Cybersecurity is core business
Er gaat meer geld om in de cybercriminaliteit dan in de drugshandel. Eén op de vijf organisaties is het slachtoffer geweest van online aanvallen. Hackers zijn tegenwoordig medewerkers van bedrijven, met helpdesks en een HR-afdeling, maar wel binnen de georganiseerde misdaad.
Meer dan genoeg redenen dus om het thema opnieuw centraal te stellen. We spraken in GoedemorgenCommissaris met Frank Breedijk, CISO bij Schuberg Philis en ethisch hacker, en Erik Hoving, supervisory board myTomorrows en voormalig CTO bij KPN. Een verhaal over de ontwikkelingen rondom cybercrime en security en met name de urgentie van het onderwerp binnen alle takken van het bedrijfsleven.
Cybercrime is here to stay
Ondanks dat cybercriminaliteit wijdverspreid is, lijkt het alsof er nog een taboe op het onderwerp rust. De respondenten van het onderzoek dat Erik Hoving doet naar de staat van cybersecurity in het Nederlandse bedrijfsleven doen graag mee, maar wel graag anoniem. Frank Breedijk merkt schaamte bij organisaties die getroffen zijn door online aanvallen. Beide reacties zijn op zich niet vreemd, hoewel ze ook aangeven dat deze vorm van bedreiging nog niet gezien wordt als normaal bedrijfsrisico. Het is nog geen gemeengoed. Breedijk ziet dat dat ook geldt voor de verdediging tegen aanvallen. Zo is beveiliging vaak nog op basis van ‘bolt on’ in plaats van ‘build in’, het wordt gezien als toevoeging in plaats van geïntegreerd vereiste. Cybersecurity dient meer dan een bedrijfsafdeling te zijn, het is een bedrijfsinstelling.
Gelegenheid maakt de dief
Hackers zijn al lang geen nerds in hoodies op zolderkamertjes meer. Het zijn professionals. De gangbare werkwijze is het continu scannen van het internet op zoek naar zwakke plekken in systemen van willekeurige bedrijven. Soms wordt een specifieke organisatie bestookt, maar met name wordt er gezocht naar de makkelijke ingang bij eender welk bedrijf. Als die eenmaal gevonden is, neemt een volgende specialist het over om achterdeurtjes in te bouwen en verder binnen te dringen, met als doel systemen te gijzelen en losgeld te vragen. De online verwevenheid van personen en bedrijven zorgt ervoor dat niemand buiten schot blijft. Via een privépersoon kan bijvoorbeeld een toeleverancier van een corporate geïnfiltreerd worden, met alle gevolgen van dien.
Aangezien elke organisatie een potentieel doelwit is, komen de bedrijven die hun zaken niet op orde hebben als eerste aan de beurt. Een cybercrimineel is namelijk ook gewoon een ondernemer, maar dan met een belabberd moreel kompas. Zoals iedere ondernemer wil hij return on investment en de deur met het slechtste slot gaat het makkelijkst open.
Werk aan beveiliging
Hoe meer mensen er bij je organisatie werken, hoe kwetsbaarder je bent. Met meer onlinesystemen zijn er ook meer plekken om binnen te dringen. Verouderde of slecht geïntegreerde IT-systemen dragen ook bij aan de kwetsbaarheid. Een slechtere beveiliging dan die van de buurman vergroot ook het risico om gehackt te worden. Kortom: of je bedrijf aantrekkelijk is voor hackers hangt van veel factoren af. Om de stap te zetten naar betere cybersecurity geven Hoving en Breedijk advies:
Manage de risico’s
Cybersecurity is gebaseerd op risico’s. Niet alles is dicht te timmeren, in praktische zin of vanuit financiële overwegingen. Maak de balans op tussen beveiligingsbudget en de kosten van een breach. Het risiconiveau moet acceptabel zijn. Bescherm de kroonjuwelen goed en accepteer restrisico’s. Even offline zijn is voor de meeste organisaties overkomelijk, langer offline zijn niet.
Een goede risico-inschatting houdt ook in dat een organisatie beseft dat er nooit sprake is van volledige controle. Deze kwetsbaarheid is niet iets om te relativeren, maar juist iets om heel serieus te nemen.
Meet
De mate van kwetsbaarheid is in beginsel te meten. Er zijn systemen op de markt die inzicht geven in de zwakken plekken. Beveiliging kan op bepaalde punten getest worden, waarbij de uitkomst een goed beeld geeft van de kwaliteit van de totale beveiliging, ook in relatie tot die van peers.
Haal expertise in huis en stel vragen
De eerste stap om als commissaris meer kennis in huis te halen, is toegeven dat je het onderwerp niet snapt. Zorg voor experts aan tafel en stel samen de goede vragen. Wat is de kwetsbaarheid? Hoe kwetsbaar zijn de systemen? Wat zijn de risico’s? Welke onderdelen van het bedrijf zijn vitaal? Wie is verantwoordelijk? Is er een plan voor als het misgaat?
Behandel cybercrime als een bedrijfsrisico en cybersecurity als een integraal onderdeel van de bedrijfsvoering.
Maak een plan en oefen
In het geval van een cyberaanval is het eerste uur cruciaal. Er moet een plan liggen waarin verantwoordelijkheden benoemd zijn en een aanpak vast ligt. Test dit plan door een aanval te simuleren en een dry run uit te voeren. Blijf alert en check als organisatie periodiek of de zaken nog op orde zijn.
Cybersecurity is here to stay
Erik Hoving en Frank Breedijk zien dat er nog grote stappen gezet moeten worden. Daarnaast is er het besef dat er al een verandering gaande is. Grote organisaties nemen partners in hun keten mee in het verbeteren van de veiligheid en binnen sectoren worden gezamenlijke platforms opgericht om kennis te delen. Waar cybercrime voorheen puur als risico bekeken werd, wordt het tegenwoordig meer als onderdeel van de business gezien. Ook zijn cyberexperts en ciso’s beter in staat het gesprek te voeren met het bestuur. Die ontwikkelingen zijn positief en broodnodig, want ook de hackers blijven in beweging.