Sander Zeijlemaker (MIT): ‘Cybersecurity ook een zaak van financials’

Ook criminelen innoveren. Zeker cybercriminelen, die om de haverklap met nieuwe soorten ransomware, malware en andere digitale vernietigingswapens komen. Maar waar aanvallers continu evolueren, doen bedrijven dat nog veel te weinig, zegt deskundige Sander Zeijlemaker (Disem Institute, MIT). Zijn oplossing: een flexibele aanpak gebaseerd op de systeemdynamica.

Alleen al bij de grootste Nederlandse ondernemingen en overheden leidt cybercriminaliteit tot een schadepost van naar schatting rond de tien miljard euro per jaar. Bedrijfsprocessen kunnen stilvallen, met enorme financiële schade op korte en lange termijn. Denk aan de Petya-ransomeware die enkele jaren geleden de containerterminal van Maersk in Rotterdam lamlegde, met een directe schadepost van zo’n 250 miljoen euro. Een andere catastrofaal gevolg van cybercriminaliteit kan zijn dat de reputatie van je bedrijf te grabbel wordt gegooid, zoals het later failliet gegane DigiNotar ondervond toen dit beveiligingsbedrijf werd gehackt. En dan zijn er nog de boetes die de overheid kan opleggen als blijkt dat je cybersecurity tekort is geschoten. Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) kunnen die oplopen tot miljoenen euro’s. Ook als criminelen geen misbruik hebben gemaakt van de situatie.

Of liever gezegd: nóg geen misbruik hebben gemaakt van de situatie. Want als de beveiligingsmaatregelen niet keer op keer worden aangescherpt, neemt dat de kans daarop zeker toe. In feite is cyberveiligheid een continue wapenwedloop, met de beveiligers en criminelen als strijdende partijen. Waarbij de criminelen altijd op voorsprong staan. Zij kunnen snel handelen, zonder te worden gehinderd worden allerlei wetten, regels en gedragscodes. En ongestoord werken aan nieuwe, nog krachtiger methoden om data te kapen, te beschadigen, te kopiëren of op andere manieren te misbruiken. Met innovatieve en gebruiksvriendelijke tools, van USB Sticks die toegang bieden tot computernetwerken tot software met tientallen handige applicaties voor hackers. Om enig tegenwicht te bieden aan al die digitale vernietigingswapens is het voor bedrijven zaak voortdurend waakzaam te zijn en zich keer op keer aan te passen aan nieuwe bedreigingen.

Dat doen ze ook wel, alleen lang niet altijd op de juiste wijze. Dat zegt Sander Zeijlemaker, directeur van cybersecurity-adviesbureau Disem Institute. Ook is hij sinds kort research affiliate bij het befaamde MIT in Boston, waar hij het onderzoek naar cybersecurity waarop hij eerder dit jaar promoveerde zal voortzetten. Binnenkort komt er bovendien een boek van hem uit, het managementboek Grip op digitale veiligheid: Een toekomstbestendige strategie, zo doe je dat. gebaseerd op zijn proefschrift. En dan is hij ook nog een gewaardeerd docent van NBA-opleidingen. Hij heeft naam gemaakt met de opleiding Dynamiek in Cyberveiligheid, gericht op financiële professionals, maar binnenkort verzorgt hij ook een opleiding met riskmanagers als doelgroep.

Dynamiek centraal
Centraal in zijn denken – de titel van zijn proefschrift Unravelling the dynamic complexity of cybersecurity verraadt het al – is het belang van dynamiek voor cybersecurity. Dynamiek in de omgeving, om te beginnen: dynamiek in de bedreigingen die zich kunnen voordoen, dynamiek in de aanvallen van cybercriminelen, dynamiek in gaten die in de beveiliging kunnen vallen – alleen al doordat er voortdurend mensen komen en gaan, nieuwe leveranciers worden ingeschakeld en apparatuur aangeschaft.

Voor financials zou dat belang van ‘dynamiek’ geen nieuws moeten zijn. Tenslotte zijn financials er in het algemeen wel van doordrongen dat de wereld – en de coronacrisis toont dat maar weer eens aan – ‘volatile, uncertain, complex and ambiguous’ oftwel VUCA is, volgens het acroniem dat sinds de aanslagen in New York van 9 september 2001 wordt gebruikt. En zien ze in dat het, aangezien de omgeving zo ‘VUCA’ blijkt, maar wat moeilijk is je voor te bereiden op wat komen gaat. Tegelijkertijd streven ze er naar om toch instrumenten in te zetten om ‘naar buiten’ te blikken en goed naar de omgeving te kijken en een inschatting te maken van toekomstige ontwikkelingen. Daarnaast streven naar maximale weerbaarheid en wendbaarheid van hun organisatie, zodat die zich soepel kan aanpassen aan allerlei veranderingen.

Toch is die benaderingswijze als het gaat om cybersecurity ook onder financials uitzonderlijk, zegt Zeijlemaker. “Bestuurders die keuzes moeten maken op het gebied van cybersecurity, worden ondersteund door allerlei standaarden, raamwerken, en vergelijkingen met andere organisaties. Na elk incident, intern of bij andere bedrijven, worden er nieuwe maatregelen opgesteld om een volgend incident te voorkomen. Maar dat is een vrij statische aanpak, een beetje alsof je autorijdt door alleen in de achteruitkijkspiegel te kijken.”

Bovendien zijn die maatregelen vaak uitsluitend technisch van aard, en worden in de wapenwedloop met de cybercriminelen alleen de hard- en software aangepast om de beveiliging op peil te brengen, zoals de aanschaf van nieuwe servers en nieuwe detectiesoftware. En wat de effectiviteit is van al deze maatregelen achteraf en van al dat zware technologisch geavanceerde geschut? Dat is ook maar de vraag, aangezien mensen de consequenties van hun keuzes moeilijk kunnen overzien.

Systeemaanpak
Zeijlemaker pleit voor een alternatieve aanpak. Hij maakt zich sterk voor een aanpak gebaseerd op systeemdynamica, een aanpak dat al langer gebruikt wordt in verschillende andere werelden, van medisch onderzoek tot duurzaamheid. “Kijk naar je hele organisatie, want beveiliging is bedrijfsbreed: de besturing, de processen, de mensen die er werken, hoe ze samenwerken, naar de bedreigingen die zich kunnen voordoen en – dat spreekt voor zich – naar de techniek en het beveiligingsbeleid.”

Daarnaast is hij voorvechter van het gebruik van computergestuurde simulatiemodellen, omdat dat een goede manier is om enige grip te krijgen op toekomstige ontwikkelingen – in elk geval beter dan wanneer het menselijke brein op eigen kracht moet beslissen. “Kortom: breng alle factoren in hun samenhang in kaart die meespelen bij het nemen van strategische besluiten op gebied van cybersecurity. En laat met behulp van simulaties zien hoe succesvol toekomstige besluiten waarschijnlijk zullen zijn. Zo kun je de strategische besluitvorming op beveiligingsgebied ondersteunen. Beter dan met de gebruikelijke statische benaderingswijze.”

Dit alles verklaart meteen waarom hij zich in zijn pleidooi voor een flexibele aanpak gebaseerd op de systeemdynamica zo sterk op financials richt: “De financial is een ‘spin in het web’. Hij vervult binnen de organisatie een centrale rol, kan over schuttingen kijken en zien welke maatregelen elkaar versterken.”

En kan volgens Zeijlemaker dus ook als beste bepalen welke investeringen om de beveiliging te verbeteren het meeste zin hebben – althans als hij die systeembenadering hanteert. En als hij simulaties inzet om zijn beslissingen te ondersteunen. “Het gebruik van simulaties ondersteunt besluitvormers bij het prioriteren van activiteiten en investeringsplannen, het inzichtelijk maken van toekomstig benodigd budget, en het opstellen van onderbouwde toekomstplannen. Een simulatie toont immers de effectiviteit van een beoogde strategie alvorens de nodige investeringen te doen. Als strategische doelen niet gehaald worden, is simuleren van de bijgestelde strategie wenselijk. Gelet op de schade die een cyberaanval kan opleveren, zijn de kosten van simuleren verwaarloosbaar.”

Grip op digitale veiligheid: Een toekomstbestendige strategie, zo doe je dat kan is vanaf juli beschikbaar bij boekenbestellen.nl, bol.com en in de boekhandel.

De huidige maatschappij wordt ook wel een digitale samenleving genoemd. Zij is technologisch gezien sterk onderling verbonden en heeft steeds meer te maken met nieuwe digitale concepten, zoals e-health, smart city en de Industrie 4.0. Adequate digitale veiligheid heeft hierin een onmisbare rol.

Na een incident, zijn vaak ad-hoc reacties bij aangevallen organisaties serieus aan de orde, en blijkt in een confronterende realiteit, dat een solide digitale veiligheidsstrategie noodzakelijk is. Hoogste tijd dat besluitvormers digitale veiligheid in haar dynamiek en complexiteit als normaal managementveld bezien.
Dr. Sander Zeijlemaker RA RE CISA CISM SCF is een strateeg, consultant en schrijver, die zich richt op voorspelbaarheid van ingewikkelde, strategische vraagstukken. Hij is gespecialiseerd en gepromoveerd in digitale veiligheids- en investeringsvraagstukken.
In duidelijke taal geeft: ‘Grip op digitale veiligheid’ een solide, handzame handreiking die bestuurders en besluitvormers met behulp van dynamisch modelleren succesvol helpt bij:
• Het definiëren van effectieve veiligheidsstrategieën.
• Het maken van voorspellende lange termijnanalyses voor kritische indicatoren relevant voor de veiligheidsstrategie.
• Het realiseren van managementinformatievoorziening voor continue bewaking.