Nederlandse goede doelen zijn nog onvoldoende voorbereid op digitale dreigingen. Dat concludeert The Trusted Third Party (TT3P) naar aanleiding van het onderzoeksrapport ‘Cybersecurity bij Nederlandse goede doelen’. De digitale transformatie, die goede doelen veel heeft gebracht, heeft er ook voor gezorgd dat cybercrimes als phishing, datalekken en DDoS-aanvallen een groeiend gevaar vormen.
Recent onderzoek in het Verenigd Koninkrijk heeft uitgewezen dat goede doelen net zo kwetsbaar zijn voor cyberaanvallen als commerciële- of overheidsinstanties. Daarbij kunnen beveiligingsincidenten grote gevolgen hebben voor het vertrouwen van het publiek.
‘In een tijd waarin digitale aanwezigheid essentieel is, moeten goede doelen niet alleen innoveren, maar ook beschermen,’ zegt Patrick Jordens, CEO van TT3P. ‘Met dit rapport willen we de urgentie duidelijk maken dat goede doelen hun cybersecurity serieus moeten nemen.’
Kwetsbare positie
In het rapport gaat TT3P onder andere in op de redenen waarom goede doelen kwetsbaar zijn. Non-profitorganisaties dienen mee te gaan met de digitale transformatie om hun impact te kunnen vergroten, maar hebben vaak te weinig capaciteit (in tijd, geld, kennis of personeel) om zich voldoende te wapenen tegen cybercriminaliteit. Tegelijkertijd bezitten goede doelen wel veel gevoelige gegevens die interessant kunnen zijn voor cybercriminelen. TT3P benadrukt in het rapport ook het unieke risicoprofiel van ideële organisaties: sommige organisaties kunnen aangevallen worden door ‘hacktivisten’ of statelijke actoren om het werk van de organisatie te dwarsbomen.
Aanval op het Internationale Comité van het Rode Kruis
In 2022 schreef Vakblad fondsenwerving over een cyberaanval op het Internationale Comité van het Rode Kruis, die ook in het onderzoeksrapport wordt geanalyseerd.
Bewustzijn verbeteren en samenwerken
Hoe staat de goededoelensector er dan voor? Volgens TT3P kan het bewustzijn van cybersecurity veel beter. Op bestuursniveau ontbreekt vaak de kennis en in het geval van hacksituaties hebben organisaties vaak geen gedegen plan van aanpak. Daarnaast zijn er meer mogelijkheden voor de optimalisatie van cybersecurity die niet of nauwelijks worden benut, zoals het invullen van de functie van security officer.
In het rapport beschrijven de onderzoekers een aantal praktische stappen die goede doelen kunnen ondernemen. In de basis stellen zij het uitvoeren van cybersecurity-inventarisaties en -evaluaties en het uitrollen van informatiebeveiligingsbeleid voor. Ook op het gebied van bewustwording kunnen grote stappen worden gezet.
Verder wordt samenwerking op het gebied van cybersecurity aangemoedigd. Zo pleit TT3P voor het bouwen van netwerken van goede doelen en andere relevante organisaties om de collectieve weerbaarheid tegen cyberdreigingen te vergroten. Dat kan onderling tussen grote en kleine goede doelen, via de Handreiking Cybersecurity van brancheorganisatie Goede Doelen Nederland, maar bijvoorbeeld ook met behulp van ethische hackers die proactief beveiligingslekken kunnen opsporen.
Het volledige onderzoeksrapport ‘Cybersecurity bij Nederlandse goede doelen’ is hier te downloaden.
