De aanleiding

Onze manier van werken is significant veranderd. Een groot deel van de Nederlandse werknemers geeft aan graag deels thuis te blijven werken en niet terug te willen naar hoe het was vóór de crisis. Onderzoek van de FNV laat zien dat slechts tien procent van de mensen graag helemaal terug naar kantoor wil, dat twintig procent van hen het liefst helemaal thuis blijft werken en dat zeventig procent graag hybride blijft werken. Dat sluit aan bij de behoefte van mensen om elkaar op te zoeken, maar ook geconcentreerd en in stilte te kunnen werken.

Cybercrime viert hoogtij

Al dat thuiswerken frustreerde criminelen, die minder eenvoudig konden inbreken. Iedereen was immers thuis. Het aantal inbraken daalde de afgelopen anderhalf jaar fors, maar de digitale vorm van criminaliteit vierde hoogtij. Het massale thuiswerken was koren op de molen van cybercriminelen die zich gretig op de actualiteit stortten en met phishingmails de wachtwoorden en andere gevoelige informatie van argeloze gebruikers wisten te achterhalen. Daarmee konden ze zich vervolgens toegang verschaffen tot bedrijfsnetwerken om daar ongewenste acties uit te voeren. Denk bijvoorbeeld aan een ransomware-aanval. Het aantal meldingen van dit soort gijzelingen van bedrijfssystemen en -data is fors gestegen. In de eerste helft van dit jaar werd, volgens experts, bijna net zoveel ransomware waargenomen als in heel 2020.

Vernietigende gevolgen

Ransomware kan vernietigende gevolgen hebben voor een organisatie. Zeker nu steeds meer organisaties in toenemende mate afhankelijk zijn van IT. Is de IT-omgeving of bedrijfsdata niet beschikbaar, dan komt het hele bedrijf stil te staan. Naast de schade die dat oplevert, kost het bovendien veel geld om systemen te herstellen, om nog maar te zwijgen van het eventuele losgeld dat betaald wordt. De werkelijke schade door ransomware wordt door organisaties veelal onderschat en kan in de tientallen miljoenen euro’s lopen. En dan hebben we het nog niet eens gehad over andere cyberaanvallen, zoals datadiefstal, malware en hacks. Uit onderzoek van Zembla (uitzending 7 oktober 2021) bleek bovendien dat 43 van de 100 onderzochte vitale bedrijven in Nederland, hun e-mailbeveiliging niet op orde had. Daarmee loopt het Nederlanders bedrijfsleven, en de gehele samenleving, groot gevaar.

Veilig voor de volgende fase?

Nu hybride werken een blijvende verandering lijkt, is het zaak om te bekijken hoe organisaties dat zo veilig mogelijk kunnen doen. Zijn de veiligheidsmaatregelen die in maart 2020 in allerijl werden ingevoerd wel bestendig op de lange termijn? Zijn werknemers zich inmiddels meer bewust van het risico dat zijzelf vormen als toegangspoort tot waardevolle bedrijfsinformatie? Weten ze hoe ze veilig kunnen werken ook vanaf andere locaties dan kantoor? Kortom, hebben bedrijven voldoende technologische en menselijke maatregelen genomen om te zorgen dat hun kroonjuwelen optimaal beschermd zijn?

De stelling

Cybercriminelen hebben bedrijven die hun cybersecurity niet op orde hebben flink in de tang. Het is immers allang niet meer de vraag óf een organisatie wordt getroffen door cybercrime, maar wannéér. Daarmee rijst de vraag waar de verantwoordelijkheid voor cybersecurity ligt binnen een organisatie. Traditioneel was dat een taak die op het bord van de IT-afdeling lag, maar steeds vaker komt het onderwerp op tafel in de boardroom. Een organisatie die stil komt te liggen door een cyberaanval kan forse financiële schade lijden, met mogelijk faillissement tot gevolg. Vandaar de stelling: Cybersecurity moet het belangrijkste onderwerp zijn in de boardroom.

De experts

Want wie en wat bepaalt het belang van cybersecurity en waar ligt de verantwoordelijkheid binnen een organisatie? Ligt die niet bij iedereen? We laten drie digital heroes, ieder vanuit hun eigen expertise, hun licht schijnen over de stelling.

Petra Oldengarm

Directeur bij Cyberveilig Nederland, belangenvereniging van de cybersecurity sector

Helpt daarnaast als zelfstandig adviseur organisaties bij strategische en tactische cybersecurity vraagstukken

Vindt dat de eindverantwoordelijkheid voor cybersecurity op de bestuurstafel moet liggen

Rickey Gevers

Oprichter van Scattered Secrets en expert op het gebied van datalekken

Ethisch hacker bij The Hacker Company

Vindt dat bedrijven zelf niet voldoende toegerust zijn op het beveiligen van hun IT en data

Erno Doorenspleet

Vice President Security Strategy & CTO KPN Security

Zelfverklaard security freak

Verantwoordelijk voor het KPN Security Lab

Petra Oldengarm

‘Oneens: Je business is het belangrijkste, maar security komt daar vlak achteraan’

‘Digitale systemen zitten tegenwoordig in de haarvaten van veel bedrijven. Security moet daarmee hand in hand gaan. Uiteindelijk is je business het belangrijkste in de boardroom, maar security is daarvoor wel een belangrijke randvoorwaarde.’

Natuurlijke boardroom discussie

‘Security vindt steeds meer zijn weg naar de boardroom. Er zijn veel organisaties die volwassener worden op dat gebied, maar toch is er ook nog een groep bedrijven die het nog niet voldoende hoog op de agenda heeft staan. Daar is nog wel een wereld te winnen. De eindverantwoordelijkheid voor cybersecurity moet echt op de bestuurstafel liggen. Dat zie je nu ook steeds meer gebeuren. Waar security vroeger verstopt zat in de portefeuille van IT en de CFO, zie je tegenwoordig veel meer CIO’s in bedrijven. Je kunt de verantwoordelijkheid ook bij de CEO leggen. Doordat veel van de uitvoering van security over IT gaat, vaak rapporterend aan de CFO, ontstaat er een natuurlijke boardroomdiscussie. Belangrijk daarbij is dat de cultuur van de organisatie zo ingericht moet worden dat security ook echt belangrijk gevonden wordt en dat mensen gestimuleerd worden om er proactief over na te denken en security by design te stimuleren.’

Risico’s afwegen

‘Minder grote organisaties hebben vaak geen fulltime CISO’s, maar je ziet dit in de markt steeds meer als dienst ontstaan, waarbij je iemand parttime kunt inhuren. Sowieso zie je de verwachting van bedrijven dat de IT-leverancier aan wie ze bijvoorbeeld hun werkplekbeheer uitbesteden, ook securitydiensten biedt. En dat dit ook van hen wordt verwacht. Maar het blijft wel belangrijk dat je vanuit jouw eigen organisaties de risico’s afweegt en die koppelt aan actuele dreigingen en daar een zo goed mogelijke strategie op ontwikkelt. Dan kun je er wellicht op uitkomen dat de risico’s voor jouw organisatie minder bedreigend zijn en dat je bereid bent om eventuele consequenties te accepteren, omdat je de investeringen te hoog vindt. Dat is een prima conclusie, maar daar moet je wél over hebben nagedacht.’

Detectie en respons

‘De nadruk moet minder op alleen preventie komen te liggen. Dat blijft natuurlijk belangrijk, maar we moeten ons daar niet blind op staren. Bedrijven moeten kijken naar actuele dreigingen en in hoeverre die een risico opleveren. Vervolgens is het verstandig om, naast preventie, ook te zorgen voor een goede detectie. Hackers schieten niet altijd meer met hagel, maar vallen gericht aan. Ze zoeken een weg naar binnen op jouw netwerk, doen voorbereidend werk zodat bijvoorbeeld back-ups onklaar worden gemaakt en rollen dan pas hun ransomware uit. Als je vroegtijdig ontdekt dat er iemand in jouw netwerk zit die daar niet thuishoort, kun je een grote schadepost voorkomen. Je moet niet alleen meer zorgen dat je digitale ellende voorkomt, maar ook hoe je het zo snel mogelijk ontdekt en vervolgens oplost.’

Processen vernieuwen

‘Het hybride werken vormt hierin een extra element. Ik denk dat organisaties de grootste security-uitdaging hebben gehad toen we massaal thuis moesten gaan werken. Nu iedereen weer deels teruggaat naar kantoor is die uitdaging vermoedelijk veel minder, want op kantoor hadden we het vaak al wel redelijk goed voor elkaar. Wat ik wel signaleer is dat we nu bepaalde processen tegen het licht moeten gaan houden, omdat die in de fysieke wereld wel werkten, maar in de digitale wereld risico’s opleveren. Neem CEO-fraude, dat komt weer meer voor, omdat collega’s niet zo eenvoudig meer even bij elkaar binnen kunnen lopen, maar alles via de mail afhandelen. Daar wordt misbruik van gemaakt door cybercriminelen. Bovendien heb je ook te maken met niet-intentionele gevaren die je feitelijk gewoon overkomen, door bijvoorbeeld een fout in de software of ontwerpfout infrastructuur. Die vallen ook in het domein van cybersecurity. In de boardroom moet je praten over hoe lang je als bedrijf zonder je digitale systemen kunt functioneren en hoe snel je het weer kunt opbouwen om up and running te zijn. Security betekent dat je continu moet blijven toetsen.’

Rickey Gevers

‘Oneens/eens: Security is net zo belangrijk als de kern van je bedrijf’

‘Cybersecurity is op zichzelf niet het belangrijkste onderwerp in de boardroom, maar in combinatie met de kernactiviteit van een organisatie wordt het dat wel. Stel dat je handschoenen maakt, dan zijn de machines waarmee je dat doet, onmisbaar, evenals de IT waarop die machines draaien. Als een van beiden niet inzetbaar is, staat je bedrijf stil. Die impact heeft cybersecurity.’

Afhankelijkheid van IT wordt onderschat

‘Vaak wordt het belang van IT in een organisatie onderschat door de directie. Pas wanneer er een incident is, komen ze erachter hoe afhankelijk het bedrijf is van digitale systemen en worden ze geconfronteerd met gevolgen die ze van tevoren niet hadden ingeschat. Het is voor veel bedrijven lastig om te bedenken wat er gebeurt als je systemen twee weken stilstaan of als je al die tijd niet bij je data kunt. Maar het is verstandig om daar wél over na te denken. Want hoewel veel bedrijven back-ups maken, onderschatten ze hoeveel tijd het kost om de IT-systemen na een incident weer op orde te brengen. Wanneer je dat scenario uitwerkt, wordt het duidelijk dat een ogenschijnlijk klein onderdeel van vitaal belang is voor de voortgang van je bedrijf.’

Eenvoudige securitymaatregelen

‘Er is een aantal zaken die organisaties zelf kunnen regelen, helemaal nu we hybride werken. Zo is tweefactorauthenticatie cruciaal voor de beveiliging van je bedrijfsnetwerk. Je ziet nog te vaak dat werknemers wachtwoorden hergebruiken of eenvoudig te achterhalen wachtwoorden kiezen. Voor aanvallers is dat een manier om zonder alarmbellen toegang te krijgen tot de bedrijfssystemen. Daarnaast is het belangrijk om de apparatuur waar mensen buiten het bedrijfspand mee werken goed te beveiligen. Zeker wanneer er op de thuiscomputer wordt gewerkt en wanneer die wordt gedeeld met de rest van het gezin. Dat vormt een extra risico. Tot slot is het belangrijk om geen bijlagen te openen die je niet verwacht of vertrouwt. Dat is ook nog steeds een van de meest gebruikte manieren om iemand computer te hacken.’

Externe expertise inschakelen

‘De verantwoordelijkheid voor cybersecurity ligt bij de directie. Zij moeten zich bewust zijn van het belang van IT voor de organisatie en de risico’s die cybercrime met zich meebrengt. Maar om security daadwerkelijk te implementeren is voor veel bedrijven een externe partner noodzakelijk. We zien dat bij organisaties waar een ransomware-aanval succesvol is, wel iets aan cybersecurity werd gedaan, maar dan vaak door iemand of een bedrijfje dat het erbij doet en er niet in gespecialiseerd is. Voor ransomware geldt dat iedere aanval op enig moment gedetecteerd had kunnen worden. Het verschil tussen een succesvolle aanval en het voorkomen van die aanval is een snelle reactie. Wanneer je je security uitbesteedt aan een gespecialiseerd bedrijf, kun je veel sneller reageren dan dat je eigen IT-afdeling het naast al hun andere taken in de gaten moet houden. Organisaties met een eigen security-afdeling kunnen dit waarschijnlijk wel zelf, maar voor alle andere bedrijven geldt dat ze er goed aan doen om externe expertise in te schakelen.’

Erno Doorenspleet

‘Eens: Security moet overal in verweven zijn’

‘Security mag geen op zichzelf staand onderwerp meer zijn in de boardroom. Het is iets dat moet worden meegenomen in alles dat een bedrijf doet, in alle keuzes die je maakt als organisatie. En dat is nog lang niet overal het geval, bij Nederlandse bedrijven.’

Ketenveiligheid

‘Cybersecurity raakt niet alleen aan technologische maatregelen of het bewustzijn van je medewerkers. Stel dat je als organisatie je klimaatbeheersingssysteem wilt outsourcen. Dan moet je leverancier remote toegang krijgen tot dat systeem. Dat betekent dat je het systeem gaat ontsluiten via internet en dat je dus een leverancier toegang geeft tot jouw netwerk. Niet iedere organisatie overziet welke risico’s dit met zich meebrengt. Je bent als bedrijf voor je veiligheid niet alleen afhankelijk van jezelf, maar van de gehele keten waartoe je behoort. Er hoeft maar één partner of leverancier een foutje te maken en dan loopt jouw bedrijf kans op een ransomware-aanval. Begrijp je als organisatie welk risico je loopt op het gebied van cybersecurity? Dat moet besproken worden in de boardroom, maar ook hoe je ervoor zorgt dat iedereen in de keten zich aan de afgesproken standaarden houdt en hoe je met de risico’s omgaat.’

Business continuity

‘Business continuity is altijd al een belangrijk onderwerp geweest binnen organisaties: als er iets mis gaat, hoe zorgen we er dan voor dat we zo snel mogelijk weer kunnen doorgaan. Cybersecurity vormt een belangrijk onderdeel van bedrijfscontinuïteit, want het is één van de mogelijke verstoringen van de bedrijfsprocessen. We zien dat organisaties nog te weinig rekening houden met een cyberaanval als een belangrijk risico voor de continuïteit. Of de verantwoordelijkheid nu bij de business continuity manager of de CISO komt te liggen, is veelal afhankelijk van het soort bedrijf. Wat belangrijker is, is dat zowel de board als alle medewerkers zich bewust zijn van wat hun handelen kan betekenen op het gebied van cybersecurity. Iedereen in de organisatie moet het begrijpen, als het onderwerp alleen in de boardroom leeft, helpt het niet.’

Cyberoefening

‘Nu we meer hybride gaan werken, wordt cybersecurity complexer, omdat werknemers niet meer alleen op de door het bedrijf beveiligde netwerken werken, maar ook op het thuisnetwerk of andere netwerken. Als organisatie weet je niet welke andere componenten er in zo’n netwerk hangen en hoe veilig dat is. Daar moet over worden nagedacht en actie op worden ondernomen, als dat nog niet gedaan is. Er is natuurlijk ook al een aantal organisaties waar remote werken al voor de pandemie ingeburgerd was. Maar ook zij doen er goed aan om hun security eens kritisch tegen het licht te houden. We kennen allemaal de ontruimingsoefening van het kantoor, waarbij we net doen alsof er brand uitbreekt en we iedereen zo snel mogelijk in veiligheid moeten brengen. Doe een dergelijke oefening ook eens met een cyberincident, zou ik adviseren. Zorg dat je niet alleen preventieve maatregelen hebt, maar ook weet wat je moet doen wanneer het wél mis gaat. Heb je daar een plan voor liggen? En heb je dat plan ook al eens getoetst? In de huidige tijd met zoveel aanvallen is het noodzakelijk om prioriteit te geven aan het maken en testen van zo’n plan.’

Bewijsvoering

Wil jij nog meer munitie verzamelen om cybersecurity bovenaan de agenda te krijgen in de boardroom? Bezoek dan de derde editie van NLSecure[ID], het event voor de Nederlandse security community. Kennisdelen staat hier centraal om zodoende de digitale weerbaarheid van Nederland te vergroten. Sprekers zijn onder meer Ronald Prins (eigenaar Hunt & Hackett), Daniel Verlaan (techjournalist RTL Nieuws), Petra Oldengarm (directeur Cyberveiligheid Nederland), Brenno de Winter (chief Security & Privacy Ministerie van VWS) en Erno Doorenspleet (CTO KPN Security). Deelname is kosteloos.

Of luister naar de laatste podcastaflevering van Digital Heroes. Hierin gaat John van Schagen in gesprek met Erno Doorenspleet, Vice President Security Strategy & CTO KPN Security, en Andre Post, Security Officer bij VTTI. Dat bedrijf is eigenaar van elf olieopslagterminals, verspreid over de wereld. Hoe goed je je eigen beveiliging ook voor elkaar hebt, cybercriminelen blijven op zoek naar achterdeurtjes die per ongeluk open staan. Steeds vaker vinden ze die via leveranciers en klanten. Zo kan uiteindelijk ook jouw onderneming getroffen worden. Hoe dat precies werkt? Dat hoor je in deze podcast.

Op de cybersecurity themapagina van KPN lees je nog meer ins and outs over dit onderwerp.

KPN Security Labs: meten is weten

De druk om de beveiliging van data en systemen goed te regelen is de afgelopen jaren toegenomen. Maar werken de oplossingen waarin organisaties willen investeren ook zoals ze beloven? En welke invloed hebben ze op bestaande systemen? KPN geeft antwoord op deze vragen met behulp van zijn Security Labs. ‘Meten is weten’, zegt hoofd van de Security Labs, Eduard Hoekx. Dat geldt niet alleen voor de bescherming tegen aanvallen, maar ook voor herstelscenario’s wanneer een organisatie te maken krijgt met een aanval.

Veilig testen

‘Je wilt niet van een leverancier horen of in een brochure lezen dat een oplossing werkt. Dat wil je zélf testen in de praktijk. Op je eigen systemen en binnen je eigen applicatielandschap.’ En dat is precies wat KPN in zijn Security Labs doet. ‘We bootsen de eigen omgeving van een klant volledig na en bekijken of oplossingen voldoen aan de verwachtingen, maar ook hoe systemen reageren op een aanval van buitenaf.’ Zo kunnen de KPN-experts bijvoorbeeld met één druk op de knop 75.000 verschillende virussen op een omgeving in het lab loslaten. ‘Bijzonder is dat er in het lab geen productionele data draait en dat wanneer er dingen fout gaan – wat de bedoeling is in een lab – geen klant of KPN daar ook maar iets van merkt.’ Hier vind je meer informatie over KPN Security Labs.