(Deel II) Cyberexpert Marsh: “Veel sectoren voldoen nog niet aan cyberveiligheidseisen EU”

Nederlandse bedrijven moeten nog stappen ondernemen om te voldoen aan de NIS2-richtlijn. Dat stelt Sjaak Schouteren van cyberbeveiligingsbedrijf Marsh. Volgens de cyber practice leader zijn banken en verzekeraars al grotendeels voorbereid zijn maar voor onder meer de zorgsector is dat nog niet het geval: minder dan de helft van de zorginstellingen heeft de juiste maatregelen getroffen. Reden voor FM.nl om Sjaak Schouteren  enkele vragen te stellen. Vandaag deel II van het vraaggesprek. Eerder verscheen deel I van het vraaggesprek in twee delen.

FM.nl: Welke bedrijven doen het goed en wie lopen naar uw mening nog achter met digitale beveiliging?
Sjaak Schouteren: “Als we kijken naar onze analyse, in de whitepaper ‘NIS 2 Directive: Are organisations ready?‘ zien we dat de financiële en verzekeringsindustrie het best voorbereid lijken te zijn op NIS 2, met een gemiddelde beoordelingsscore voor controle van 67%, terwijl de chemische productie- en distributie-industrie achterblijft met 48%. Verrassend genoeg scoort de gezondheidszorgsector, die vaak het doelwit is van cyberaanvallen, gemiddeld slechts 52%. Dit vraagt om verhoogde cybersecuritymaatregelen binnen de gezondheidssector om gevoelige patiëntinformatie en kritieke systemen te beschermen.

Inzoomend op de maakindustrie, zien we daarin steeds meer verbeterslagen: productiebedrijven worden vaak het doelwit van cybercriminelen vanwege hun lage tolerantie voor downtime en het relatief lage niveau van cybervolwassenheid in vergelijking met andere sectoren. Hun sterke afhankelijkheid van de beschikbaarheid van IT- en OT-infrastructuur om goederen te produceren en te leveren, gaat gepaard met een relatief grote kans om losgeld te betalen als de aankoop van een decryptiesleutel de snelste manier belooft te zijn om systemen te herstellen en weer operationeel te maken. Daarnaast leiden de lange productiecycli en de aanzienlijke investeringen die nodig zijn om productielijnen opnieuw te ontwerpen vaak tot een achterstand in investeringen in cyberveerkracht. Ondanks deze uitdagingen groeit het besef onder leiders in de productiesector dat actie ondernomen moet worden om hun fabrieken toekomstbestendig te maken.”

FM.nl: Wat moeten CFO’s en zijn afdeling doen volgens u?
Sjaak Schouteren: “Doe eerst een risk assessment waarin je met verschillende stakeholders scenario’s doorneemt. Probeer deze scenario’s te kwantificeren met ook korte en langetermijneffecten. Juist een CFO dient een helikopterview te hebben van deze scenario’s en hun impact. Daarnaast moeten ook de weerbaarheid vergroot worden– je kunt niet alles beschermen, dus je moet ook investeren in herstel procedures en technologie. Denk hierbij aan het verbeteren van Business continuity en Incident respons processen en test deze ook.

Ga er in elk geval nóóit vanuit dat je niets van waarde hebt. Nog steeds denken sommige bedrijven dat ze niet interessant zijn voor criminelen. Dit is onjuist. Het feit dat jij als bedrijf over bepaalde systemen en data beschikt, betekent dat deze waardevol zijn voor het bedrijf. Criminelen spelen daarop in. Door deze systemen plat te leggen of data te stelen of te kopiëren. Daarnaast is het óók van belang om cybersecurity niet als een project maar continue proces te beschouwen. Cyberweerbaarheid verdient namelijk continue aandacht mede omdat bedrijven zelf steeds meer afhankelijk worden van ICT en omdat de bedreigingen ook steeds veranderen. En tot slot: Blijf niet in je eigen silo zitten als bedrijf. Laat je regelmatig voorlichten door risicoadviseurs maar bespreek cyberweerbaarheid ook met je peers en stakeholders in je supply chain.”

FM.nl: Wat kan de overheid of autoriteiten doen?
Sjaak Schouteren: “Cyberriskmanagement staat op de agenda van de EU. Als we kijken naar de EU Digitale Agenda van 2010-2020, zien we dat ze zich in eerste instantie richtten op marktregulering en consumentenbescherming. Dat was destijds begrijpelijk. Aangezien 10 jaar een eeuw is op het gebied van ICT-beveiliging, is het dreigingslandschap ondertussen enorm geëvolueerd. Daarom richt de EU zich in de tweede digitale agenda meer op cyberbeveiliging en AI. We zien dan ook een evolutie van de wetgeving die zich meer richt op ICT-beveiliging, op een risico-gebaseerde aanpak en op sancties/aansprakelijkheid. Daarnaast is ook het Europees Parlement actief als we luisteren naar leden van het Europees Parlement. Dan zien we bij Marsh dat het parlement zich met name richt op twee verbeterpunten. Ten eerste wil het EP meer richtlijnen geven aan individuele regeringen om actie te ondernemen op het gebied van cyberbeveiliging. Daarnaast moeten C-level en overige besturen worden aangespoord om meer bewust te worden van cyberbeveiliging en actiever betrokken te zijn bij het vergroten van de cyberveerkracht van organisaties. Door te vragen om een risico gebaseerde aanpak en ook sancties of boetes of straffen.” [Artikel gaat verder na de volgende advertentie]

Leadership in Finance Summit 2024: AI makes you do it!

Bepaal jij wat AI voor je doet, of bepaalt AI straks wat jij zult doen? Kom hierover in gesprek op 7 november met 300 vakgenoten en experts tijdens Leadership in Finance Summit 2024 in Amersfoort. Meld je nu gratis aan en ontdek hoe AI jouw rol van finance leader herdefinieert.

Ja, ik meld me aan

FM.nl: Wat adviseert u CFO’s en zijn risk management ?
Sjaak Schouteren: “Naast de al eerder gegeven do’s & don’ts, moeten financieel bestuurders allereerst een cyber self assessment uitvoeren waarop je kunt zien hoe je scoort op je cyberweerbaarheid. Vaak kun je hiermee ook scenario’s meenemen om te bespreken. Ook belangrijk is om cyber riskmanagement te zien als een gedeelde verantwoordelijkheid van eenieder in de organisatie en dus niet als een activiteit die alleen iets is van de ICT afdeling.”

FM.nl: Kunt u een schets geven wat er kan gebeuren als CFO’s geen stappen zetten?
Sjaak Schouteren: “We zien juist bij organisaties die geen stappen zetten, dat de impact van een incident groter is. Een incident wordt dan echt een crisis. Bijvoorbeeld omdat ICT een beperkt beeld heeft van de eventuele impact en daarom geen of niet de juiste prioriteiten kan stellen bij een incident. Verder hebben ze vaak geen incidentenoefening gedaan of afspraken gemaakt met specialisten die hen van dienst kunnen zijn.”

FM.nl: In hoeverre speelt AI een rol ?
Sjaak Schouteren: “AI speelt een dubbele rol op het gebied van cybersecurity. Aan de ene kant kunnen AI-technologieën cybersecuritymaatregelen verbeteren door bedreigingen effectiever te detecteren en te verminderen. AI-aangedreven systemen kunnen enorme hoeveelheden gegevens analyseren, patronen identificeren en afwijkingen detecteren die kunnen wijzen op potentiële cyberaanvallen. Dit stelt organisaties in staat om proactief te reageren op bedreigingen en hun verdediging te versterken. Echter, AI kan ook worden ingezet door cybercriminelen om geavanceerde aanvallen uit te voeren. Kwaadwillende actoren kunnen AI-algoritmen gebruiken om hun aanvallen te automatiseren en te optimaliseren, waardoor ze gerichter zijn en moeilijker te detecteren. AI kan worden gebruikt om realistische phishing-e-mails te genereren, beveiligingsmaatregelen te omzeilen of zelfs deepfake-content te creëren voor sociale manipulatie. Naarmate AI blijft evolueren, zullen zowel verdedigers als aanvallers gebruik maken van de mogelijkheden ervan. Het is cruciaal voor organisaties om waakzaam te blijven, hun cybersecuritystrategieën voortdurend bij te werken en te investeren in AI-aangedreven  verdedigingsmechanismen om voorop te blijven lopen bij de steeds veranderende cyberdreigingen.”

FM.nl: Hoe ziet Marsh de toekomst van cyberveiligheid bij Nederlandse bedrijven?
Sjaak Schouteren: “We willen positief afsluiten en aangeven dat we wel steeds meer verbeteringen zien in de bewustwording binnen bedrijven. We zien daarnaast ook dat de groei van het aantal bedrijven dat cyberverzekeringen afsluit er ook voor heeft gezorgd dat de cyberweerbaarheid van bedrijven is gegroeid. Niet alleen doordat onder de cyberverzekeringen ook preventieve diensten en incident respons worden gedekt maar ook doordat verzekeraars hogere eisen stellen aan bedrijven dan aan het begin en daardoor bedrijven beter beveiligd zijn en beter voorbereid op een eventueel incident.”