‘Veel bedrijven kunnen geen goede security-profs aantrekken of behouden’

Ruim dertig procent van de Nederlandse bedrijven verwacht in de komende twee jaren veel meer gebruik te zullen maken van gespecialiseerde bedrijven op het gebied van cybersecurity terwijl de helft aangeeft er nog niet uit of niets te wijzigen aan hoe het nu is ingeregeld. Dat blijkt uit onderzoek van Willem van der Valk van internationaal management & tech adviseur Eraneos. Het adviesbureau deed een steekproef onder tientallen Nederlandse bedrijven.

• banken zijn bovengemiddeld beter beveiligd
• testen van IT-systemen levert risicobeeld op
• incidenten lastig te kwantificeren

FM.nl (1/8): Is het kennisniveau van finance afdelingen voldoende om cybersecurity(risico’s) op juiste wijze in te schatten?

Willem van der Valk: “Over het algemeen niet. Dat komt deels doordat het een complex risico is waar zij nog te weinig affiniteit mee hebben. Om dat te keren is meer awareness en training nodig. Een andere oorzaak is er te weinig kennis omdat security professionals nog niet goed zijn in het kwantificeren van risico’s. Kwantificeren is lastig omdat data over incidenten nog altijd slecht beschikbaar en omdat cyberdreigingen snel veranderen. Die snelle veranderingen maken de historische data van beperkte waarde.”

FM.nl (2/8): In hoeverre wordt cybersecurity complexer waardoor bestuurders de beveiliging niet meer zelf kunnen maar cybersecurity moeten ‘outsourcen’?

Willem van der Valk: “Je zou mijns inziens als bedrijf zelf beter in moeten worden (basis cyber maatregelen zoals patching, toegangsbeheer en veilige configuratie op orde) en complexe security services tav detectie en respons uitbesteden of slim samenwerken met een security partner. Veel bedrijven lukt het niet om dit zelf te doen, omdat ze geen goede security professionals kunnen aantrekken, laat staan behouden. Voorbeeld daarvan is het ontbreken daarvan doorgroeimogelijkheden of samenwerken in een team met veel security expertise.”

FM.nl (3/8): Hoe kan de CFO de awareness verhogen?

Willem van der Valk: “Samen met security professionals kijken naar wat de ‘kroonjuwelen’ zijn van de organisatie en laten zien wat de impact is als het misgaat. Zo kunnen zaken niet meer beschikbaar zijn door ransomware of als gevoelige data op straat komt te liggen. Vervolgens dit uitdragen in de organisatie, training verzorgen of laten verzorgen.” [artikel gaat verder na volgende alinea]

---

Interesse in een partnerschap, plaatsen van content of een toelichting en advies over deze website? Partner manager Daan Commandeur is bereikbaar op 06-28068433 of daancommandeur@sijthoffmedia.nl

---

FM.nl (4/8): Wat zijn de drie belangrijkste indicatoren voor een CFO waaraan hij kan zien of zijn organisatie voldoende cybersec kennis en ervaring heeft?

Willem van der Valk:  “Allereerst moeten security-testen worden uitgevoerd, zoals bijvoorbeeld een geavanceerde red team oefening waarbij scenario’s worden nagespeeld. Door dergelijke exercities kan bijvoorbeeld gemonitord worden wat er gebeurt als een criminele organisatie probeert ransomware te plaatsen of financiële transactie over te maken zonder dat de organisatie het doorheeft. Verder zou een CFO een benchmark kunnen laten uitvoeren over de status van securitt capabilities in de organisatie. Ten slotte zou de CFO kunnen kijken naar openstaande risk en audit issues tav it en security risico’s.

FM.nl (5/8): Welke sectoren of ketens zijn bovengemiddeld kwetsbaar voor onvoldoende cybersec? Willem van der Valk: “Vroeger waren cyberaanvallen gericht op banken. Maar met de komst van ransomware zie je dat tegenwoordig alle sectoren en ketens kwetsbaar zijn. Vaak wordt er ook niet gericht aangevallen maar gekeken waar zich toevallige mogelijkheden voordoen. Zo kunnen cybercriminelen bijvoorbeeld een IT-systeem scannen om er zo achter te komen waar eenvoudig het systeem binnen kan worden gedrongen. Vervolgens kan daarna worden bekeken bij wat voor soort bedrijf is ‘ingebroken’. Ook statelijke actoren zorgen voor meer impact. Deels zijn deze aanvallen gericht op de vitale infrastructuur of op spionage bij grote corporates. Maar soms is er ook sprake van collateral damage door de ‘automatische’ verspreiding van malware; die komt dan onbewust op allerlei plekken in het IT-systeem terecht. Dit was bijvoorbeeld te zien bij de wereldwijde ransomware aanvallen zoals wannacry en notpetya.”

FM.nl (6/8): Welke sectoren zijn kwetsbaar ?

Willem van der Valk: “Je merkt dat banken een stuk verder zijn met het beveiligen dan bedrijven in andere sectoren, Bij ABN Amro werken bijvoorbeeld meer dan 500 security professionals.”

FM.nl (7/8): Welke rol moeten de EU, het Rijk of autoriteiten innemen om de IT-systemen van bedrijven veiliger te maken?

Willem van der Valk: “Zij moeten zorgen voor samenwerking en moeten kennisdeling over security incidenten stimuleren. Daarnaast zijn initiatieven zoals het Tiber programma van de Nederlandsche Bank een goede manier om red team testen te simuleren en geleerde lessen te delen. Verder moet de overheid proberen te voorkomen dat er te veel gekeken wordt naar alleen compliance in plaats van echt veilig te worden. Security-teams moeten vooral bestaan uit mensen die echt security doen en een klein beetje uit mensen die dit goed vastleggen in het geval van risk en compliance.”

FM.nl (8/8): Kunt u scenario’s voor finance-afdelingen en CFO’s schetsen wat er gebeurd als we niets doen ?

Willem van der Valk: “Door bijvoorbeeld ransomware zijn kernsystemen van bedrijven weken lang niet beschikbaar; met enorme schade als gevolg, zoals grote datalekken met persoonsgegevens geven en veel reputatieschade. Daar komen mogelijke boetes van de Autoriteit Persoonsgegevens nog achteraan. Door bijvoorbeeld phishingfraude worden grote bedragen overgemaakt naar een verkeerde bankrekening. Onder meer Pathe is hier in het verleden slachtoffer van geworden.”