De digitale buddy

‘Cybercriminelen kunnen industriële processen volledig laten ontsporen’

Cybersecurity is een topprioriteit voor moderne toezichthouders. Maar hoe krijg je als commissaris de vinger achter zo’n abstract onderwerp? Het antwoord is verrassend helder: door goed in de materie te duiken, desnoods met hulp van een digitale buddy. Een hack kan levens kosten...

In BDO Scope geeft Aloys Kregting, naast CIO bij AkzoNobel commissaris bij Ordina en toezichthouder bij UMC Utrecht, zijn visie op het thema cybersecurity. Kregting is een kleine dertig jaar actief in ICT en sleepte twee maal de CIO of the Year Award in de wacht. Ook voor raden van commissarissen is kennis van ICT en cyber security een must, vindt Kregting.

Realiseren bedrijven zich voldoende het belang van cybersecurity?

‘Dat besef neemt zeker toe, maar verschilt per sector. In kantoorautomatisering en sectoren als finance zijn organisaties al erg ver. Maar in de maakindustrie lopen veel bedrijven nog achter. Het gevaar voor de industrie is dat cybercriminelen van buitenaf processen volledig kunnen laten ontsporen. En dat kan heel gevaarlijk uitpakken. Vijf jaar geleden werd een kernreactor in Iran een tijdlang platgelegd door een wormvirus van buitenaf. In mijn tijd bij Numico produceerden we klinische voeding voor patiënten met zeer specifieke voedingseisen; als je die voeding opeens niet meer kunt leveren omdat de fabriek is platgelegd door een hack, kan dat levens kosten.’

Hoe staat het met het cyberbewustzijn in de bestuurskamers?

‘Het onderwerp staat steeds vaker op de agenda bij rvc’s en raden van toezicht. Commissarissen worden steeds vaker ook specifiek uitgezocht op hun ICT-kennis. Die kennis is dan uiteraard niet alleen bedoeld als wapen tegen cybercrime, maar vooral tegen de achtergrond dat ICT de efficiency en effectiviteit binnen iedere organisatie volslagen kan veranderen. Voor elk bedrijf geldt dat het niet de vraag is óf het digitaal moet transformeren, maar wanneer. Daarmee neemt de gevoeligheid voor cybercrime direct en lineair toe.’

Hoe moet je als bedrijf die cybersecurity organiseren?

‘Je moet uitgaan van een model met “three lines of defense”. Ten eerste de externe audit: hierbij kun je je mate van cybersecurity laten testen door een externe partij. Die stuurt bijvoorbeeld spamberichten naar medewerkers en probeert systemen te hacken. Kijk wat er dan gebeurt en leer daarvan. Binnen AkzoNobel sturen we nu een paar jaar spamberichten naar medewerkers; het percentage dat erin tuint daalt heel snel, dus dat werkt. Ten tweede de interne audit: dat is de verantwoordelijkheid van de ICT-afdeling waar cybersecurity onder valt. Die moet het cybersecurity-beleid bepalen en implementeren, het gedrag van medewerkers sturen. En ten derde alle medewerkers op de werkvloeren: slagen zij erin om elk spambericht tijdig als zodanig te herkennen? Bespreken ze nooit bedrijfsgeheimen in bijvoorbeeld een volle trein? Geven ze nooit passwords af aan derden...’

Hoe houd je als commissaris concreet toezicht op het cybersecurity-beleid van de onderneming?

‘Als commissaris heb je de plicht erop toe te zien dat het management alle mogelijke maatregelen neemt om de cyberrisico’s van het bedrijf in kaart te brengen en daar de juiste acties op te nemen. Vervolgens moet je als commissaris ook echt doorvragen: niet alleen het geformuleerde beleid checken maar ook de externe verificatie van cybersecurity-acties. En zorgen dat je de resultaten daarvan zélf onder ogen krijgt. Je moet je er net zolang in verdiepen tot je een juist beeld hebt.’

Toch blijf je als commissaris dan nog op afstand. Moet je ook op dit dossier ‘het bedrijf ingaan’, sowieso een trend onder toezichthouders?

‘Dat kan. Voor meer aspecten uiteraard dan alleen cybersecurity. Als je de werkvloer op gaat, krijg je een veel beter gevoel voor het engagement van medewerkers, hun drive voor innovatie en hun omgang met cybersecurity. Dat laatste zit 'm soms in kleine dingen. Kun je als bezoeker makkelijk doorlopen bij de bewaking? Hebben medewerkers hun password op de rand van hun beeldscherm geplakt? Liggen vertrouwelijke documenten open op een bureau, of in de printer op de gang? Dan krijg je al een aardig gevoel.’

Veel commissarissen hebben daar geen kaas van gegeten. Hoe zorg je dat je niet met een kluitje het riet in wordt gestuurd?

‘Kijk altijd naar de resultaten van de externe audits. Ik heb zelf een uitgebreide IT-achtergrond, maar andere commissarissen voelen zich soms ongemakkelijk bij dit onderwerp. Ze weten van de dreiging, maar niet hoe je je daartegen kunt wapenen. Ze moeten dan alsnog relevante kennis op dit gebied opdoen. Dat kan via gesprekken met professionals in cybersecurity of met hulp van een “digitale buddy” vanuit het bedrijf zelf, een ICT-kenner vanaf de werkvloer. Bij Unilever deden we dat destijds, en dat werkte heel goed. Als je als commissaris je onwetendheid negeert en je kop in het zand steekt, is dat eigenlijk een vorm van nalatigheid.’

Als een bedrijf steken heeft laten vallen op gebied van cybersecurity, zijn de commissarissen daar dan medeverantwoordelijk voor?

‘Als je niet kunt aantonen dat je al je toezichthoudende taken hebt vervuld en aantoonbaar nalatig bent geweest, zou je in het uiterste geval hoofdelijk aansprakelijk kunnen worden gesteld.’

Hoe houdt u als commissaris binnen Ordina toezicht op het gevoerde cyber ecurity-beleid?

‘Wij hebben binnen de raad van commissarissen een auditcommissie opgezet die specifiek focust op zaken als compliance, privacy van medewerkers en klanten én cybersecurity. We kijken of het bedrijf daar serieus mee omgaat, en of ze het van buitenaf laten toetsen. We analyseren dan de uitkomsten van dat soort externe verificaties. Dat leidt tot nu toe altijd tot verbeteringen in het cybersecurity-beleid.’

Wat zijn voor een ICT-bedrijf als Ordina de grootste cyberrisico’s?

‘Ordina detacheert veel professionals bij klanten en levert dus vooral kennis en innovatie. Daarnaast levert Ordina diverse ICT-services, dus er is altijd een risico. Voor Ordina is het grootste risico, zoals voor zoveel ICT-bedrijven, de imagoschade die zou ontstaan na een cyberlek.’

Ten slotte, zullen cybercriminelen bedrijven altijd een stap voor blijven?

‘Ik vrees van wel. Ze hebben het tij mee: bedrijven digitaliseren in rap tempo, leggen steeds meer digitale verbindingen, waardoor hun kwetsbaarheid toeneemt. Tegelijk zie je een professionaliseringsslag bij cybercriminelen. Er valt voor hen steeds meer te halen. Bedrijven moeten echt versneld hun cybersecurity op orde krijgen. Als er ooit een Derde Wereldoorlog komt, zal dat een Cyber War zijn. Landen zullen elkaar proberen plat te leggen door elkaars digitale infrastructuur lam te leggen. Overheden moeten daarom een leidende rol spelen in verdere cybersecurity.’

Wilt u meer informatie over cybersecurity? Neem dan contact op met Sandra Konings, partner Cyber Security bij BDO. Download BDO Scope https://www.bdo.nl/nl-nl/perspectieven/bdo-scope-cyber-security