Waar blijft de cybersecurity stresstest voor het bedrijfsleven?
Een serie blogs over de toekomst van de finance professional.
Tijdens een congres dat ik onlangs bijwoonde over cybercrime werd gevraagd wie van de aanwezigen met zijn of haar organisatie al eens digitaal is aangevallen en een losgeldsom heeft betaald. Het bleef oorverdovend stil. Terwijl we weten hoeveel bedrijven dit overkomt. Het is geen kwestie van of je bedrijf wordt gehackt, maar eerder wanneer. Iedereen komt aan de beurt en wetgeving loopt vaak achter op de technologische ontwikkelingen. Waar komt het op aan als finance professional? Op je morele kompas. Ethiek is belangrijker dan ooit in het bedrijfsleven. Net als openheid, het uitwisselen van ervaringen. Alleen dan komen we verder.
Ik snap de doodse stilte in de zaal. Uit schaamte. Niemand wil toegeven losgeld te hebben betaald. De dief laat weten dat, als je betaalt, je de gestolen data weer terug krijgt. Maar ja, elk bedrijf heeft geheimen. En er is een kans dat de dief een kopie heeft van al deze geheimen. Zo kan het zijn dat hij later weer terugkomt met net weer andere data die je ook liever niet naar buiten wil hebben. En hoe weet je dat er niets is aangepast aan de data die je terugkrijgt? Je data kunnen corrupt zijn. Zo gaat het maar door, het houdt niet op. Het beste is dus om niet te betalen.
Maar ja, wees maar eens zo principieel. De hogeschool van Arnhem en Nijmegen (HAN) probeerde het toen de HAN slachtoffer werd van een grote hack. Een crimineel vroeg losgeld om persoonlijke gegevens van studenten en medewerkers niet te lekken, maar de hogeschool weigerde te betalen. De hacker zette vervolgens de gestolen gegevens op internet.
De diefstal van persoonsgegevens bij de HAN staat niet op zichzelf. Op steeds grotere schaal vallen hackers computersystemen aan, zo las ik begin dit jaar in de Volkskrant dat de politie in 2020 veel meer digitale misdrijven zag dan het jaar ervoor. Criminelen kunnen op veel verschillende manieren binnendringen. Bijvoorbeeld via je IoT (Internet of Things) zonnepanelen. De beveiliging hiervan schijnt erg zwak te zijn. Het systeem is rechtstreeks aangesloten op je bedrijfsnetwerk. De hackers die dit soort aanvallen plegen zijn waanzinnig goed. Wereldwijd zitten maar drie mensen voor dit soort misdaden in de gevangenis. Drie! De rest krijgen ze niet te pakken.
Als ze binnen willen komen dan lukt dat ook
Ook de Nederlandse overheid loopt gigantisch achter op dit vlak. Een aanvaller hoeft zich niet aan de wet te houden en gebruikt de allerlaatste technieken waar onze overheid nog lang niet van heeft gehoord. En hoe traceer je als Nederlandse politie een hacker die in een ander land zit? Onmogelijk. Vergelijk het met fysiek inbreken in je huis. Je kunt je huis nog zo beschermen, maar als ze echt binnen willen komen dan lukt ze dat ook. Op welke manier dan ook.
Dat cybersecurity wordt gezien als een ‘IT-feestje’ is allang niet meer van deze tijd. Cybersecurity ligt vooral op het bordje van de CFO. Die moet er bovenop zitten. Omdat dit soort aanvallen je hele bedrijf lam kunnen leggen. Er staat veel op het spel. Je moet continu een beroep doen op je morele kompas. Hoe gaan jij en je organisatie ethisch met deze kwesties om? Dat komt aan op goed doorvragen, het uitvoeren van audits, maar ook op openheid en het uitwisselen van ervaringen met andere bedrijven. Zodat we kunnen leren van elkaar.
Brandalarm-oefeningen zijn toch heel gewoon voor onze veiligheid, maar welke alarmoefeningen houden we voor onze online veiligheid? Banken houden zichzelf scherp met stresstests, maar wat doen we vanuit het bedrijfsleven? Wanneer zit jij als CFO met de board bij elkaar om een cyberattack te oefenen in een soort rollenspel? En wat moet je doen en wie moet je bellen als je per ongeluk op een verkeerde link klikt? Het kan echt de besten overkomen.
Weg met de taboe
Vooral dat taboe moet verdwijnen. Laten we stoppen elkaar als een sukkel te zien zodra je op een verkeerde link klikt. Als er bij jou wordt ingebroken lacht de hele straat jou toch ook niet uit? Waarom doen we dat dan wel met cybersecurity?
Alain Mulder is Senior Director Europe Operations bij IMA, de wereldwijde vereniging van finance professionals. Ook is hij verantwoordelijk voor de Europese groei van het Certified Management Accountant-programma.