En dat maakt het volgens hem ook zo gevaarlijk. “Je ziet het bij consumenten maar ook bij organisaties. Vaak wordt een nieuwe tool geïntroduceerd met het argument dat het handig is en pas daarna komen we er achter dat er heel veel persoonsgegevens mee worden verzameld.”

Modderkolk schrijft als journalist al jaren artikelen over beveiligingsdiensten en digitalisering. In zijn boek doet hij verslag van een langdurig onderzoek, waarin hij aantoont dat de wereld veranderd is en het gevaar van onverwachte kanten komt. Zowel voor regeringen, individuen als bedrijven.

Maar wat zijn de gevolgen van cyberspionage en cybercriminaliteit voor de invulling van de rol van de CIO en de CFO en de relatie tussen beide functies binnen de boardroom? Want elk bedrijf is kwetsbaar, daar zijn alle aanwezigen het over eens. Zij geven dan ook aan het eigenlijk nooit goed genoeg te kunnen doen, omdat je nooit kunt zeggen dat je secure bent als bedrijf. Meerdere aanwezigen geven dan ook aan in het verleden gehackt te zijn. En hoewel de CIO en CFO vaak gezamenlijk verantwoordelijkheid dragen en een hack moeten terugkoppelen aan de Raad van Commissarissen, voelen CIO’s toch ook vaak een spanningsveld bij CFO’s tussen veiligheid enerzijds en de kosten van investeringen anderzijds.

Het helpt dus eigenlijk om een keer gehackt te worden, is een van de conclusies van de rondetafelsessie. Want in de boardroom is er wel awareness, maar vaak niet het bewustzijn dat als er 90 procent veiligheid is, het ook nog steeds onveilig is. Waar de kwetsbaarheid zit verschilt natuurlijk ook per bedrijf, maar de CIO’s zijn het er over eens dat je ervan uit moet gaan dat iemand je gaat hacken. Dus het beste is om te bedenken welke data en of informatie het ergste zou zijn om te verliezen of waarmee cybercriminelen aan de haal zouden kunnen gaan.

Daarmee samenhangend signaleren de CIO’s een duidelijke verschuiving in het beleid. Waar het voorheen draaide om protect, het beschermen en afschermen van data, gaat het nu vaker om restore. Er moet dus een incident response plan klaarliggen. Je bent zo zwak als je zwakste schakel, dus de remedie is om vooral de impact te beperken als je te maken krijgt met een aanval.

Aanvallen worden in ieder geval steeds ingenieuzer wat ook komt doordat de verdienmodellen gigantisch zijn. Continuïteit en security zijn altijd met elkaar in conflict. Er moet dus continu een afweging worden gemaakt. Want wat zijn de kosten per dag als je bedrijf platligt? Aan de andere kant moeten processen en dienstverlening voor en aan klanten zo makkelijk mogelijk zijn. Alles dichttimmeren heeft sowieso geen zin.

Het perspectief van de CIO is altijd hoe dit te organiseren binnen het bedrijf. Verplichte trainingen worden al snel als superirritant ervaren. De vraag leeft dan ook hoe het leuk te houden. En dan blijkt het toch weer om bewustwording te draaien. Modderkolk maakt de vergelijking met een fiets die je op slot zet. “In Amsterdam gebruik je zelfs twee sloten want anders weet je bijna zeker dat je fiets wordt gestolen. Tegelijkertijd hebben heel veel mensen geen slot op hun telefoon of laptop zitten of zet niemand zijn Google-maps locatievoorziening elke keer uit. Daarvoor moet je moeite doen.” En daar moeten medewerkers zich dus ook van bewust worden en blijven.