Wie zijn bedrijf beter wil beschermen tegen cybercriminelen, kan beter niet te veel tijd besteden aan het kwantificeren van de cyberrisico's.
Dit artikel is geschreven in het kader van The Financial Agenda, een reeks exclusieve bijeenkomsten specifiek voor cfo's. The Financial Agenda is een initiatief van het FD in samenwerking met Deutsche Bank. Het artikel valt onder de redactionele verantwoordelijkheid van het FD.
Klik hier voor meer informatie.
Dat zegt Paul van Kessel, global cybersecurity leader bij EY, in een gesprek met het FD. Volgens hem zijn cyberrisico’s over het algemeen moeilijk in geld uit te drukken. ‘Het probleem is dat je snel verzandt in een debat over modellen’, zegt hij. ‘En zolang je discussieert over modellen, gebeurt er niks en verlies je kostbare tijd bij de aanpak van de gevaren.’
Van Kessel begrijpt dat vooral bij financieel bestuurders de behoefte bestaat om cyberrisico’s te kwantificeren, ‘maar uiteindelijk komt het hier op neer: als je cyberrisico’s niet afdekt gaat het heel veel geld kosten’.
Een cfo zal toch een kosten-batenanalyse moeten maken?
‘Grote Amerikaanse banken hebben geen apart budget voor cybersecurity. Hun bedrijfsmodel is gebaseerd op de aanname dat alles veilig is voor hun klanten. Zodra dat niet meer het geval is, zijn ze out of business. Ik ga hier niet beweren dat het onbelangrijk is kosten en baten af te wegen. Zolang je maar niet te lang stilstaat bij het kwantificeren van allerlei cyberrisico’s.’
Kunt u toch een indicatie geven van de risico’s?
‘Uit studies blijkt dat de kosten van cyberaanvallen wereldwijd zullen oplopen tot €6000 mrd in 2025 en dat de uitgaven aan cyberbeveiliging zullen oplopen tot €1000 mrd. In beide gevallen gaat het om gigantische toenames. Dan kun je wel nagaan dat er in elk bedrijf veel gaten op te vullen zijn. De risico’s ontwikkelen zich sneller dan we met cybersecurity kunnen bijbenen.’
Waar moet je dan beginnen, als bedrijf?
‘Probeer zo snel mogelijk prioriteiten te stellen en kom in actie. Beantwoord vragen als: Wat is binnen ons bedrijf waardevol voor hackers? Waar heb ik het meeste last, als een cyberaanval zich voordoet? Elke bestuurder met ervaring voelt wel aan zijn water welk gat hij of zij als eerste moet dichten.’
Vallen de gegevens waarmee de finance-afdeling werkt per definitie in de categorie ‘high risk’?
‘Dat denk ik niet. Hackers zijn meestal uit op commerciële of technische kennis, persoonsgegevens, commerciële voorwaarden, of gewoon geld. Dat zijn de kroonjuwelen van de organisatie. Als hackers gegevens stelen bij finance, dan kan dat eventueel voorkennis opleveren waarmee ze kunnen speculeren op een koersval of -stijging. Maar daar ligt denk ik niet het grootste risico.’
Hoe belangrijk is de rol van de financieel directeur bij het beschermen van de organisatie tegen cyberaanvallen?
‘De gedachte dat er niemand binnenkomt is eigenlijk alweer achterhaald’
‘Cfo is geen eenduidige functie. Het hangt ervan af wie er verantwoordelijk is voor taken als risk management, internal audits en informatievoorziening. Hoe meer van dit soort taken onder de cfo vallen, hoe groter eindverantwoordelijk van de financieel directeur op het gebied van cyberbeveiliging. Het hangt er ook vanaf of het bedrijf een cio heeft — een chief information officer, verantwoordelijk voor de IT. Zo’n cio kan ook weer onder de cfo vallen.’
Als er een cio is, is die dan eindverantwoordelijk?
‘Cyberbeveiliging is breder dan alleen IT. Het raakt onderwerpen als de interne audit, risicomanagement en juridische zaken zoals privacy. In principe is het bestuur als geheel eindverantwoordelijk. Concreet zie je meestal dat de leiders van de genoemde afdelingen een team vormen dat de cyberbeveiliging aanpakt, namens het bestuur. Bij grotere bedrijven is de cfo vaak de spin in dat web.’
Wat is de beste aanpak om cybersecurity te bestrijden?
‘Die bestaat uit drie stappen: protectie, detectie en reactie. De eerste stap is zorgen dat er niemand binnenkomt. Veel bedrijven zijn vooral hiermee bezig. Op zich een verstandige reflex, maar tegelijkertijd is de gedachte dat er niemand binnenkomt eigenlijk alweer achterhaald. Daarom is detectie belangrijk. Vergelijk het met voetballen. Als de keeper met zijn rug naar het veld staat, zal hij weinig ballen stoppen. Als hij het veld inkijkt, ziet hij het gevaar aankomen en kan hij ballen tegenhouden.’
Wat detecteer je dan precies?
‘Wie je bedrijf probeert te hacken — criminelen, hacktivisten of hackers in staatsdienst. De Amerikaanse winkelketen Target werd in 2012 aangevallen. Negen maanden daarvoor werd een retailorganisatie in China op precies dezelfde manier aangevallen. Eigenlijk had er bij Target toen al een rood vlaggetje moeten opgaan.
Ik schat dat bedrijven nog altijd zo’n 80% van hun tijd en geld op het gebied van cyberbeveiliging steken in protectie. Langzaam maar zeker begint dat te verschuiven in de richting van detectie.’
En als je eenmaal gehackt bent?
‘Ik ken een bedrijf dat werd getroffen door een DDOS-aanval. Alle systemen gingen uit de lucht en het hele bedrijf was in paniek. Na een uur hield de aanval op en ging iedereen opgelucht verder tot de orde van de dag. Een tijd later kwam er een e-mail binnen met een wensenlijst: “Jullie hebben gezien waartoe we in staat zijn. Als jullie niet betalen gaat het bedrijf plat, maar dan voor langere tijd.”
Door snel te handelen, kun je de schade beperken. Maar te vaak ontkennen organisaties dat ze een keer slachtoffer zullen worden. Ze denken pas na over hun reactie, als ze al getroffen zijn. Daarmee verliezen ze kostbare tijd.’
