Get ready or get help!

Interview
Cybercrime: de vraag is niet of u ermee te maken krijgt, maar wanneer
 
Oud-Commandant der Strijdkrachten Dick Berlijn heeft een nieuw strijdtoneel. Als senior board advisor bij Deloitte wijst hij organisaties op de gevaren van cybercrime. Zelf is hij geen nerd en ook toezichthouders hoeven ook geen halve hackers te zijn, volgens Berlijn. ‘Het gaat om de goede vragen stellen.’
 
Dick Berlijn trapt af met een aantal confronterende cijfers. Cybercrime leidt bij de G20-landen jaarlijks tot 2,5 miljoen verloren banen. En volgens een rapport van TNO kost alleen in Nederland cybercrime bedrijfsleven en overheid al een slordige tien miljard euro. Ofwel: 1,5 tot 2 procent van het BBP. Verder: 90 procent van de Amerikaanse bedrijven heeft de afgelopen twaalf maanden te maken gehad met een cyberaanval. Bij 60 procent ging het om twee of meer digitale aanvallen. De helft van de bedrijven heeft niet het idee dat het de komende jaren beter zal gaan; 90% van de websites heeft een lek. Koppel dat aan de 73.000 vormen van malware die dagelijks bijkomt. Dat er serieuze dreiging is, hoeft verder geen uitleg. Berlijn maakt duidelijk dat software overal is en dat dus ook overal risico’s zitten.
 
Ook in de zogenaamde Industrial Control Systems, die systemen bedienen als sluizen, slagbomen en verkeersregelsystemen. Ze worden veelal op afstand bediend en zijn dus ook soms – als de beveiliging van systemen niet goed is geregeld - extern door anderen te bereiken. ‘Hackers hebben maar één gaatje nodig.’ Volgens Berlijn zijn we ons vaak niet bewust van de gevaren. Hij geeft het voorbeeld van bepaalde implantaten als brain-stimulators voor mensen met parkinson. ‘Op de een of andere manier is zo’n systeem soms aan een extern netwerk gekoppeld en dus kunnen niet-geautoriseerde mensen er op afstand bij.’ Berlijn merkt dat de grote bedrijven -Shell, banken- zich bewust zijn van cybercrime en hun zaken grotendeels op orde hebben. Maar hij schrikt nog wel eens van andere partijen. ‘Zeker organisaties als ziekenhuizen realiseren zich vaak niet dat ze over veel en belangrijke data beschikken, die door kwaadwillenden kan worden gebruikt.
 
Doen we genoeg tegen cybercrime?

‘Cyber is een mondiaal medium en cybercrime dus een mondiaal probleem. Maar er is op dit moment geen sprake van een mondiale aanpak. Geen NSS-achtige top over cybercrime. Zijn we internationaal wel overeengekomen hoe we ons op een autoweg moeten gedragen en maken we bijvoorbeeld op het gebied van het klimaat wel afspraken met elkaar, op cybergebied is er weinig over de grenzen heen geregeld. Het wordt niet coherent aangepakt. Belangrijke initiatieven, zoals het “Partnering for cyber resilience”-programma van het World Economic Forum zijn er wel, maar bedrijfsleven, overheid en instellingen als de EU pakken het allemaal vanuit de eigen zuil aan. Er moet nog veel samen gebeuren. En we moeten meer proactief gaan handelen. Vroeger zat je op je kostbaarheden in je kasteel en wachtte je op de vijand die het had voorzien op die kostbaarheden. Reactief dus. Maar data en netwerken laten zich niet meer op die manier beschermen. Nu moet je meer proactief de zaken regelen. Dus uit het kasteel, de dorpen in en luisteren welke signalen je op kunt pikken die wijzen op ophanden zijnde aanvallen. Die informatie moet ook worden gedeeld met anderen opdat sneller een vollediger omgevingsbeeld ontstaat. Bedrijven realiseren zich vaak niet dat ze wel degelijk interessant zijn voor cybercriminelen. Te vaak wordt gedacht: die informatie is toch niet interessant voor derden.’

Wat is de rol van besturen en toezichthouders hierin?

‘De vraag die bestuurders zich moeten stellen is: zijn wij op het gebied van cybercrime wel echt in control? Wat zijn onze bedreigingen en kwetsbaarheden? Hebben we voldoende preventieve maatregelen genomen? Hebben we wel eens gedacht aan hoe een worst case-cyberscenario er voor onze organisatie uitziet? Hebben we afdoende duidelijk gemaakt aan medewerkers dat het gebruik van social media in relatie tot bedrijfsgegevens kwetsbaar kan maken? Dat soort vragen moet gesteld worden. Daarmee zeg ik niet dat je als RvB of RvC een gespecialiseerd lid moet hebben dat alles van cybercrime weet. Ik ben ook geen IT-specialist, maar ik heb inmiddels wel begrepen hoe het met de verantwoordelijkheden van bestuurders staat als het om cyber gaat. Het gaat erom dat je je vergewist of het intern goed is geregeld. Of alle maatregelen zijn genomen die je kunt nemen om je te behoeden voor incidenten die niet nodig zijn. Het risico is dat je als antwoord op de vraag: “Zijn we ons bewust van cyberrisico's” een ja te horen krijgt, maar dat is wat anders dan dat het ook goed geregeld is. Vraag door. De toon aan de top is daarbij belangrijk. Maak de consequenties duidelijk.´

Hoeveel zorgen moeten we ons maken?

‘Het is niet de vraag of een bedrijf gehackt wordt, maar wanneer. Iedereen krijgt ermee te maken. Dus: neem maatregelen! En als je niet weet wat je dan precies allemaal kunt doen: vraag om hulp! Wacht niet op een incident. Een bom een vliegtuig in smokkelen is tegenwoordig lastig, omdat er heel goed wordt gecontroleerd. Het is voor een hacker echter een stuk makkelijker om een bedrijf digitaal te kraken. Er is sprake van onderschatting van het probleem: is de iPad die je meeneemt naar huis met bedrijfsgegevens, wel zo veilig?´

Wat doet Deloitte op het gebied van cybercrime?

´We hebben een grote volwassen Enterprise Risk-praktijk. Daarbinnen hebben we een team van “ethical hackers” die kunnen testen of een bedrijf op het gebied van cyber goed beveiligd is. Vervolgens adviseren we over welke verbeteringen mogelijk zijn. Daarbij volgen wij de “NIST -cycle”: Aware, Prepare, Monitor, Alert, Respond en Recover. Laat je als organisatie eerst tegen het licht houden, doe een assessment hoe je ervoor staat. Neem vervolgens beschermingsmaatregelen. Hierbij gaat het niet alleen om IT-zaken, maar bijvoorbeeld ook om awarenessprogramma’s en bestuurlijke aspecten. Vergewis je vervolgens van een goede monitorcapaciteit op basis waarvan je je netwerkverkeer kunt volgen en zorg dat er een incidentresponscapaciteit staat die goed geoefend en getraind is.'

Klik hier voor meer informatie.

 

Auteur(s)
Ronald Buitenhuis
Dit artikel is gepubliceerd in
GU2014apr

Nationaal Register

Jan van Nassaustraat 93
2596 BR Den Haag
T 070-324 30 91
info@nationaalregister.nl

Volg ons op social media

Governance Update nieuwsbrief