“Ik ben als CFO wel 30 procent van mijn tijd bezig met ICT-vraagstukken.”

"Het is niet meer te voorkomen dat je slachtoffer wordt van cybercriminaliteit. Dus wordt het steeds belangrijker dat je goed monitort op aanvallen en snel reageert als die zich voordoen." Dat was een van de conclusies van de rondetafelbijeenkomst cybercriminaliteit op de CFO Day 2022 onder leiding van Northwave, expert op het gebied van digitale beveiliging.

"De vraag is niet of je het slachtoffer wordt van cybercriminaliteit, maar wanneer", "We krijgen er allemaal mee te maken", en "Ik ben als CFO wel 30 procent van mijn tijd bezig met ICT-vraagstukken, voornamelijk op het vlak van cybersecurity." Het zijn enkele uitspraken die over tafel vliegen tijdens de bijeenkomst over cybersecurity onder leiding van Talitha Papelard, Director Business Security van beveiligingsexpert Northwave op de CFO Day van dit jaar.

Duidelijk is dat net als bij de traditionele misdaad zich ook in de cybercriminaliteit een voortdurend kat en muisspel afspeelt, met criminelen aan de ene kant en bedrijven die zich tegen hun aanvallen verdedigen aan de andere kant. Waarbij criminelen aan de winnende hand zijn. Want: online criminelen kunnen snel handelen, zonder te worden gehinderd door allerlei wetten, regels en gedragscodes. Vandaar dat je veilig kunt stellen dat iedereen vroeg of laat slachtoffer zal worden van cybercriminelen. Of liever gezegd: iedereen waar criminelen denken dat er wat te halen valt. Bedrijven, overheden en gezondheidsinstellingen voorop.

Extreme schade
Cyberaanvallen, cyberdiefstal en cyberspionage kunnen extreme schade toebrengen. Reputatieverlies, beschadiging van het klantvertrouwen verstoring van de bedrijfsvoering zijn maar enkele schadeposten. Daarbovenop kan nog een boete komen vanwege overtreding van de AVG, die kan oplopen tot miljoenen euro's. Langdurige financiële sores is vaak ook het gevolg, vooral door de tijd die gemoeid is met het herstellen van de aanvankelijk schade. Een voorbeeld? "De gemeente Hof van Twente is de schade van een ransomware-aanval nog niet te boven", zegt een deelnemer. En zal die schade waarschijnlijk nooit helemaal te boven komen, aangezien bestanden waar meer dan 20 jaar werk is gestoken zijn vernietigd, met backup en al.

Een goede, hanteerbare beveiliging is dus toch het advies. Niet dat je criminelen daarmee gegarandeerd tegenhoudt, maar je maakt het ze daarmee wel lastiger om toegang te krijgen tot jouw IT-systemen. Natuurlijk moet je om je informatie te beveiligen investeren in technische maatregelen, zoals firewalls, netwerkbeveiliging, identiteitscontrole, toegangscontrole en monitoring.  Door dit soort maatregelen door te voeren, doe je een flinke stap in de veilige richting.  Op de site van het Nationaal Cyber Security Centrum, staan acht van dit soort basismaatregelen rondom cybersecurity.

Alarmbellen
Nog zo’n maatregel: bepaal wie toegang heeft tot jouw data en diensten. En, minder vanzelfsprekend, segmenteer netwerken, zodat wie zich toegang verschaft tot één netwerk niet makkelijk verder kan doordringen. Blijf bovendien vooral monitoren op aanvallen. Zodat – zoals een deelnemer aan de rondetafelbijeenkomst zegt – “de alarmbellen gaan rinkelen als er opeens een gebruiker met admin-bevoegdheden wordt aangemaakt” – en je als er iets mis gaat, snel kunt ingrijpen.

Daarmee is ook het volgende onderwerp aangestipt. Namelijk dat beveiliging niet alleen een kwestie van technologie is. Ook – juist – de mens is belangrijk voor de beveiliging; Beide beschermlagen van zowel mens als systeem heb je nodig voor een goede beveiliging. Als je die tweede laag verwaarloost, is je beveiliging al snel zo lek als een mandje. Je moet daarom ook organisatorische maatregelen nemen, zoals plannen maken, procedures opstellen, audits uitvoeren en voorbereiden op calamiteiten (crisismanagement). Door mensen op te leiden en bewust te maken van cyberrisico's, kun je hun gedrag beïnvloeden. De kans op beveiligingslekken neemt daardoor af. En er wordt beter – sneller, daadkrachtiger – gereageerd als er iets misgaat.

Bestuur verantwoordelijk
Dat vraagt allemaal nogal wat van de mensen die verantwoordelijk zijn voor het tegengaan van cybercriminaliteit. De vraag is daarom of het niet verstandig is om cybersecurity maar helemaal uit te besteden. "Zoals bedrijven ook andere diensten uitbesteden die niet tot hun kernactiviteiten behoren, zoals het beheer van hun hard- en software. Dat doen ze zelfs in toenemende mate. Tien, twintig jaar geleden wilde niemand z'n software in de cloud draaien. Nu is het vanzelfsprekend dat je dat doet", zegt Papelard. Bij een aanbieder als Northwave kun je hiervoor verschillende diensten afnemen. Je kunt hier zelfs een Security & Privacy Office als dienst afnemen die security & privacymanagement voor je organiseert, waarbij gebruik gemaakt wordt van de brede expertise van het cybersecuritybedrijf.

Dat betekent overigens niet dat je als bestuur van een bedrijf cybersecurity helemaal kunt uitbesteden. Want je blijft uiteraard verantwoordelijk. Je moet dus beslissen welke beveiligingsmaatregelen worden genomen en moet toezicht blijven houden op alle genomen maatregelen. Om dit te kunnen doen is in elk geval een goede risico-analyse nodig, zodat de CFO en andere bestuurders zich een beeld kunnen vormen van de belangrijkste maatregelen die hun bedrijf moet nemen om zich te wapenen tegen cybercriminaliteit. Iets wat nog lang niet eenvoudig is. Al was het maar omdat bestuurders niet altijd even deskundig zijn als het gaat om informatietechnologie, terwijl de CISO nogal eens in bits en bytes praat. Ze spreken elkaars taal niet, zogezegd.

Het zou bedrijven er niet van moeten weerhouden toch de nodige beveiligingsmaatregelen te nemen, zegt Papelard. “Om grip te houden op informatiebeveiliging is het belangrijk te kijken naar hoe heb ik dit nu georganiseerd, en daarbij te kijken naar gedrag en techniek. Zorg dat de menselijke sensoren goed getraind zijn en systemen goed zijn ingericht, zodat je, als er wat mis gaat, tijdig kunt detecteren en reageren. Op die manier bouw je een goede verdedigingslinie die ervoor zorgt dat jij als CFO wat rustiger slaapt.”