voelen om incidenten te melden, bijvoorbeeld als ze per ongeluk op een phishing-link hebben geklikt. Organisaties moeten leren van fouten en incidenten analyseren om structurele verbeteringen door te voeren. Training en bewustwording zijn hierin cruciaal.”