Cybersecurity en cyberweerbaarheid: ‘Allesbehalve een IT-feestje’

Best practice
Cases en toezichtkwesties

WhatsApp-fraude, phishing-mails, het lijkt alsof sinds de corona-uitbraak cyberaanvallen aan de orde van de dag zijn. Voor organisaties is een goede cybersecurity en cyberweerbaarheid dan ook van groot belang. Wanneer ben je eigenlijk voldoende weerbaar tegen cyberkwetsbaarheden? En hoe moet een commissaris toezien op een goede omgang met risico’s in de organisatie? BDO-partner Sandra Konings schetst de uitdagingen en deelt best practices.

Bij cybersecurity wordt al snel gedacht aan IT-zaken, dat is het echter niet, benadrukt Sandra  Konings, partner bij BDO en eindverantwoordelijk voor de praktijk op het gebied van cybersecurity. Ze heeft ruim twintig jaar ervaring in deze branche, is initiatiefnemer van het Cyber Weerbaarheidscentrum Brainport (CW Brainport) en nauw betrokken bij Rotterdam Port Cyber Resilience (FERM). “Cybersecurity is eigenlijk gewoon een ander woord voor informatiebeveiliging”, stelt Konings. “Hieronder vallen de elementen vertrouwelijkheid, betrouwbaarheid en beschikbaarheid. Het kan gaan om privacygevoelige informatie over klanten, leveranciers of medewerkers, maar ook strategische plannen of intellectueel eigendom. Deze informatie mag niet in verkeerde handen komen. Tegelijkertijd wil je ook dat de betrouwbaarheid ervan gewaarborgd is: de informatie moet kloppen en up-to-date zijn. Een derde punt is de beschikbaarheid van de informatie. Op momenten dat je er behoefte aan hebt, moet deze voorhanden zijn.”

Dreigingen: van statelijke actoren tot script kiddies

Is er inderdaad sprake van een toegenomen cyberdreiging sinds de coronacrisis begon? “We zien wel een toename in aanvallen, alleen weten we niet of deze er anders ook niet geweest zou zijn. In het verleden zag je in een regenachtige herfstvakantie ook een toename van cyberaanvallen. Op een moment dat er weinig te doen is, willen mensen toch presteren. Zogenoemde script kiddies of activisten gaan zich dan bekwamen in cyberaanvallen. Die zijn relatief makkelijk te maken en de software om ze uit te voeren, is eenvoudig op internet te krijgen.”

De grootste dreiging zit volgens Konings in de wereldwijde onrust die er momenteel is: “Het economisch belang van intellectueel eigendom is groot. Je ziet dat in onrustige tijden organisaties een grotere kans hebben om slachtoffer te worden van een aanval. Statelijke actoren met veel geld en middelen hebben er veel voor over om informatie van economisch, vitaal of veiligheidsbelang in handen te krijgen. In Nederland zijn we goed in bijvoorbeeld hightech en zaadveredeling, als een ander land daar groot in wil worden dan kunnen overheden bereid zijn om hier ver voor te gaan. De interesse van China in onderzoeken rondom COVID-19 is een actueel voorbeeld op dit vlak.”

Ook de huidige economische situatie zorgt voor dreiging: “Die kan zorgen voor zogenoemde disgruntled employees: ontevreden medewerkers die hun baan (dreigen te) verliezen of minder salaris krijgen omdat het bedrijf er slecht voorstaat. Zij kunnen overgaan tot aanvallen van binnenuit. Doordat medewerkers nu meer thuiswerken, is er ook nog de dreiging van het gebruik van eigen apparaten. Hoe goed zijn die beveiligd? Of denk aan het verslappen van goed gedrag. Waar je normaal een e-mail als phishing had herkend, ben je misschien net even afgeleid door spelende kinderen thuis of klikken zij zelfs per ongeluk een link aan.”

Desastreuze gevolgen

De risico’s die een organisatie of bedrijf loopt, zijn per geval verschillend. “In de kantoorautomatisering gebruikt bijna iedereen Microsoft en Google. Daarvoor worden continu updates en patches beschikbaar gesteld, maar ook voortdurend nieuwe kwetsbaarheden ontdekt. En er zijn altijd wel organisaties die niet alle updates hebben doorgevoerd. Voor criminelen is het heel eenvoudig om één kwetsbaarheid uit te baten en die de wereld in te sturen. Dan heb je een grote kans om ergens binnen te komen en zo veel geld te verdienen, bijvoorbeeld door een bedrijf in ransom te nemen.”

In een industriële omgeving ziet Konings een ander beeld: “In zo’n omgeving zijn veel verschillende standaarden. Niet alles hangt ook aan internet in een productieomgeving. Het is voor criminelen lastiger om hier binnen te komen en als je al binnen bent, dan nog is het de vraag waar je ‘raak geschoten’ hebt. Aan de andere kant, als je op het goede operating system binnendringt, kun je vrijwel altijd wat besmetten. Updates worden in industriële omgevingen lang niet altijd doorgevoerd omdat de productie dan bijvoorbeeld stilgelegd moet worden. Dus je kunt nog last hebben van kwetsbaarheden van drie jaar oud.”

De gevolgen van een cyberaanval kunnen bij zowel kantoorautomatisering als een industriële omgeving desastreus zijn. “Als je kantoor, logistiek of productie stil komt te liggen, is dat niet fijn. Het kan zelfs zorgen voor een faillissement. Ook reputatie- en imagoschade kan een gevolg zijn. In een fabriek kunnen ook fysiek gewonden vallen, of erger, wanneer robots plots niet meer werken of de meting van schadelijke stoffen onjuist blijkt.”

Versterk je cyberweerbaarheid

Er wordt wel gezegd dat 100% veiligheid een utopie is. Hoe denkt Konings hierover? “Klopt, 100% afschermen is echt onmogelijk. Er worden continu nieuwe kwetsbaarheden in systemen ontdekt en ook fysiek blijven deze aanwezig. Het is belangrijk om te beseffen dat het geen schande is als je een keer slachtoffer wordt van een cyberaanval, of dat nu door een bewuste aanval is of per ongeluk, doordat bijvoorbeeld besmette software via een omweg bij jou binnendringt. Wat je wel kan doen, is alles zoveel mogelijk afschermen en als het gebeurt, zorgt dat je de impact klein houdt. Je moet als organisatie je resilience op orde hebben, weerbaar zijn.”

Wat kan je dan concreet doen als organisatie? “Zorg dat je bijblijft met ict-updates en standaarden. Scherm de industriële omgeving goed af tegen aanvallen van buitenaf. Richt de IT-omgeving en de OT-omgeving zo in dat je snel kunt reageren bij nieuwe dreigingen. Stel eisen aan leveranciers over hoe ze met je intellectueel eigendom omgaan en voorkomen dat je besmette software (in bijvoorbeeld halffabricaten) ontvangt. En train je personeel op wat gewenst gedrag is en hoe ze onder andere phishing-mails kunnen herkennen.”

Daarnaast is er een aantal zaken waarmee je weerbaarheid kan opbouwen of versterken en de gevolgen van een incident kunt beperken. “Denk bijvoorbeeld aan het plaatsen van sensoren in systemen die dreigingen snel detecteren. Denk ook aan het maken van afspraken met leveranciers over alternatieve leveringen, het opnemen van cybersecurity in de crisismanagementaanpak van de organisatie en het instellen van een centraal meldpunt waar medewerkers terecht kunnen als er een indicatie is dat er iets mis is. Bescherm daarnaast de kroonjuwelen van je organisatie extra: strategische plannen, klant- of personeelsdata, intellectueel eigendom.”

De eigen weerbaarheid versterken, doe je het beste samen met anderen: “Je kunt dit niet alleen aan. Deel daarom kennis met andere organisaties, leer van hun ervaringen. Er zijn in Nederland voor vrijwel alle sectoren en regio’s samenwerkingsverbanden. Het CW Brainport is bedoeld voor de hightechindustrie, FERM is er voor het havengebied in de regio Rotterdam. Binnen een waardeketen is het zo dat een aanval op één bedrijf, grote gevolgen voor andere bedrijven kan hebben. Ik adviseer dan ook dat een organisatie niet zelf het wiel gaat uitvinden op het vlak van cyberweerbaarheid, maar aansluiting zoekt bij zo’n samenwerkingsverband.”

Zie cybersecurity niet als IT-feestje

Voor een commissaris is het belangrijk om inzicht te hebben in de risico’s die een organisatie loopt op het gebied van cybersecurity. “Laat jezelf informeren over de dreigingen in de branche en vraag aan de eigen organisatie in hoeverre hier weerbaarheid tegen bestaat. Ga ook na of het dreigingsbeeld verandert. Als het een statisch lijstje is, dan mis je iets omdat het enorm aan verandering onderhevig is. Vaak zie ik ook nog dat cyberdreigingen onder het hoofdstuk IT worden geplaatst. Je moet echter begrijpen dat het ook om bijvoorbeeld de industriële omgeving gaat en er naar cultuur en gedrag gekeken moet worden. Het is allesbehalve een IT-feestje!”

Commissarissen kunnen bij het bevragen van de organisatie gebruikmaken van de input van de Cyber Security Raad. Deze raad heeft een handreiking voor bestuurders opgesteld met daarbij een handige checklist. Konings: “Gebruik deze bij het bevragen van het bestuur. Ga ook na of de organisatie is aangesloten bij een samenwerkingsverband op het gebied van cybersecurity. Op het moment dat je hoort over een generieke aanpak, dan weet je dat er niet bewust naar deze risico’s gekeken wordt. Elke organisatie is anders, er is voor een goede informatiebeveiliging geen one size fits all-aanpak.”

Meer informatie

Heeft u naar aanleiding van dit artikel vragen of wenst u meer informatie? Neem dan contact op met Sandra Konings, partner cybersecurity bij BDO, via Sandra.Konings@bdo.nl of 030-284 9960.