Tijd voor een cybercommissaris?

15 mei 2019
Security
Kritische waakhond mag digitale veiligheid niet vergeten

Een kritische waakhond voor de veiligheid – zoals bepleit door Pieter van Vollenhoven – moet zich ook richten op de digitale veiligheid, stelt Bram van Tiel, partner cybersecurity en dataprivacy bij PwC. Hij voorziet daarbij een rol voor een speciale commissaris die de digitale infrastructuur bewaakt en budget én mandaat heeft om zaken te regelen en in te grijpen.

In dit artikel reageert Bram van Tiel, partner cybersecurity en dataprivacy bij PwC, op de brief ‘Een kritische waakhond voor de veiligheid?’ van prof. mr. Pieter van Vollenhoven. Het nieuwste boek van de voorzitter van de Stichting Maatschappij en Veiligheid -  Oproep van een waakhond - ligt sinds 8 april 2019 in de boekhandel.

Wanneer er in Nederland een ernstige gebeurtenis op het gebied van de veiligheid plaatsvindt, volgt er na verloop van tijd meestal een onafhankelijk onderzoeksrapport met aanbevelingen ter verbetering en voorkoming van een dergelijke gang van zaken in de toekomst. Controle op het waarmaken van die goede voornemens vindt in de praktijk echter niet of nauwelijks plaats. Een kritische waakhond voor de veiligheid – zoals Prof. Mr. Pieter van Vollenhoven als voorzitter van de Stichting Maatschappij en Veiligheid bepleit – is nodig om ervoor te zorgen dat er van de lessen daadwerkelijk geleerd wordt en ernaar gehandeld wordt. Bij het vormgeven van deze kritische waakhond doen we er verstandig aan ons niet te beperken tot de fysieke wereld, maar het leergeld uit decennia fysieke veiligheid te gebruiken om ook onze digitale veiligheid versneld te verbeteren. Succesfactoren voor een goed functionerende waakhond op fysiek en digitaal gebied zijn: het verhogen van onze snelheid van handelen, het creëren van een faciliterend veiligheidsplatform, vertrouwen kweken om uit de ieder voor zich-modus te raken, voortdurend overleg nastreven in plaats van alleen achteraf en het verder uitbouwen van bestaande controlemechanismes.

Verhoog de handelingssnelheid

Ontwikkelingen in de digitale wereld volgen elkaar tegenwoordig razendsnel op en het uitwisselen van informatie gaat (online) vele malen sneller dan voorheen. De Amerikaanse jurist Robert Mueller, voormalig directeur van de Federal Bureau of Investigation, stelde eens: ‘Er zijn twee soorten organisaties: organisaties die gehackt zijn en organisaties die nog gehackt moeten worden.’ Een uitspraak die niet veel later zelfs werd aangescherpt tot: ‘Er zijn twee soorten organisaties: organisaties die gehackt zijn en het weten en organisaties die gehackt zijn en het nog niet weten.’ We kunnen dus niet om digitale veiligheid heen en snelheid is geboden om een nieuw domein in te richten, waarin oude regels niet meer voldoen, maar wel als basis kunnen dienen. Bij het vormgeven van een kritische waakhond moeten we innovatief zijn om de zwakke plekken in onze vitale infrastructuur te vinden en te bedenken welke impact verdere digitalisering van ons dagelijkse leven op onze digitale veiligheid heeft. Zo maken we de waakhond niet alleen tot een controlerend orgaan, maar kan deze ook preventief te werk gaan. De toenemende snelheid van digitalisering vraagt om een aanpak waarbij we veiligheid aan de voorkant meenemen. Security by design zorgt ervoor dat er vooraf – bij het ontwerp en tijdens de bouw van nieuwe software, applicaties, producten of systemen – goed wordt nagedacht over de beveiliging, waardoor deze intrinsiek en structureel in de software wordt ingebouwd.

Faciliterend veiligheidsplatform

Er is al diverse wetgeving op het gebied van zowel fysieke als digitale veiligheid. Het gaat nu om de invulling ervan. Duidelijkheid over standaarden, toezicht en opvolging van aanbevelingen is daarbij gewenst en kan door een kritische waakhond worden gestimuleerd. Overheden, bedrijven en toezichthouders moeten de handen ineenslaan en een faciliterend platform creëren, waar samenwerking en kennisuitwisseling – die afzonderlijke sectoren overstijgt – gerealiseerd worden. Veiligheid, in de fysieke en des temeer in de digitale wereld, is namelijk niet iets wat een organisatie of sector sec. raakt, maar de maatschappij als geheel treft. Denk bijvoorbeeld aan de wereldwijde impact van Wannacry in 2017, die onder meer organisaties in de zorg-, transport-, retail- en technologiesector veel schade heeft berokkend.

Breng partijen bij elkaar

Laten we elkaar dan ook helpen om kennis en informatie uit te wisselen, op een manier die iedereen in staat stelt ervan te leren én te anticiperen op reële dreigingen. Vertegenwoordigers van verschillende terreinen (onder andere technologie, crisisbeheersing, communicatie en juridisch) en met kennis van verschillende sectoren en digitale ontwikkelingen zijn vereist om verkokering te voorkomen. Bedrijven en sectoren, bijvoorbeeld in de financiële sector en defensie-industrie, die al vergevorderd zijn, kunnen als rolmodellen dienen met hun opgedane kennis en ervaring. Begin klein, breng partijen bij elkaar en bouw het uit tot een onafhankelijk, zelfreinigend systeem dat monitort, problemen onderzoekt, ervaringen deelt, oplossingen aandraagt én toetst of aanbevelingen in de praktijk worden opgepakt. Ik voorzie hierbij een rol voor een cybercommissaris, in 2015 ook al eens door Ronald Prins – toen directeur van beveiligingsbedrijf Fox-it – voorgesteld. Een speciale commissaris die de digitale infrastructuur bewaakt en budget én mandaat heeft om zaken te regelen en in te grijpen.

Vertrouwen is nodig om informatie te delen

Een basisvereiste om voorbij de ieder-voor-zich-modus te komen, is vertrouwen. De kritische waakhond kan ervoor zorgen dat het faciliterend platform een omgeving is, waarin alles wat gedeeld wordt, achteraf niet tegen de deler gebruikt kan worden. Veel organisaties zijn nu vaak nog huiverig om informatie te delen; deels omdat het gevoelige informatie betreft, deels omdat ze fouten en daaruit volgende claims willen voorkomen. Platformparticipanten moeten er dus vertrouwen in hebben dat er op de juiste manier met gedeelde informatie wordt omgesprongen. Het kan bijvoorbeeld voorkomen dat een voorgestelde oplossing voor de ene organisatie wel, maar voor een andere organisatie niet of zelfs averechts werkt. Dat is natuurlijk niet het uitgangspunt – maar als het zo blijkt te zijn – moet je het niet als een boomerang in jouw nek terugkrijgen. De overheid kan een stuk garantie bieden in de vorm van een veiligheidsbelofte die bijdraagt aan het creëren van dit vertrouwen: fouten maken mag, leer er snel van en – nog belangrijker – deel de leerervaringen.

Voortdurend overleg in plaats van alleen achteraf

De onderlinge vertrouwensband versterk je gaandeweg door niet alleen tijdens incidenten met elkaar te schakelen, maar ook daarbuiten. Op eigen initiatief in onderlinge overleggen of in allerlei industriegroepen. Het Nationaal Cyber Security Centrum (NCSC), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de Cyber Security Raad (CSR) lopen voorop om dit te stimuleren. Sectoroverstijgende toezichthouders, zoals Autoriteit Persoonsgegevens en toezichthouders van specifieke sectoren, zoals De Nederlandsche Bank of Agentschap Telecom kunnen het verder ondersteunen. Ook hier dient de kritische waakhond een rol te spelen. De NCSC heeft al een verbindende rol, maar versnellen is nodig. In de digitale wereld wellicht nog meer dan in de fysieke wereld. Al tijdens een incident moet je samenwerken en informatie met elkaar delen. Neem de NotPetya-malware aanvallen in 2017, waardoor bedrijven volgens een voorzichtige schatting wereldwijd meer dan 1,1 miljard euro schade leden. De getroffen bedrijven waren parallel druk bezig met het herstellen van de veiligheid, maar vooral binnen de muren van de eigen organisatie. Achteraf werden er wel geleerde lessen gedeeld, maar de informatieuitwisseling was beperkt. Met de mogelijkheid om voortdurend informatie uit te wisselen, kun je niet alleen meteen van je eigen fouten en probleemoplossende kennis en ervaringen leren, maar ook van die van andere organisaties.

Meten is weten

Ons diversiteitsbeleid is, onder ons motto ‘Be yourself, be different’ gericht op het waarderen van verschillen. Dit komt in alle (management)ontwikkelprogramma’s, trainingen en opleidingen naar voren. We hebben prestatie-indicatoren ontwikkeld en onszelf doelen gesteld op het gebied van de doorstroming van groepen die tot nu toe ondervertegenwoordigd zijn in het hogere management. We monitoren bijvoorbeeld ons beoordelings- en promotiebeleid hierop en sturen actief bij als dat nodig is.

Bouw bestaande controlemechanismes verder uit

Laten we tot slot gebruikmaken van de bestaande mechanismes op toezicht en die verder uitbouwen. Er is al veel toezicht, dus we hoeven geen extra laag te creëren. Maar dat neemt niets weg aan de behoefte om binnen dit toezicht ook aandacht te besteden aan de opvolging van de geleerde lessen. Wat een kritische waakhond daarnaast kan doen of kan stimuleren, is het toezicht innovatiever maken door bijvoorbeeld technologie en data te hanteren om vast te stellen dat opvolging wordt gegeven aan aanbevelingen. Denk hierbij – in de digitale wereld – aan het scannen van technische kwetsbaarheden, het toepassen van geavanceerde en zelflerende data-analyse technieken of het gebruik van technologie waarmee de organisatie intern kan meten hoe zij ervoor staat en de resultaten met de toezichthouder en de buitenwereld kan delen.

Juiste vragen stellen over digitale veiligheid

Laten we ook goed kijken naar de rol van de accountant. Zijn of haar bijdrage gaat verder dan vaststellen of de schade van een cyberincident op de juiste manier in de jaarrekening is verwerkt of dat de continuïteit van de organisatie is gewaarborgd. De accountant moet ook oog hebben voor de beheersmaatregelen op het gebied van data-integriteit en –beveiliging en vaststellen of het bestuur en de toezichthouders voldoende kennis hebben en cybersecurity de juiste plaats heeft in de strategie en het risicobeleid van de organisatie. In een veranderende wereld anticipeert de accountant: hij of zij stelt de juiste vragen over digitale veiligheid en verruimt zijn natuurlijke adviesfunctie.

Cybersecurity Health Check

Recent ontwikkelden de vier grote accountantsorganisaties Deloitte, EY, KPMG en PwC op verzoek van de CSR een Cybersecurity Health Check voor middelgrote bedrijven, die cyberkennis en ervaringen met een breder publiek deelt. Organisaties krijgen bovendien concrete handvatten om inzicht te krijgen in hun staat van digitale veiligheid. Een goed initiatief, maar toekomstige health checks mogen wat mij betreft minder vrijblijvend zijn. Neem een voorbeeld aan de sinds 2013 in Engeland verschenen jaarlijkse FTSE 350 Cyber Governance Health Check Reports. Het ministerie van Digital, Culture, Media & Sport streeft met deze publicaties verschillende doelen na. Op basis van de enquêteresultaten kan de overheid effectieve cyberveiligheidsbeleidsinterventies ontwerpen. Daarnaast wil het de betrokkenheid verbeteren van de overheid en de FTSE 350-bedrijven – de grootste 350 bedrijven met primaire notering op de London Stock Exchange – wat het voor de overheid makkelijker maakt om goede cyberbeveiligingspraktijken aan te moedigen. Uiteindelijk wil de overheid met dit tracker report bovenal de digitale veiligheid over tijd meten, waardoor het ook mogelijk wordt om de opvolging van eerdere aanbevelingen in kaart te brengen. Een mooi voorbeeld om controle op het waarmaken van goede voornemens in de praktijk te realiseren. Laten we ervan leren.

Klik hier voor meer informatie.

Auteurs
Bram van Tiel
partner cybersecurity en dataprivacy PwC
Sector
Accountancy
Bank- en verzekeringswezen
Bedrijfsleven
Familiebedrijf
Semipubliek
Thema
cyber security
Kennispartner
PwC
Portretfoto Bram van Tiel

Verder in deze Governance Update

Wegwijs in de complexe pensioenwereld
Wees u bewust van beeldvorming
Over de nadelen van het Angelsaksisch neoliberalisme
Boekbespreking
Wet bestuur en toezicht rechtspersonen naar Tweede Kamer
Toezicht in een gedigitaliseerde maatschappij blijft toezicht, toch?
Meerderheid toezichthouders ziet meerwaarde accreditatie zorgbestuurders
‘Commissaris: zorg voor de juiste checks & balances’
Wat te doen als de eigenaar van de onderneming wegvalt?
Berenschot Strategy Trends onderzoek wijst uit:
'Afgelopen jaren heb ik de bezetting van de RvT's in professionaliteit sterk zien verbeteren'
Anita Arts nieuwe commissaris Enexis Holding
On Board
Afkeuring, wantrouwen en treurnis