Cybersecurity: finance functie moet rol pakken

Bedrijven doen niet genoeg aan cybersecurity. Deskundigen roepen op tot meer samenwerking tussen bedrijven onderling. Maar openheid geven ligt gevoelig.

Doen bedrijven volgens u genoeg aan cybersecurity?
“De meeste bedrijven begrijpen dat ze aan de slag moeten met cyberveiligheid, maar sommigen leven nog in de vorige eeuw en denken dat een firewall en antivirussoftware voldoende zijn voor goede bescherming. In gesprekken op boardniveau kom ik vaak verkeerde veronderstellingen tegen: ‘Wie wil ons nou aanvallen?, Wie kent ons nou?’ Of: ‘Hoe belangrijk zijn we nou eigenlijk?’ Het is niet zo dat het over het algemeen slecht gesteld is met cybersecurity, maar ik denk dat het veel beter kan. De transportsector is op dit moment veel bezig met automatisering. Hierbij is er veel aandacht voor de positieve en weinig aandacht voor de negatieve kanten, zoals cybersecurity. In de zorgsector is er wel inzicht, maar daar is budget een issue. Sommige grote bedrijven zijn de dans tot nu toe ontsprongen, daardoor is het besef er nog niet. De financiële sector is wel volwassen, daar gaat het ook om cruciale infrastructuur.”

Wat moet er gebeuren om de urgentie te vergroten?
“­Cyberaanvallen kunnen volledige bedrijfsprocessen verstoren en heel veel geld kosten. De mensen die gaan over de strategische belangen moeten voldoende kennis en inzicht van cybersecurity hebben. De top van het bedrijf is de plek waar besloten wordt of er geld in cybersecurity gestoken wordt of dat het risico voor lief wordt genomen en het geld ergens anders naartoe gaat. Een probleem is dat cybersecurity soms wordt uitbesteed aan IT-medewerkers. ‘Regel het maar’, is het idee. Maar bij IT ontbreekt soms het inzicht in wat de belangrijkste assets van het bedrijf zijn. Deze medewerkers nemen niet perse een beslissing in het belang van het bedrijf. Financials hebben dit inzicht wel. De topfinancial gaat over geld en is zich bewust van risico’s. Goede cybersecurity is duur, maar niet altijd is de duurste vorm nodig. Het is dus altijd een afweging. Daarin moet je realistisch zijn, het volledig uitsluiten van risico’s is onmogelijk. Bedrijven moeten accepteren dat er af en toe iets fout kan gaan. Het gaat erom te bepalen waar het bedrijf zo min mogelijk risico’s wil lopen.”


Waarom lukt het de mensen die het belang van cybersecurity wel inzien soms nog niet goed om er prioriteit voor te krijgen?
“Vaak gaat het om een security officer, die wel weet waar het bedrijf moet staan, maar het geld voor de benodigde investeringen niet meekrijgt. Het bestuur en de CFO willen dan niet meer geld uitgeven. Het is soms pijnlijk dat een bedrijf wel wist dat er meer aandacht aan cybersecurity besteed had moeten worden en dan door een incident ineens ‘2017’ in wordt getrokken. Dan moet plotseling de portemonnee worden getrokken om de beste mensen de schade te laten herstellen. Op dat moment is er al geen keuze meer.”

Regelmatig duiken berichten op over grote incidenten op het gebied van cyberveiligheid. Wat zegt dat over het niveau van de beveiliging?
“Zoals ik al zei moet het nog beter. Maar in vergelijking met de rest van de wereld doen we het niet slecht. Waarom gaat het dan toch soms fout? Bij Fox-IT behandelen we zo’n 200 cyber gerelateerde incidenten per jaar. Soms zijn er gevallen die niet hadden hoeven te gebeuren, iemand die z’n fiets niet op slot heeft gezet, bij wijzen van spreken. Soms neemt het bedrijf de juiste voorzorgsmaatregelen, maar gaat het toch mis. Dat valt niet altijd te voorkomen. Veel bedrijven houden rekening met deze mogelijkheid en bereiden zich goed voor om adequaat te kunnen reageren. Maar die nuance gaat binnen de media vaak verloren. Die smullen ervan. Als een bedrijf intern wel goed gereageerd heeft, blijft dat vaak ook intern. Ondernemingen treden hier niet over naar buiten. Ze voelen zich in hun hemd gezet als ze in de media komen. Het wijzen met de vinger zorgt dat het probleem niet optimaal aangepakt wordt. Want waar bedrijven allemaal beter van kunnen worden is openheid bieden. Dat cultiveer je niet door een schuldige aan te wijzen. Het is vreemd om de schuld van een hack bij het slachtoffer neer te leggen. De eigenaar van een huis krijgt ook niet de schuld van een inbraak.”

Zouden bedrijven meer moeten samenwerken op het gebied van cybersecurity?
“Zeker. Vanuit Fox-IT roepen we op tot meer samenwerking. In de vliegtuigindustrie is het heel gebruikelijk dat onderzoeken naar de oorzaak van een crash openbaar worden. Andere bedrijven leren zo waar ze beter op moeten letten. Dat zou binnen cybersecurity hetzelfde moeten gaan. Het is ook onvermijdelijk, want investeren in cybersecurity is duur. Maar dat betekent wel dat informatie na een incident gedeeld moet worden. Dat gebeurt al wel: banken, verzekeraars en pensioenfondsen zitten samen om de tafel. Toch is er terughoudendheid. Het zou beter zijn om het overleg over de sectoren heen te tillen.”

Heeft de overheid een rol binnen cybersecurity?
“Ik denk het wel, omdat ontwikkelingen op dit terrein nog niet vanzelf gaan. Zo is er nu een meldplicht datalekken, nadat gegevens van klanten meerdere malen in handen van criminelen zijn gevallen. Bedrijven hielden dat stil en klanten bleven onwetend. Wetgeving dwingt bedrijven nu diefstal van persoonsgegevens te melden op straffe van een boete. Dit soort wetten zou op meer vlakken ingesteld moeten worden. Neem de DDoS-aanvallen via beveiligingscamera’s. Een prikkel die de fabrikanten dwingt software veiliger te maken ontbreekt. De overheid moet dat gedrag afdwingen.”

Welke rol moet finance idealiter spelen binnen cybersecurity?
“De financieel manager heeft, gechargeerd gezegd de gehele dag mensen aan het bureau staan die geld willen en moet dus kritisch zijn. De crux is dus dat hij/zij net als bij andere risico’s voldoende inhoudelijk begrip moet hebben van wat er beschermd wordt, waartegen en wat wel en niet relevant is. Laat je van verschillende kanten informeren en praat met peers. Dan blijkt dat andere bedrijven ook met deze issues worstelen. Een financieel manager hoeft geen technisch specialist te zijn. Het lukt me vaak heel goed om boards te informeren, zonder technische termen te gebruiken. Sommige security officers slagen er juist niet in de vertaalslag te maken naar de consequenties voor het bedrijf, omdat ze te technisch zijn. Een financial moet verder een realistisch beeld hebben van wat goede cybersecurity betekent. De realisatie dat het risico niet volledig afgedekt kan worden is belangrijk. Een bedrijf moet investeren in de ‘muur’, maar ook in een alarm zodat snel een melding komt als er een aanval is. En er moeten mogelijkheden zijn om adequaat te reageren. Denk aan de juwelier: die heeft naast een rolluik, een camera om een indringer die toch binnenkomt op te merken en een abonnement op de alarmcentrale om in te grijpen.”