Expert: ‘Voor ondernemers in cyberveld is het bijna onmogelijk om bij te blijven’

Cybersecurity-expert plaatst opmerkingen bij aanbevelingsrapport van NCTV aan bedrijven

“Wij zien als cybersecuritybedrijf dat een gemiddeld transportbedrijf vaak beter is beveiligd tegen cybercriminaliteit en digitale aanvallen dan de gemeente waar het bedrijf gevestigd is; simpelweg omdat de cybersecurity is uitbesteed”, dat zegt Eye Security in reactie op vragen van FM.nl over het rapport ‘Cybersecuritybeeld Nederland 2023’ van de Nationaal Coördinator Terrorisme en Veiligheid. Onlangs berichtte ook de zakenwebsite Business insider met een artikel (‘Nederland loopt voor met cybersecurity maar aanpak is complex‘) over de cyberrisico’s voor het bedrijfsleven.

  • cybersecurity op digitale werkplekken vaak een risico
  • verzekerbaarheid van risico’s is indicatie van niveau cyberveiligheid
  • managed cybersecurity betere oplossing dan in-house maatregelen
  • onvoldoende verzekeringsdekking cyberveiligheid beïnvloedt investeringskosten

De NCTV publiceerde onlangs een rapport met de meest recente bevindingen en dreigingen op het gebied van cybersecurity. Daarin waarschuwde de NCTV onder meer voor de cyberrisico’s voor bedrijven -met name bedrijven die digitaal in een productie- en logistieke keten met elkaar verbonden zijn. Reden voor FM.nl om aan cybersecurity-bedrijf Eye Security enkele vragen te stellen over de waarschuwingen van de NCTV aan het adres van bedrijven.

FM.nl (1/6): Eerder berichtte FM.nl in een artikel over de inhoud van het rapport. In hoeverre onderschrijft u de bevindingen van de NCTV?
Eye Security: “Supply chain-incidenten vormen inderdaad een aanzienlijk risico voor bedrijven. We zien vooral dat het vaak misgaat bij leveranciers van werkplekken en applicaties. Ze hebben vaak niet de expertise om geavanceerde aanvallen af te weren, terwijl we de laatste jaren een snelle toename van professionele ransomwaregroepen hebben gezien. Daarom raden we altijd aan om de beveiliging aan een externe partij over te laten en op die manier te voorkomen dat een werkplekleverancier ook verantwoordelijk is voor de veiligheid.”


Aannames; als CFO of Corporate Controller gebruik je ze elke dag bij het nemen van belangrijke beslissingen. Maar aannames zijn vaak het resultaat van persoonlijke ervaringen, van privé overtuigingen en van de omgeving waarin we opereren. Op de jaarlijkse Leadership in Finance Summit worden aannames expliciet gemaakt en omgezet in scherpere inzichten en winnende strategieën. Reserveer daarom nu al vrijblijvend een plek op het evenement op 31 oktober in het Spant! in Bussum of wijs anderen op dit evenement. Deelname aan het Leadership in Finance Summit is voorbehouden aan (Group-)CFO’s, Financieel Directeuren en Group / Corporate Controllers van organisaties met een omzet vanaf €75 miljoen.


FM.nl (2/6): Welke vragen stelt u bij het onderzoek van de NCTV?
Eye Security: “Opvallend genoeg blijven gerichte maatregelen in de samenleving uit. De overheid geeft aan dat we voor een uitdaging staan en dat de cyberbeveiliging op alle fronten moet worden versterkt. Tegelijkertijd zien we dat de aanpak erg versplinterd is. Ondanks de positieve ontwikkeling van de integratie tussen DTC en NCSC, zijn er nog steeds talloze initiatieven waar meer grip op moet komen.

Voor ondernemers in het cyberveld is het bijna onmogelijk om bij te blijven. Er zijn vele goedbedoelde regionale en gemeentelijke initiatieven, maar het is belangrijk dat de financiële middelen terechtkomen waar ze effect hebben. Net zoals bij de energietransitie moeten de financiële middelen gericht worden ingezet op de plekken waar maatregelen nodig zijn. In Nederland is dat met name het midden- en kleinbedrijf (MKB), maar ook onderwijsinstellingen, zorginstellingen, vervoersbedrijven, enzovoort. Op dit moment zien we helaas vaker dan in de private sector dat er geen budget is om de noodzakelijke maatregelen te nemen. De NCTV stelt dat de zwakste schakel in netwerken van een keten aan bedrijven, het grootste risico vormt.”

FM.nl (3/6): Wat moeten CFO’s en boardrooms doen met deze waarschuwing?
Eye Security: “Het onderwerp cyberbeveiliging staat steeds hoger op de agenda van directies. Bedrijven met een omzet tussen de 20 en 500 miljoen zijn allemaal bezig met dit onderwerp. Nieuwe regelgeving, zoals NIS2 en DORA, speelt hierbij een rol, met name op het gebied van bestuurlijke aansprakelijkheid, wat ondernemers raakt. Ook wordt de markt van cybersecurity aanbieders steeds professioneler. Een uitdaging voor veel organisaties blijft de enorme snelheid van technologische ontwikkelingen. De adoptie van moderne technologie blijft vaak achter, omdat dit bepaalde expertise vraagt. Tegenwoordig zijn er veel professionele aanbieders van managed cybersecurity die kwalitatief een stuk beter zijn dan in-house cybersecurityprogramma’s. Je ziet bijvoorbeeld dat een gemiddeld transportbedrijf vaak beter is beveiligd dan de gemeente waar ze is gevestigd, simpelweg omdat de cybersecurity is uitbesteed. Ook hier moet de overheid een voorbeeldfunctie innemen.”

FM.nl (4/6): Wat kan de financiële kolom binnen een bedrijf doen om het netwerk dat verbonden is met de keten, veilig te houden?
Eye Security: “Digitale veiligheid is net zo goed een bedrijfsrisico als andere risico’s, zoals brand. Daarom zijn er zoveel bedrijven die dit risico verzekeren. Als CFO ben je verantwoordelijk voor het cyberrisico van je organisatie. Je kan je laten informeren door je verzekeringsmakelaar of een cybersecuritybedrijf over de beveiliging van je organisatie. Een verzekeraar bepaalt aan de hand van een risico-analyse of je verzekerbaar bent. Als je verzekerbaarheid onvoldoende is, moet je je afvragen of je het cyberrisico voldoende onder controle hebt.”

FM.nl (5/6): De NCTV noemt ook de afhankelijkheid van het Nederlands bedrijfsleven in een handvol grote techbedrijven, als risico. Hoe ziet u dat ?
Eye Security: “Ja, dat is inderdaad een risico. Net zoals bij energieleveranciers en watervoorziening, zien we ook dat de digitale infrastructuur kwetsbaar is en als vitaal moet worden beschouwd. Het is echter belangrijk dat organisaties zelf de juiste maatregelen nemen tegen cyberincidenten. Als er geen monitoring, detectie en incidentrespons is geïmplementeerd, is de kans groot dat er vroeg of laat iets misgaat.”

FM.nl (6/6): De NCTV stelt dat verzekeren steeds lastiger wordt. Hoe ziet u dat?
Eye Security: “Voor traditionele verzekeraars is het inderdaad uitdagend om risico’s in te schatten. Ze zijn gewend om te vertrouwen op historische gegevens voor hun resultaten. Bij cyberverzekeringen is het echter lastig omdat historische data beperkte voorspellingen kan doen over toekomstige risico’s. Neem
bijvoorbeeld een grote kwetsbaarheid: je kunt organisaties vragen of ze die specifieke
kwetsbaarheid hebben opgelost, maar dat zegt niets over de nieuwe kwetsbaarheden die in de
toekomst kunnen ontstaan. Dit verklaart waarom er nieuwe cyberverzekeringsbedrijven opkomen
die 24/7 risico’s kunnen monitoren.

Daarnaast zijn er ook systeemrisico’s die het verzekeringsproces steeds complexer maken. Net zoals
bij overstromingen kunnen de overheid en verzekeraars samenwerken om te kijken hoe we deze
systeemrisico’s beter kunnen beheersen. Het is van groot belang dat verzekeraars zich niet
terugtrekken uit de cybermarkt, aangezien zij juist een belangrijke stimulans vormen voor het
nemen van cybermaatregelen in Nederland. De verzekeringsindustrie voelt immers de impact
hiervan. Het niet kunnen afdekken van existentiële risico’s beperkt de mogelijkheid om te
investeren, leningen aan te gaan, enzovoort. Met name voor systeemrisico’s zou de overheid een
actievere rol moeten spelen.”