Vincent van Beek (VLC & Partners): “Cybercriminelen richten zich steeds vaker op leveranciers en IT-dienstverleners van organisaties.”

In oktober, tijdens de European Cybersecurity Month, staat cyberveiligheid extra in de schijnwerpers. Hoe solide de cyberveiligheid ook is, er blijven altijd kwetsbaarheden voor elk bedrijf. Europese wetgeving verplicht bedrijven om zich daartegen te wapenen. Risico-adviseur VLC & Partners schetst een aanpak in drie stappen: inventariseren van de risico’s, maatregelen nemen en de restrisico’s verzekeren.

Het beveiligen tegen cybercriminaliteit is niet meer alleen een vrije keuze van een bedrijf. Europese regelgeving verplicht ondernemers om maatregelen te nemen. Volgend jaar al zijn financiële instellingen verplicht om te voldoen aan de Digital Operational Resilience Act (DORA). Toezichthouders als de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) houden toezicht. Specifieke veiligheidsmaatregelen worden de komende jaren voor steeds meer bedrijven verplicht.

De noodzaak daartoe ontgaat niemand. De risico’s van cybercriminaliteit zijn inmiddels tot elke managementlaag doorgedrongen. “Tot voor kort waren bedrijven bang voor inbraak in het bedrijf, nu zijn we bang voor inbraak in het IT-systeem”, aldus Diane Biersteker, Commercieel Directeur Risk van VLC & Partners. “We helpen ze om de risico’s in kaart te brengen, zodat ze degelijke besluiten kunnen nemen voor hun cyberweerbaarheid, op basis van hun risicobeleid.”

Maar er is ook het besef dat een organisatie onmogelijk alle risico’s van cybercriminaliteit tot nul kan reduceren. Dus is het zoeken welke maatregelen noodzakelijk, zinvol en betaalbaar zijn, waar kwetsbaarheid een punt van aandacht blijft en hoe een bedrijf hiermee om wil gaan. Voor elk bedrijf zijn de omstandigheden verschillend, een blauwdruk voor cyberriskmanagement bestaat niet.

Cyberriskmanagement in drie stappen

Cyberrisk managen klinkt als een overweldigend vraagstuk, maar VLC & Partners, adviseur op het gebied van risicomanagement, verzuim en pensioen, neemt CFO’s graag mee in hoe ieder bedrijf cyberriskmanagement in drie stappen vorm kan laten krijgt op een manier die past bij de eigen organisatie. De eerste stap is gelijk een cruciale: een goed zicht krijgen op alle potentiële gevaren op elk niveau. Van daaruit is stap twee het afwegen van belangen, voorschriften en mogelijkheden. Welke risico’s kan en wil een bedrijf nemen? Hoe kan het daar mee omgaan? Tot slot gaat het om de uitvoering van het risicobeleid.

Cyberweerbaarheid begint bij het verkennen van cyberrisico’s in de breedste zin van het woord, de eerste van de drie stappen voor verantwoord cyberriskmanagement. Biersteker: “Loop alle onderdelen van je bedrijfsvoering af en breng alle risico’s een voor een in kaart. Van pand tot machine, van lopende activiteiten tot nieuwe initiatieven. Vraag je bij elke stap in je bedrijfsvoering af wat je nodig hebt aan middelen en welke cyberrisico’s daaraan verbonden zijn. Zowel technologisch, organisatorisch, juridisch als op HR-gebied. Inventariseer daarna op welke manier die risico’s worden gemanaged in de organisatie. In feite ga je niet anders om met het in kaart brengen van cyberrisico’s als bij het verkennen van brandveiligheid.”

Inzicht is nog geen beheersbaarheid

Een goed zicht op alle cyberrisico’s betekent niet dat die ook allemaal beheersbaar zijn. Dit omdat de technologie voortdurend in ontwikkeling is. Ook criminelen doen aan innovatie. “Vrijwel dagelijks komen er nieuwe kwetsbaarheden aan het licht in software. Kleine programmeerfoutjes die als het ware kieren vormen waarlangs criminelen binnen kunnen komen, of die zij gebruiken om grotere gaten te maken.”, aldus Vincent van Beek, Senior Specialist & Practice lead Cyber Nederland bij VLC & Partners. “Maar er zijn ook andere risico’s, want cybercriminelen richten zich steeds vaker op leveranciers en IT-dienstverleners van organisaties. Natuurlijk kun je daarover contractuele afspraken maken, maar dat sluit de risico’s niet altijd uit. Dan is er nog het gedrag van gebruikers. Niet iedereen is continu alert bij het nakomen van veiligheidsprotocollen. Klikken op de verkeerde mail is nog steeds een belangrijke oorzaak van cybercriminaliteit.”

Het afwegen van de risico’s en de maatregelen die daarbij horen, de tweede stap op weg naar beheersing van de cyberrisico’s, verschilt per bedrijf. Steeds meer komen er wettelijke voorschriften die verschillen per sector en per omvang van een bedrijf. Maar bedrijven houden ruimte om eigen maatregelen te nemen. Dat betekent echter niet dat ze alle cyberrisico’s kunnen uitsluiten. Een bedrijf dat volledig beveiligd is tegen cybercriminelen zit zo potdicht dat samenwerken met leveranciers en klanten niet meer mogelijk zou zijn. Belangrijk in deze fase is daarom om een goede afweging te maken van maatregelen die verplicht en gewenst zijn om risico’s verantwoord te maken.

Welk risico kan je dragen?

“Vraag je af waar je grootste kwetsbaarheden zitten”, zegt Biersteker. “Ben je een bedrijf dat gevoelig is voor diefstal van persoonsgegevens, of ben je een maakbedrijf dat stilligt na een aanval door gijzelsoftware? Check de leveringsvoorwaarden in de contracten met leveranciers en afnemers. De financiële schade kan groot zijn als een belangrijk project stilligt omdat je jouw aandeel niet kan nakomen. Financiers en aandeelhouders willen ook zekerheden. Het is daarom belangrijk om af te wegen welke risico’s je kunt en wilt dragen. Ondernemers zijn gewend aan risicobereidheid, maar hoe die eruitziet is een eigen afweging.”

Het monitoren en wegen van cyberrisico’s is specialistenwerk, maar niet zozeer omdat het arbeidsintensief is. Het vraagt ook om een gedegen kennis van de regelgeving, van de technologie en van de juridische en financiële impact van risico’s. “Het is onze taak om de ondernemer te informeren over al deze aspecten”, zegt Van Beek. “We geven het overzicht en op basis van onze kennis en ervaring dragen we een aantal opties aan. Die zijn vooral bedoeld om het gesprek aan te gaan over de keuzes die een bedrijf wil maken.”

Een mogelijkheid is om niet alle risico’s zelf te dragen, maar te verzekeren. Ongeveer zeven jaar geleden zijn steeds meer grote bedrijven dit gaan doen, maar de laatste jaren ontdekken ook steeds meer middelgrote bedrijven de verzekering tegen cybercriminaliteit. Verzekeraars keren niet alleen uit bij schade, maar onderhandelen ook met cybercriminelen in geval van gijzelsoftware. Het aantal aanbieders van deze verzekeringen is toegenomen, waardoor zowel de acceptatievoorwaarden als de premies milder zijn geworden het laatste jaar.

Blijf monitoren

De derde stap in het cyberriskmanagement is de uitvoering van alle maatregelen. Die bestaan niet alleen uit het installeren van firewalls en instellen van strengere autorisaties, maar ook uit protocollen voor veilig gebruik van technologie, zoals het strikt doorvoeren van veiligheidsupdates. Er zijn trainingen nodig om veilig gedrag te stimuleren. Contracten met derden moeten zo nodig worden aangepast om risico’s van buiten zo veel mogelijk te beperken.

Bij cyberriskmanagement hoort ook dat dit onderwerp op de agenda blijft staan. “Door je regelmatig af te vragen welke grote verandering kan leiden tot een nieuwe afweging van de risico’s”, zegt Biersteker. “Is bijvoorbeeld de financiële positie veranderd? Zijn er belangrijke technologische innovaties doorgevoerd? Werken we met andere leveranciers of met nieuwe partners? Monitor eens per jaar of het risicobeleid nog past bij de omstandigheden. Veranderingen gaan sneller dan je denkt. Het is belangrijk om de cyberweerbaarheid op peil te houden.”

CFO Studio: Cyberrisico’s in Finance - Ben jij voorbereid?

Cybersecurity is een van de grootste en meest urgente uitdagingen voor CFO’s. Heeft jouw bedrijf de veerkracht om cybercriminaliteit te weerstaan? Ben je voldoende voorbereid op de dreigingen die op ons afkomen?

In de nieuwste editie van CFO Studio gaan we in gesprek met twee top- CFO’s én Vincent van Beek, Senior Specialist & Practice Lead Cyber. Meld je nu gratis aan en kijk live mee op 21 november.

Meld je gratis aan