Cybersecurity: CFO’s weten wél waarom maar weten niet hóe
Veel CFO’s hebben behoefte aan informatie over hoe de digitale risico’s van hun organisatie geminimaliseerd kunnen worden. Dat werd duidelijk in de Cyber Security Masterclass van Northwave, in het Scheepvaartmuseum in Amsterdam. Op de bijeenkomst liet een groep CFO’s, afkomstig uit een breed scala van sectoren zich door experts van Northwave informeren over mogelijke bedreigingen, maatregelen en oplossingen voor hun organisatie.
Northwave’s securityadviseur Edward Ho trapte de bijeenkomst af door te vertellen over de eigen ervaringen en gesprekken met CFO’s en hun IT-teams. Uit die gesprekken blijkt volgens de cyberexpert, dat het bij veel CFO’s vaak aan voldoende kennis ontbreekt over bestaande en nieuwe regelgeving. Hij haalde daarbij een voorbeeld aan, waarbij een Nederlands politiekorps de privacyregelgeving had overtreden. Deze schending leidde tot een boete van 50.000 euro. “Dit voorbeeld laat zien dat zelfs overheidsdiensten niet op de hoogte zijn van de actuele regelgeving en de risico’s die dat met zich meebrengt”. Volgens Ho geldt dat ook voor de financieel bestuurders, terwijl zij vaak wél verantwoordelijk zijn voor veiligheid van alle digitale- en netwerkactiviteiten van een onderneming.
Kennis van CFO over nieuwe regel- en wetgeving
Bovenop de onduidelijkheid over bestaande regels bestaat óók onvoldoende kennis over aankomende wet- en regelgeving. Ho verwees hiervoor (onder meer) naar de Europese richtlijn NIS2. Deze Brusselse richtlijn moet door Europese lidstaten gevolgd worden en raakt vooral de inrichting van cyberveiligheid bij organisaties en bedrijven, die als ‘vitaal’ worden aangemerkt. Maar nog lang niet alle CFO’s weten of de sector, waarin hun organisatie opereert, volgens NIS2 als ‘vitale sector’ wordt aangemerkt. Deze toets is van belang omdat voor de bedrijven in vitale sectoren nieuwe beveiligingsmaatregelen gaan gelden die geïmplementeerd moeten worden. Naast NIS2-regelgeving voor bedrijven die tot nu toe nog niet te maken hadden met regelgeving, hebben volgens Ho ook bedrijven die al wel verplicht zijn om veilig te werken, onvoldoende besef en kennis van komende regelgeving.
Vrijwel elke organisatie loopt de kans op gijzeling door ransomware
Naast onvoldoende kennis over regelgeving, werd in de bijeenkomst ook duidelijk dat er een gebrek aan concrete kennis over de verschillende dreigingen bestaat. Dit maakt het lastig om de juiste dreigingsanalyse te maken en de juiste maatregelen te nemen. Cyberdreigingsexpert Michel Mollema van Northwave gaf voorbeelden van de belangrijkste cyberdreigingen voor organisaties. Volgens de expert loopt vrijwel elke organisatie – groot of klein, ongeacht de sector – de kans gegijzeld te worden door ransomware. Wanneer dat gebeurt kan ‘niemand meer iets op zijn of haar computer doen’.
Dit overkwam bijvoorbeeld een kaasleverancier van een van de grootste supermarktketens van ons land. De aanval en de aanpak op de voedingsproducten duurde weliswaar maar enkele dagen maar de geoptimaliseerde logistieke keten van de supermarkt ondervond nog geruime tijd de lasten en kosten van de gijzeling.
Emails vaak beginpunt van fraude
Nummer twee in de top van cyberrisico’s, zijn de valse e-mails (business email compromise genoemd). Dit overkwam een van de grootste bioscoopketens van ons land. Het financieel personeel had te goeder trouw meerdere male opvolging gegeven aan een serieus ogende email, die verzocht om een betaling te voldoen. Door deze overboekingen uit te voeren werd op onrechtmatige wijze geld overgemaakt naar een rekening van criminelen, zonder dat alarmbellen op de financiele afdeling af gingen.
De emailfraude kostte het bedrijf uiteindelijk meerdere miljoenen, terwijl simpele maatregelen dit hadden kunnen voorkomen. Volgens de expert komt deze vorm van fraude vaker voor maar worden die vaak niet of onvoldoende bespreekbaar gemaakt binnen organisaties.
Spionage van binnenuit
Naast emailfraude en ransomware, wees de expert ook op een veelvoorkomende vorm van digitaal bedrog: bedrijfsspionage. Ook deze staat volgens Mollema in de top van belangrijkste cyberrisico’s. Recent werd bijvoorbeeld de Nederlandse chipmachinemaker ASML slachtoffer van deze vorm van spionage. Probleem van dit type is dat de dader vaak een volwaardig personeelslid is en daarom toegang heeft tot gevoelige informatie. Northwave wijst er dan ook op dat het voorkomen van dergelijke bedrijfsspionage voorkomen kan worden door een reeks aan maatregelen.
Tipje van de cybersecurity sluier
In het tweede deel van de middag, ging de directeur bedrijfsveiligheid Talitha Papelard-Agteres dieper in op de maatregelen die CFO’s kunnen nemen. Volgens de cybersecurity-expert moeten CFO’s eerst een juiste analyse van de combinatie van ‘dreiging en kwetsbaarheid’ (laten) maken. Deze dreigingsanalyse geeft namelijk meer duidelijkheid over de kans op cyberproblemen en laat ook zien welke maatregelen nodig zijn. Zo zijn bijvoorbeeld wachtwoorden van 12 tekens of meer –zonder spaties– beduidend veiliger dan wachtwoorden van 8 tekens of minder.
“Vergelijk het met het ene huis in de straat waar een camera bij de deur hangt; inbrekers kiezen dan voor een huis dat deze afschrikking níet heeft. Zo is het ook met de lengte van wachtwoorden.”, aldus haar collega Ho. Hij gaf de aanwezigen dan ook het advies om verplicht een dreigingsanalyse te laten opstellen voor- en door- de belangrijkste functies en IT-beheerders binnen een bedrijf. Met een lang wachtwoord (minimaal 12 karakter, maar bij voorkeur 16 karakters) is het regelmatig wijzigen van een wachtwoord niet meer nodig. “Het gevaar van vaak veranderen is dat mensen makkelijke wachtwoorden blijven gebruiken. Maar als het vanuit vertrouwen en verandermanagement goed voelt om het af en toe nog te doen, doe het dan 1 keer per jaar.”
De aanwezige CFO’s toonden daarnaast ook veel interesse in adviezen ten aanzien van de multi-factoraanbieders en passwordmanagers door CFO’s en organisaties.
Maatregelen om te voorkomen
In de bijeenkomst wezen zowel Papelard-Agteres als Ho op het belang van het aanbrengen van ‘verschillende lagen van beveiliging’ voor de IT-omgeving. Belangrijk daarbij is het personeel mee te krijgen in de maatregelen, maar anderzijds moet de controle over de bedrijfsvoering behouden en beheersbaar blijven. Toch is het van belang niet alleen maatregelen in te voeren. Het is volgens de experts minstens zo belangrijk goed te handelen nadát er zich een incident heeft voorgedaan. Uit de praktijk blijkt namelijk dat betrokkenen niet genoeg doen als ze een cyberprobleem signaleren. “Melden van zaken die verkeerd zijn gegaan, gebeurt nog te weinig”, aldus Papelard-Agteres. Schaamte, angst en onwetendheid liggen hier vaak aan ten grondslag. Hierdoor blijven zaken onduidelijk en kan er niet of onvoldoende op ingegrepen worden; reden voor de adviseurs om ook vanuit de psychologie naar cyberveiligheid te kijken.
Cyber Security Quickscan
Om de cybersituatie van CFO’s duidelijk in kaart te brengen, konden de aanwezigen ter plekke een simpele survey van het cybersecuritybedrijf invullen; de Northwave Cyber security Quickscan. Daarin werden onder meer simpele meerkeuzevragen gesteld, die op een makkelijke wijze zaken in kaart brengen, bijvoorbeeld over de mate waarin bedrijven werken met gevoelige persoonsgegevens, over de risico’s van de buitenlandse activiteiten of over de kennis over wet- en regelgeving.
Ook kwam uit de enquête naar boven dat CFO’s onvoldoende weten wie eerstverantwoordelijk is voor het security managementsysteem, wat de afspraken met de leveranciers zijn omtrent security en welke afdeling verantwoordelijk is voor het informeren en trainen van het personeel. De experts van Northwave konden de aanwezige bestuurders goed van advies voorzien toen het aspect van aansprakelijkheidseisen voor beveiligingspartners, ter sprake kwam. De vragenlijst richtte zich ook op duidelijk krijgen van de kwetsbare processen en natuurlijk de grootste cyberdreigingen voor de aanwezige organisaties: de factor mens binnen cybersecurity.
Vertrekkende werknemers
Als voorbeeld werd het voorbeeld gegeven van vertrekkende werknemers. In sommige gevallen nemen zij hun opgebouwde klantenbestand of andere informatie mee. “Is het in uw organisatie mogelijk om deze bestanden te kopiëren en te downloaden?”, zo vroeg Ho retorisch aan de aanwezigen. De controle en verantwoordelijkheid van mensen die uit dienst gaan, wordt als risico te vaak en te veel onderschat. Zo blijkt uit de praktijk dat het wachtwoord en overige toegang van vertrekkend personeel niet altijd tijdig en geheel wordt ingetrokken. Northwave adviseert dan ook vooral vérder te kijken naar alleen digitale maatregelen.