Cyberveiligheid in culturele organisaties

Cybercriminelen weten ook culturele organisaties te vinden. Het is dus van essentieel belang dat we de cyberveiligheid in de sector optimaliseren. DEN ontwikkelde daarom samen met de deskundigen van adviesbureau TwynstraGudde het Stappenplan Cyberveiligheid. We spraken hierover met Gijs Meijer, senior adviseur bij DEN, en Christine Boelema Robertus, adviseur en onderzoeker bij TwynstraGudde.

7 min.28 feb `25

“We zien steeds meer digitale dreigingen”, vertelt Christine. “Soms specifiek gericht op culturele instellingen, soms op organisaties die hun beveiliging niet op orde hebben. In dat laatste geval zien cybercriminelen een mogelijkheid om die organisaties af te persen. Het is belangrijk dat culturele instellingen zich tegen dit soort dreigingen wapenen om zo samen weerbaar en veerkrachtig te worden. Hiervoor bestaat onder andere de online Cyberveilig tool. “Dit stappenplan is hierop een mooie aanvulling. We willen de culturele sector hiermee helpen zich beter voor te bereiden op mogelijke incidenten. En mocht het dan toch mis gaan, dan bieden we hiermee ook een handvat om effectiever te reageren en waar nodig dingen te herstellen”, vult Gijs aan. De Cyberveilig tool geeft een actielijst met begrijpelijke instructies om je basisbeveiliging - vandaag nog - op orde te brengen. Dat is de eerste stap die je als culturele organisatie moet zetten. Daarna ga je aan de slag met het stappenplan voor verdere verdieping en extra maatregelen.

Waarom cyberveiligheid in de cultuursector een urgent thema is

Binnen de culturele sector wordt frequent gebruikgemaakt van digitale systemen, bijvoorbeeld voor ticketverkoop, donateur beheer en de registratie van kunstcollecties. Dat maakt instellingen kwetsbaar voor cyberaanvallen. Denk aan datalekken, ransomware (‘gijzelsoftware’ die behoorlijke schade kan toebrengen) of zelfs sabotage van klimaatsystemen in musea. De impact van een aanval kan groot zijn. Denk bijvoorbeeld aan financiële schade, reputatieschade of juridische problemen.

Gijs en Christine geven enkele voorbeelden van wat er mis zou kunnen gaan. Een museum zou te maken kunnen krijgen met een datalek, waarbij persoonsgegevens van bezoekers en donateurs worden vrijgegeven. Er zijn musea die bijna dagelijks phishing mails ontvangen, dan zit een ongeluk in een klein hoekje. Een ander voorbeeld is dat een museum door een aanval met ransomware de toegang tot gedigitaliseerde collecties kan verliezen. Theaters zouden bijvoorbeeld getroffen kunnen worden door een DDoS-aanval waardoor het ticketsysteem uitvalt. Christine: “En dit zijn geen hypothetische scenario’s waarbij je kunt denken dat het jouw instelling niet zal overkomen. Het gaat hier echt om een realistische dreiging die zich elke willekeurige dag zou kunnen voordoen.”

Bescherm de ‘kroonjuwelen’ van jouw culturele instelling

In het Stappenplan Cyberveiligheid wordt gesproken over ‘kroonjuwelen’. Dit zijn de meest essentiële processen, systemen en gegevens voor een organisatie. Voor een museum kunnen dit bijvoorbeeld een digitale kunstcollectie en klimaatbeheer zijn, en bij een theater is met name het reserverings- en ticketsysteem essentieel. Zonder deze ‘kroonjuwelen’ kan een organisatie niet functioneren. Daarom is het cruciaal om ze te identificeren en goed te beveiligen. Als culturele instelling moet je dit dus goed in kaart brengen én actie ondernemen.

Christine: “Daar hoort bij dat je je moet afvragen of het mogelijk is om alle risico’s af te dekken. In de praktijk zal dit heel lastig zijn, dus daarom moet je ook rekening houden met ‘risicoacceptatie’. Dat houdt in dat je bepaalt welke risico’s je accepteert.” Om een goede afweging te maken, moet je als organisatie drie vragen beantwoorden:

    • Wat kan er misgaan?
    • Hoe groot is de kans dat dit gebeurt?
    • Wat is de impact als het gebeurt?

Op basis hiervan kun je keuzes maken over welke middelen je als organisatie inzet om de risico's te beperken en/of te accepteren. Op die manier is het een bewuste keuze. 

Effectieve maatregelen

Om de cyberrisico’s te beheersen komen in het stappenplan verschillende beheersmaatregelen aan bod, waaronder:

  • Governance: Wijs eigenaarschap toe voor kritische processen en zorg voor duidelijke procedures.
  • Beleid: Stel eisen aan leveranciers en implementeer een duidelijk beveiligingsbeleid.
  • IT-security: Gebruik sterke authenticatie, netwerksegmentatie en versleutel gevoelige data.
  • Awareness: Train medewerkers regelmatig in cybersecurity, bijvoorbeeld als het gaat om het herkennen van phishing mails.

Doorlopend proces

Gijs benadrukt dat cyberveiligheid geen eenmalige actie is. “Het is een doorlopend proces. Bedreigingen veranderen continu, en organisaties moeten hun maatregelen blijven toetsen. Daarom is het zo belangrijk dat we dit stappenplan nu lanceren om instellingen een helpende hand te bieden.” En wat ook ontzettend belangrijk is, is dat het onderwerp regelmatig aan de orde komt binnen organisaties en dat er een cultuur heerst waar eventuele problemen bespreekbaar zijn. Christine: “Medewerkers moeten zich veilig voelen om incidenten te melden, bijvoorbeeld als ze per ongeluk op een phishing-link hebben geklikt. Organisaties moeten leren van fouten en incidenten analyseren om structurele verbeteringen door te voeren. Training en bewustwording zijn hierin cruciaal.”

Extra ondersteuning: CyberVeilig Check

Voor extra ondersteuning heeft DEN de CyberVeilig Check voor de cultuursector ontwikkeld. Hiermee kunnen organisaties onderzoeken hoe goed ze op dat moment beschermd zijn. Dat is een goed startpunt om verdere stappen te zetten.

Deel dit artikel

Gijs Meijer gelooft in strategische samenwerkingen om de hele cultuursector toekomstbestendig te maken. Daarnaast is Gijs het aanspreekpunt op het actuele thema cyberveiligheid en publieksdata.

Manager innovatie & ecosysteem

Meer artikelen per onderwerp

Ontdek de laatste digitale trends in de cultuur sector

Ontvang iedere maand onze nieuwsbrief met tips, kennis en inspiratie over de digitale transformatie in cultuur.