Het is een indrukwekkende persconferentie. Op z’n Amerikaans, dus met burgemeester, omringd door serieus kijkende geüniformeerde gezagsdragers. De stad Atlanta wordt in gijzeling gehouden door ‘ransomware’ en ligt voor het grootste deel plat.

Een befaamde modeontwerper wordt elke keer, net voordat zijn nieuwe ontwerpen uitkomen, geconfronteerd met exact dezelfde ontwerpen ‘voor een prikkie’ uit een oosters land.

Een succesvolle webshop is in één keer alle gegevens van zijn klanten kwijt en kan ze tegen een matsprijsje terugkrijgen op het dark web.

Een hypotheekorganisatie wordt getroffen door een DDoS-aanval en kan ruim een week geen e-mail ontvangen. Een goededoelenorganisatie vindt ‘uiterst vertrouwelijke’ gegevens terug in een krantenartikel.

IJsberg

Is er nog één bestuurder of toezichthouder die beweert dat ‘het wel losloopt met dat cybergedoe’, veroorzaakt door gewiekste chanteurs, bedrijfsspionage, gelegenheidshackers, teleurgestelde ex-medewerkers of ‘onderzoeksjournalistiek’, met als basis pure lol of beoogd winstbejag? Overigens geeft ‘dat cybergedoe’ vanuit de genoemde motivatie gelijk het topje van de ijsberg aan. Want wat eronder zit is té professioneel om op te vallen. Een échte hacker meldt niet dat-ie is geweest en laat het achterdeurtje keurig op een onopvallend kiertje staan.

Voor bestuurders en toezichthouders een regelrechte nachtmerrie zou je zeggen, die je koste wat kost wil voorkomen. Toch niet helemaal. Want in de praktijk schuift die bestuurder of toezichthouder ongemakkelijk op zijn of haar stoel in de hoop dat het zijn of haar deur voorbijgaat. Het is namelijk té ingewikkeld, een ict-zaak, typisch iets voor adviseurs en negeren is ook een keuze. En als het dan gebeurt, hebben de emoties de overhand: ongeloof, boos, verontwaardigd of regelrechte paniek.

Bestuurder = incompetent. So what?

Laten we de conclusie maar trekken dat de gemiddelde directeur, CEO, DGA, RvB’er, commissaris of toezichthouder volkomen incompetent is als het om cybersecurity gaat. En dat terwijl we inmiddels over de 10 miljard euro bedrijfsschade zijn voor grote bedrijven en over de 1 miljard euro voor het mkb. In meer dan 30 procent van de gevallen is een cybersecurityprobleem een bedreiging voor het voortbestaan van het bedrijf. De meest kwetsbare sectoren zijn zonder twijfel de energie, techniek en luchtvaart. Toch is geen enkele sector uitgezonderd.

“Cyberrisico’s zijn niks meer of minder dan alle andere risico’s die bedrijven op hun bord vinden”

Inmiddels is cyberinsecurity gestegen naar de derde plaats op de wereldwijde risicolijst van Allianz. Op nummer 1 staat disruptie van de voorraadketen, en wijzigende marktontwikkelingen vinden we terug op plaats 2.

Naast het risico van discontinuïteit van een bedrijf hebben we het ook over claims (een plaag in de US) en vooral de reputatieschade die een CEO in een kramp laten schieten. Het gevolg is dat er een schuldige wordt gezocht (zelden de CEO zelf) en er heftige investeringen op volgen in de vorm van peperdure zwarte dozen en idem monitoringsoftware.

Kern

Allemaal paniekwerk dat voorkomen had kunnen worden. Want cyberrisico’s zijn niks meer of minder dan alle andere risico’s die bedrijven op hun bord vinden: van brandgevaar tot vallende stellingen, van importverboden tot omkoopschandalen.

Elke ondernemer die ‘gewoon’ wil blijven ondernemen, blijven innoveren en samenwerken, zal zich bewust moeten zijn van de (informatie)risico’s die worden gelopen. Dus zijn de woorden ‘proactief’ en ‘riskmanagement’ ook hier van toepassing. Samen vormen zij de weerbaarheid van het bedrijf wanneer er een cyberaanval komt. Want dat die komt, staat vast. Het is alleen de vraag wanneer kwaadwillenden de aanval openen. Ondernemers kunnen de gok niet nemen dat hackers en cybercriminelen hun bedrijf links zullen laten liggen. Wie dat wel doet, neemt een gecalculeerde gok…

Dus…

Zorg dat er een overzicht is van de risico’s die je loopt met cruciale informatie/data. Cruciaal in de vorm van ontwerpen, vertrouwelijke informatie, klantengegevens, personeelsdata, toegangscodes, et cetera. Hoe cruciaal deze kroonjuwelen voor het bedrijf zijn, weet je alleen zelf. Maar duidelijk is dat je juist die gegevens niet bij anderen terecht wil laten komen. Je wil er ook de toegang toe behouden om het bedrijf te kunnen laten functioneren.

Daarnaast moet je inzicht hebben in wat je al in huis hebt. Niet alleen in de vorm van een firewall, gescheiden opslag of encryptie, maar vooral ook in welke deskundigheid je in huis hebt om in het geval van een cyberprobleem door te kunnen werken of adequaat te kunnen reageren op een aanval of ontvreemding. Daarbij gaat het om detectie, monitoring, respons en preventie.

Bij detectie moet je denken aan het tijdig ontdekken van afwijkingen ten opzichte van het normale patroon. Signalen die je waarschuwen voor inbraak of ontvreemding van data. Bij monitoring maak je gebruik van systemen om je datastromen te volgen en vast te leggen wie wat doet (ook om achteraf makkelijker te achterhalen wat er fout ging). Respons in snelheid en adequaatheid bepaalt de mate waarin je schade lijdt als het erop aankomt.

Preventie gaat over de cultuur van de organisatie. Houdt iedereen zich aan de afspraken om niet op verdachte links te klikken, tijdig paswoorden te wisselen of de nieuwste tips te raadplegen? Is iedereen zich bewust van de risico’s die men loopt als er iets misgaat?

De basis = beter

De échte diehards hebben uiteraard al bij de aanschaf of bouw van systemen en netwerken de beveiliging ingebouwd in het ontwerp, de architectuur, van het systeem. Als je een auto koopt denk je er immers ook vooraf aan welke beveiliging je erin wil hebben, toch?

Net zoals je je regelmatig laat aanvallen om er zeker van te zijn dat je zelf de lekken in je systeem te weten komt, voordat een ander dat doet.

Die diehard weet ook dat cybersecurity geen IT-zaak is, maar een bestuurlijke verantwoordelijkheid. Daarbij wordt afgewogen of een investering in één of meerdere van de vier genoemde aspecten de moeite waard is – of dat bewust het risico wordt genomen dat het een keer fout gaat. Het totale risicoprofiel van het bedrijf is dan de leidraad. Wat is je business en is het stelen van je informatie de moeite waard? Heb je veel verloop in je personeel? Heb je te maken met actiegroepen? Zijn je klantendata sowieso openbaar beschikbaar of ben je het spreekwoordelijke onschuldige schaap?

100 procent kan niet

Een échte diehard weet dat 100 procent waterdicht niet bestaat. Je loopt dus altijd risico’s.
Spiegel je dan maar aan het internationale accountants- en adviesbureau Deloitte Global en de cybersecurityspecialist Fox IT: beide werden eerder al gehackt. Bedrijven die daar overigens ook op mochten rekenen. Deloitte heeft een aantal cybersecuritydeskundigen in dienst, dus hoe leuk is het niet om als hacker juist daarbinnen te komen. Dat geldt nog meer voor Fox IT dat in de media te boek staat als het bedrijf van de cybersecuritygoeroes. Dan mag je er geheid op rekenen dat je een leuk doel bent.

“De echt succesvolle hack komt nooit of pas veel later boven water”

Hoe dan ook, de echt succesvolle hack komt nooit of pas veel later boven water. Dus ook als je denkt dat je potdicht zit is dat geen enkele garantie. De ontwikkelingen gaan razendsnel en bij bijna elke nieuwe release van applicatie/netwerksoftware of hardware-upgrades is er voor elke hacker een nieuwe kans om toe te slaan. En denk dan ook even aan de open cultuur die steeds is gepredikt, waarin medewerkers van tijd tot tijd hun verantwoordelijkheid simpelweg vergeten. En vergeet ook al die externe partners niet waar je contact mee hebt of die webcam op de parkeerplaats die via je netwerk is verbonden met een cloud…

De vragen

Het is natuurlijk wel makkelijk als je de principes begrijpt van vpn-verbindingen, encryptie of testomgevingen. Menig bestuurder of toezichthouder ontbeert die kennis echter.

Dus geven we nog maar een keer de voornaamste basisvragen (met het risico dat je het antwoord niet kunt beoordelen):

  • Welk risicoprofiel heeft het bedrijf, ofwel: hoe aantrekkelijk ben je om aan te vallen omdat je gegevens waarde hebben voor een derde?
  • Waar zijn die gegevens opgeslagen c.q. worden ze actief ingezet en hoe worden ze nu gezekerd tegen misbruik?
  • Hoe is de beveiliging nu geregeld intern en extern (bij partners)? Welke bekwaamheden zijn er en worden die bijgehouden?
  • Welke (incidentele en structurele) investeringen is het bedrijf bereid te maken in detectie, monitoring, respons en preventie? En zijn deze adequaat te achten?
  • Wat gebeurt er als er ondanks alles gegevens verdwijnen en/of processen of systemen worden stilgelegd? Hoe snel zijn die weer beschikbaar voor de continuïteit?
  • Welke beveiligingscultuur is er in het bedrijf en wordt deze (in overeenstemming met het risicoprofiel van het bedrijf) actief gehouden?
  • Welke communicatieafspraken (in- en/of extern gericht) zijn er in het geval het misgaat, met name om reputatieschade te beperken?
  • Wanneer en hoe vaak worden de kwaliteit en risico’s van de eigen cyberkeuzen op operationeel en bestuurlijk niveau geëvalueerd dan wel getest? Zijn er benchmarks/industriestandaarden? En wat doen bestuurders er zelf aan om de impact ervan te begrijpen en beheersen?
  • Welke escalatieprocedure is er afgesproken?

Is het je allemaal teveel, dan weet je dat de kans groot is dat je je eigen data ergens op het dark web kunt terugkopen. Maar dan zijn je data ook wel belangrijk genoeg. Wat mij brengt op de laatste tip: kijk eens welke data er over het algemeen wordt aangeboden en of die van jou in dezelfde categorie valt…

Ten slotte: geen maatregelen nemen en bewust een (deel)risico aangaan om je ondernemingszin niet te frustreren, daar is niks mis mee. No guts, no glory!

Meer weten? Regelmatig publiceren we over digitale ontwikkelingen op commissarissen.nl.