Basale computerhygiëne in de strijd tegen cybercrime

Op de FM Dag – in een rondetafeldiscussie gefaciliteerd door Kröller Boom – werden war stories over cybercrime gedeeld en tips uitgewisseld om het bedrijf goed te beschermen en te verzekeren, om zo de bedrijfscontinuïteit te garanderen.

Wat hebben de ANWB, de Universiteit van Amsterdam en Mandemakers Keukens met elkaar te maken? Ze zijn allemaal recent het slachtoffer geweest van een cyberaanval. De afgelopen tijd worden steeds meer Nederlandse bedrijven en instellingen getroffen door internationaal opererende hackersbendes die zwaktes in computersystemen uitbuiten en vervolgens de data of de toegang tot de systemen voor losgeld vasthouden. De hoogste tijd om dus eens even goed te sparren over de risico’s van cybersecurity en dan met name over wat de financiële afdeling daarmee te maken heeft – hoe verzeker je je bedrijf tegen cyberschade? Hoe koop je het best cybersecurity in?

Onder leiding van Michael van Asperen (Agium en voormalig community manager bij Alex van Groningen/Sijthoff Media) ging een diverse groep finance professionals uit alle hoeken van het bedrijfsleven met elkaar in gesprek. Pim Takkenberg van Northwave deelde zijn ervaring als als expert in cybersecurity: hij wordt geregeld gebeld om onder hoge druk data breaches op te lossen, waarbij hij ook optreedt als onderhandelaar met de vijandige hackers.

Van if naar when
Dat het een urgent thema is blijkt wel uit het feit dat meerdere personen aan tafel up close and personal te maken hebben gehad met een cyberaanval. Stel je voor dat je een klantenbestand hebt van 21.000 klanten en 4.000 orders per dag moet verwerken en dat je dat van de ene op de andere dag met de hand moet doen omdat het boekhoudsysteem gegijzeld is: het overkwam een van de CFO’s aan tafel.

Een andere moest in een weekend alle 1.000 laptops van de werknemers innemen om ze door een ‘wasstraat’ te halen om een securitylek te dichten. Het betalen van losgeld of het op poten zetten van een reddingsactie om de systemen weer online te krijgen. Het was duidelijk dat cybercrime steeds minder een abstract probleem is zoals een paar jaar geleden, maar dat het nu ook echt serieus de dagelijkse praktijk raakt. Er is duidelijk een omslag geweest van ‘if’ naar ‘when’ als het gaat om een cyberaanval.

Toch moeten we het ook allemaal niet groter maken dan het is, meent Takkenberg. Het klinkt natuurlijk allemaal wel spannend, van die Russische hackersnetwerken die met schimmige technologie en nog schimmiger banden met het Kremlin en de FSB, maar uiteindelijk komt cybersecurity vooral neer op het opvolgen van een paar basisregels. Noem het cyberhygiène: zorg dat je systemen up-to-date zijn, dat je een backup hebt van al je bestanden (een bronbestand, een online backup en eentje offline), zorg voor een duidelijk monitoringssysteem van systeeminbraken en zorg dat alle wachtwoorden en inlogprocessen op tweefactorauthentificatie zijn ingesteld. Soms kun je ook niet veel meer doen: het grote probleem is namelijk dat criminelen niet altijd via de eigen systemen binnendringen, maar bijvoorbeeld via die van een leverancier of een klant. Een aanwezige vertelde zelfs hoe zijn bedrijf gehackt werd toen de accountants in de boeken bezig waren en de hackers via de systemen van de accountants hun weg naar binnen wurmden.

Naar een veilige organisatiecultuur
Qua financiën ontwikkelt zich ook een soort basispatroon. Takkenberg stelt dat je ongeveer een tiende van je IT-budget naar security mag. Er ontstond enige discussie in de zaal of het zinvol is om een aparte security officer in te stellen (als die te vinden is natuurlijk, want het is een schaarse en veelgevraagde vaardigheid). Een groot deel van noodzakelijkheid van dit soort maatregelen lijkt samen te hangen met de grootte van het bedrijf, omdat de hackersgroepen ook een bepaalde ‘sweet spot’ hebben waarin ze opereren. Het kleinere MKB is te klein om de moeite waard te zijn en de echt grote corporates zijn weer te goed beveiligd – bedrijven vanaf de 100 miljoen omzet zijn de meest gewilde targets. Zo zie je maar: ook de criminelen zijn gebonden aan de economische basiswetten. Aangezien Nederland traditioneel sterk vertegenwoordigd is in deze categorie bedrijven zijn er dus ook flink veel criminelen die hier hun slag slaan. Qua verzekering zijn er eigenlijk twee belangrijke dingen om te verzekeren. Omdat cybercrime uitdrukkelijk uitgesloten is van wettelijke aansprakelijkheid moet er apart verzekerd voor worden. De criminelen vragen bij een ransomware aanval gemiddeld twee procent van de jaaromzet, dus dat is een mooi richtbedrag om te verzekeren. Daarnaast is cybercrime bij uitstek iets om te verzekeren in de bestuursaansprakelijkheid, omdat de verantwoordelijkheid voor cybersecurity uiteindelijk op de schouders van de bestuurders terecht komt.

Na het delen van de ervaringen en lessons learned over en weer was iedereen het er over eens dat cybersecurity een organisatiecultureel dingetje is waar de top het goede voorbeeld moet geven. Uiteindelijk is cybersecurity altijd een samenspel van techniek, beleid en gedrag; de beste systemen zijn waardeloos als er niet goed op wordt getraind en er geen coöperatieve bedrijfscultuur is. Zoals de baas ook nooit de deur van de fabriekshal open zou laten staan en van zijn medewerkers dezelfde aandacht verwacht moet netjes en veilig digitaal werken de norm worden. Er werd dan ook smakelijk gelachen om een zekere minister die laatst in het nieuws was die zijn werkmail maar lastig vond met al die wisselende wachtwoorden en tweefactorauthentificatie en die daarom maar zijn onveilige werkmail gebruikte.

Deze roundtable werd aangeboden door Kröller Boom. Niek Post van Kröller Boom zat aan tafel om de mogelijkheden van cyberrisk-verzekeringen met de aanwezigen te bespreken.