Seminar: 'Grip op cybersecurity vanuit de boardroom'

22 maart jl. ontvingen we vele van u tijdens een live seminar in de Johan Cruijff ArenA in Amsterdam. Centrale vraag: Wanneer weet je nu of je genoeg doet om je organisatie te beschermen tegen cyberaanvallen?

Een verslag

Wanneer weet je nu of je genoeg doet om je organisatie te beschermen tegen cyberaanvallen? Wanneer is goed, goed genoeg? Dat is de vraag die centraal stond tijdens de bijeenkomst ‘Grip op cybersecurity vanuit de boardroom’ die PwC onlangs organiseerde voor zo’n zeventig commissarissen en toezichthouders. Uit de bijdragen van cyberexperts van binnen en buiten PwC kwamen vragen naar voren die zij kunnen stellen aan de besturen waar zij toezicht op houden.

Uit de jaarlijkse CEO Survey van PwC die in januari werd gepubliceerd kwam al naar voren dat als er iets is waar CEO’s wakker van liggen, het cyberrisico's zijn. Volgens de survey ziet 58 procent van de CEO’s cyberaanvallen als een zeer grote bedreiging voor de bedrijfsvoering.

Zorgen over cybersecurity zijn zeer terecht En die zorgen zijn terecht en reëel, zeiden de experts van binnen en buiten PwC tijdens de bijeenkomst. Iedereen kent de verhalen uit de media van bedrijven die dagenlang plat liggen door een aanval met ransomware of innovatieprocessen die verstoord worden door spionage of diefstal van intellectueel eigendom. Overheden waarschuwen organisaties actief voor cyberaanvallen omdat zij deel uitmaken van oorlogsvoering en, geopolitieke concurrentie tussen landen, terwijl de technische ontwikkelingen soms nauwelijks bij te houden zijn. Kortom: er is een harde case for security.

Bedrijven waar nooit iets gebeurt, bestaan niet Volgens deskundigen is het niet zozeer de vraag óf bedrijven een keer worden gehackt, maar wanneer dat gebeurt. Voor commissarissen en toezichthouders is het zaak om de besturen en directies de juiste vragen te stellen om vast te kunnen stellen of al het redelijke is of wordt gedaan om organisaties zo goed mogelijk te beschermen. Een ‘red flag’, volgens één van de experts, is of commissarissen en toezichthouders regelmatig worden geïnformeerd over incidenten. ‘Als dat niet zo is, klopt dat niet. Organisaties waar nooit iets gebeurt, bestaan niet.’

Vragen die commissarissen kunnen stellen over cybersecurity: Uit de bijdragen van PwC’ers Gerwin Naber en Angeli Hoekstra en externe sprekers Ronald Prins (voorheen Fox IT, nu Hunt & Hackett), Lodewijk van Zwieten (Openbaar Ministerie) en Aernout Reijmer (CISO, ASML) kwam een aantal punten naar voren waar commissarissen en toezichthouders op moeten letten en vragen over kunnen stellen aan de besturen of directies waarop zij toezicht houden.

Waar ligt de focus van het securitybeleid ? De inspanningen van veel organisaties is nu gericht op preventie, terwijl hackers veel schade aanrichten nadat zij zich toegang hebben verschaft tot een netwerk. ‘Tachtig procent van alle inspanningen zijn gericht op het dichthouden van de deur, terwijl er veel winst is te behalen in detectie en respons. Alleen de dijken verhogen helpt niet,’ aldus Ronald Prins.

Hoe staat het met de toeleveranciers? Gerwin Naber, partner bij PwC haalt het voorbeeld aan van een grote cyberaanval in de haven van Rotterdam die niet direct gericht was op containerterminals maar die ontstond door een kettingreactie door hacks in de systemen van toeleveranciers. Cybersecurity draait daarom niet alleen om de beveiliging van de eigen organisatie, maar om die van het hele ecosysteem. Dat betekent dat organisaties eisen kunnen stellen aan het niveau van beveiliging van hun toeleveranciers, maar het betekent evenzeer samenwerking en kennisdeling.

Is er voldoende budget? Beveiligen betekent investeren. ‘Er zijn geen shortcuts,’ aldus Aernout Reijmer van ASML. Reijmer zegt dat organisaties die nog niet voldoen aan bepaalde maturity-niveaus rekening moeten houden met investeringen die kunnen oplopen tot acht procent van het IT-budget. Dat geldt voor zowel kleine als grote bedrijven. Kleinere bedrijven hebben vaak een minder complexe digitale infrastructuur, maar zijn weer afhankelijk van derde partijen aan wie ze de bescherming (deels) uitbesteden. Grote bedrijven zijn juist vaak vaak juist wel complex, maar hebben budget om eigen capabilities op te bouwen.

Wordt er getest? Security betekent eveneens: vaak en regelmatig testen, zeggen alle deskundigen. Schakel vriendelijke hackers in voor het uitvoeren van penetratietesten. En laat (externe) assessments doen op de systemen, ook op die van het ecosysteem. Een externe toets levert vaak verdere mogelijkheden tot verbetering op. En ze dienen als bewijs voor de belanghebbenden van een organisatie dat zij er er alles aan doet om zichzelf te beschermen.

'Je kunt de hacker zien in de gedaante van een spion of een nerd met een hoodie, maar ook als een ondernemer. Cybercriminelen doen vaak niet alles zelf, maar hebben ook een supply chain.'

Lodewijk van Zwieten

Staat cybersecurity op het netvlies bij grote veranderingen? Cybersecurity-specialist Angeli Hoekstra zegt dat ze nog vaak verbaasd is over de gebrek aan risicobewustzijn bij bestuurders als het gaat om cyberveiligheid. ‘Bij grote veranderingen in een bedrijf - een systeemimplementatie of een overname - wordt lang niet altijd gekeken naar het veiligheidsaspect, terwijl juist door grote veranderingen de risico’s ontstaan. Zij wijst ook op de risico’s bij de ontwikkeling van producten, die steeds vaker digitaal zijn en verbonden met het internet. ‘Al tijdens het ontwerp moet je rekening houden met de vraag hoe je hacks kunt voorkomen. producten moeten ‘secure by design’ zijn.

Delen we kennis met de overheid? De oproep om samen te werken met de overheid komt van Cybercrime Prosecutor bij het Openbaar Ministerie, Lodewijk van Zwieten. Hij benadrukt het belang van het aanpakken van de oorzaken van cybercriminaliteit: de grote winsten die cybercriminelen binnenharken. Hij wil daarom meer zicht krijgen op en het aanpakken van het criminele businessmodel. De ervaringen die het bedrijfsleven opdoet met cybercriminaliteit zijn daarbij voor het Openbaar Ministerie van groot belang. Van Zwieten: ‘Je kunt de hacker zien in de gedaante van een spion of een nerd met een hoodie, maar ook als een ondernemer. Cybercriminelen doen vaak niet alles zelf, maar hebben ook een supply chain. Ze huren diensten in om onder de radar te blijven, om testen te doen, om verdiensten naar de reële economie over te hevelen. De return on investment is nu hoog genoeg, maar als wij de cost of business omhoog weten te krijgen, waardoor de risico’s groter en de opbrengst lager wordt, kunnen we langs die weg in ieder geval een deel van het probleem oplossen.’