Cybercrime nog niet genoeg op radar financials

Over de voordelen van ‘de digitale transformatie’ voor CFO’s, wordt veel geschreven. Wekelijks verschijnen er blogs, krantenartikelen en whitepapers over het automatiseren van financiële processen waardoor we allemaal meer tijd overhouden voor mooie zaken als business partnering en hogere vormen van datamining. Algoritmes die doorwrochte financiële en strategische inzichten kunnen creëren uit een steeds aanzwellende hoeveelheid (bedrijfs)data. Slimme IT en automatisering stellen ons in staat om met een druk op de knop complexe forecasts te maken die financieel risicomanagement naar nieuwe dimensies belooft te brengen.

Cybercrime: geen issue voor finance?
Maar tot zover het goede nieuws. Volgens Frank Verbeeten, als professor verbonden aan de Faculteit Economie en Bedrijfskunde van de UvA, valt er nog wel een slag te maken in het bewustzijn van de financial rondom de risico’s van data en digitalisering. De UvA-faculteit houdt met enige regelmaat surveys onder financials en CFO’s over de digitale transformatie. In 2020 nog werden 120 CFO’s en andere financials ondervraagd over de issues op het gebied van data die zij belangrijk vonden.

Een opvallende uitkomst van het UvA-onderzoek onder financials: het onderwerp cybersecurity staat relatief laag op de prioriteitenladder. Verbeeten vermoedt overigens dat security-bewustzijn wel leeft, maar dat men er op vertrouwt dat ‘ICT het wel regelt’. Een gevaarlijk idee volgens Verbeeten: “De financiële schade die wordt veroorzaakt door cybercrime en ransomware is namelijk levensgroot. In 2017 presenteerde Deloitte een groot onderzoek naar de schade die digitale misdaad toebrengt aan de Nederlandse economie. Die schade werd toen geschat op 10 miljard euro per jaar.”

Vervlechting cybercrime, spionage en maatschappelijke ontwrichting
Zowel bedrijven als overheden lopen niet vooraan om hun probleem op de publieke agenda te krijgen. De reden van bedrijven om incidenten onder de pet te houden: het voorkomen van reputatieschade. Maar ook overheden willen incidenten graag zo lang mogelijk uit de media te houden, om vijandige geheime diensten niet in de kaart spelen in hun doel: maatschappelijke en economische ontwrichting. Het gevolg is dat cybersecurity vaak een schaduwgevecht achter de schermen blijft.

Volgens Prins, hebben we een enorm probleem: “Wat we in de krant lezen is het topje van de ijsberg. Ook economische spionage is een toenemend probleem, zeker voor Nederland. We lopen hier voorop in research en development, op alle terreinen, van zaadveredeling en scheepsbouw tot bio-technologie. En die kennisindustrie is geld waard – maar alleen als we onze kennis ook kunnen verkopen. Dat laatste wordt lastig wanneer technologische innovatie onder je neus wordt weggepikt door hackers, of door overheden zelf. Digitale spionage is echt een sluipmoordenaar voor bedrijven die miljoenen investeren in onderzoek dat vervolgens via een digitaal achterdeurtje wordt doorverkocht. Het valt minder op dat ransomware, maar een aantal sectoren hebben het nu echt op hun netvlies – gewoon omdat ze merken dat hun hightech kennis opeens opduikt bij partijen die het niet zelf hebben ontwikkeld.” Volgens Prins is de waarheid hard: “Soms moet je eerst klappen krijgen om wakker te worden.”

Cybercrime: steeds meer een boardroom issue
Erik Schrijvers en Ronald Prins, twee experts op het gebied van cybercrime, zien dat steeds meer organisaties nadenken over het managen van hun IT-afhankelijkheid. Prins: “Het is verstandig om als bedrijf of organisatie goed te kijken van welke partijen je afhankelijk bent op het gebied van IT. Een te sterke afhankelijkheid van een systeem maakt kwetsbaar. Ook CEO’s en CFO’s van bedrijven zouden wat ons betreft ook meer moeten kijken naar hun IT, misschien wel samen met inkoop. Wat zijn voorwaarden waaraan je bedrijfsinfrastructuur moet voldoen om robuust te zijn in het geval van digitale ontwrichting? Het is echt een boardroom issue, niet voor de toekomst, maar voor nu.”

Klappen vangen
Als klappen vangen en leergeld betalen de enige manier is om te dealen met de dark side van technologie, dan is de grote vraag: hebben we inmiddels al genoeg klappen gehad? Michiel Steltman, directeur van de stichting Digitale Infrastructuur Nederland (DINL) denkt van niet – maar is op de grote lijnen niet pessimistisch. Hij pleit al jaren voor meer openheid van zaken omtrent cybercrime en vindt het bijvoorbeeld onverteerbaar dat het Nationaal Cyber Security Centrum (NCSC), dat onder Justitie en Veiligheid valt, bedrijven die niet zijn aangewezen als ‘vitale organisaties’, niet mag waarschuwen als er aanwijzingen zijn dat ze bedreigd worden. Hierdoor zijn volgens Steltman Nederlandse bedrijven onnodig gehackt.

Toch denkt hij dat gematigd optimisme gepast is: “Je merkt dat er een zekere volwassenheid komt in het besef van de risico’s. Uiteindelijk is niet de techniek het gevaar, maar de manier waarop wij er als mens mee omgaan. Dat geldt ook voor een broodmes, een auto, of een balpen…”