Toch schieten veel bedrijven tekort in hun aanpak. Dit onderstreept de noodzaak om het concept van cyberweerbaarheid volledig te doorgronden en een gedeeld begrip van het belang ervan te ontwikkelen (WEF, 2024, p. 6). Ook de verschillende opvattingen over de aanpak van cyberrisico’s leiden tot verwarring. Velen hanteren een ‘kasteel-mentaliteit‘, waarbij de nadruk ligt op robuustheid tegen voorspelbare risico‘s. Voor anderen betekent dit juist het accepteren van onkenbare risico‘s en het leren omgaan met deze onzekerheden door middel van flexibiliteit. Deze meerduidigheid van het begrip ‘aanpak’ kan leiden tot verwarring en een gebrek aan duidelijke praktische toepassing (Dupont, Shearing, Bernier, & Leukfeldt, 2023). Het kan een negatieve invloed hebben op het vermogen om cyberrisico's te beheren. Deze verwarring wordt versterkt door de hype rond cybersecurity, waarbij leveranciers marketingtaal en hippe modewoorden gebruiken om hun producten te verkopen. Waar dit verschil in opvatting over de aanpak van cyberrisico’s toe kan leiden, wordt weerspiegeld in de rechtszaak die Delta Air Lines onlangs is gestart tegen het beveiligingsbedrijf CrowdStrike, als gevolg van de eerder besproken grootschalige storing in juli van 2024. Die storing leidde tot annuleringen en verstoorde reisplannen van 1,3 miljoen klanten van het luchtvaartbedrijf (zie figuur 5). De financiële schade bedroeg $500 miljoen, zegt het bedrijf.35 Delta zegt dat CrowdStrike ‘ongeteste en foutieve updates bij zijn klanten opdrong, met als gevolg dat meer dan 8,5 miljoen Microsoft Windows-gebaseerde computers wereldwijd crashten’, schrijft Reuters.36 Delta beschuldigt CrowdStrike van grove nalatigheid en wangedrag, onder meer omdat de problematische update niet gefaseerd naar klanten werd gedistribueerd, maar deze in één keer voor iedereen beschikbaar werd gesteld. CrowdStrike zegt dat de claims van de luchtvaartmaatschappij laten zien dat het bedrijf niet goed begrijpt hoe een moderne aanpak van cyberrisico’s werkt. ‘Het weerspiegelt een wanhopige poging om de schuld voor het trage herstel van zich af te schuiven’. Volgens CrowdStrike is dat trage herstel namelijk het gevolg van een verouderde IT-infrastructuur. Wat Crowdstrike hier eigenlijk zegt is dat de aanpak van cyberrisico’s door Delta niet meer van deze tijd is. Dat Delta teveel een cybersecuritystrategie heeft gevolgd, terwijl dat eigenlijk een cyberweerbaarheidsstrategie had moeten zijn. Wie heeft hier gelijk? Vrij van zorgen over cyberrisico’s 35 https://www.dutchitleaders.nl/news/512015/delta-air-lines-klaagt-crowdstrike-aan-na- grootschalige-storing-in-juli 36 https://www.reuters.com/legal/delta-sues-crowdstrike-over-software-update-that- prompted-mass-flight-2024-10-25/ 23
RkJQdWJsaXNoZXIy ODY1MjQ=