En hoe zit het met de aansprakelijkheid van IT-bedrijven bij cybercrime?

René van Etten is directeur van ThreadStone Cyber Security. Hij stapte vanuit de wereld van netwerkbeheer naar die van informatiebeveiliging en startte in 2014 samen met ethisch hacker Richard Klein en oud-studiegenoot Frans van de Wetering het bedrijf ThreadStone Cyber Security.

In die tijd zat de wetswijziging op de Wet Bescherming Persoonsgegevens eraan te komen. Richard was al eerder begonnen om websites en bedrijfsnetwerken te controleren op hun kwetsbaarheid. “We wonnen een subsidie op de Haagse Security Delta (HSD), met als gevolg dat we ons op de campus vestigden, aldus René. “Dat was namelijk een voorwaarde die gekoppeld was aan het winnen van de prijs. Onlangs hebben we ons eerste lustrum mogen vieren.  
 
“We zijn in 2014 samen met TNO gestart met de bouw van een platform waarmee we online systemen kunnen controleren op kwetsbaarheden. Samen met MKB NL werkten we in de campagne Veilig Zakelijk Internetten vervolgens aan het op kwetsbaarheden controleren van 2500 bedrijven. Daarna haakten allerlei brancheverenigingen aan, waarvoor we als kennispartner presentaties hebben verzorgd. MKB’ers hebben namelijk vaak geen idee hoe ze zichzelf beter kunnen beveiligen. Ook weten ze veelal niet wat ze moeten doen na een forse hack. De geraffineerdheid waarmee hackers te werk kunnen gaan, is ongekend. Veelvoorkomende gevallen zijn ransomware, phishing mails, CEO fraude en hacks. Er zijn verschillende vormen van cybercrime, waarbij bijvoorbeeld ransomware de ondernemer direct in zijn continuïteit raakt, terwijl een bedrijf er soms pas na enkele maanden achter komt als het gehackt is.”
 
Professionele hackers
ThreadStone bestaat uit een team van vijf man; vrijwel al haar processen zijn geautomatiseerd. Daarnaast schakelt het bedrijf professionele hackers in. “Mijn collega Richard is zelf ook ethisch hacker. Hij controleert de digitale omgevingen van klanten op kwetsbaarheden en gebreken. Als ethisch hacker zie je allerlei bijzondere gevallen de revue passeren”, vertelt René. “Zo controleerde Richard eens een datingsite. Na een complete check werden er allerlei kwetsbaarheden aan het licht gebracht, waardoor het mogelijk bleek om de hele database in te zien. Helaas zien we dit soort kwetsbaarheden nog veel te vaak.” 
 
Op de vraag of er ook veel concurrentie bestaat binnen de kring van professionele hackers, antwoordt René bevestigend. “Toch kun je het kaf wel van het koren scheiden door op zoek te gaan naar een Certified Ethical Hacker (CEH) of penetratietester (LPT), die in het bezit is van de juiste certificaten.  Zo weet je zeker dat de persoon in kwestie verstand van zaken heeft. Verder is werkervaring enorm belangrijk.” 
 
Nulmeting biedt inzicht
Binnen het bedrijf voert René vooral de zogenaamde ‘organisatorische assessments’  uit.
“ThreadStones takenpakket omvat vooral nulmetingen, om inzicht te krijgen in de mate van informatiebeveiliging. Vaak gaan we om tafel met de IT-verantwoordelijke, de HRM-medewerker en iemand van de directie om samen te kijken hoe de informatiebeveiliging (opnieuw) toegepast kan worden in het bedrijf. Naast het organisatorische deel voeren we hacktesten uit, waarbij we de online systemen en het interne netwerk controleren op kwetsbaarheden. Hiervan maken we een duidelijk rapport, op basis waarvan we adviezen geven om de organisatie weerbaarder te maken.” 
Wat er na zo’n nulmeting gebeurt, is voor iedere organisatie verschillend. Veel van onze bevindingen kunnen door bedrijven zelf goed worden opgepakt. In andere gevallen verwijzen we door naar collega-bedrijven die zich hebben gespecialiseerd in de trajecten die nodig zijn, bijvoorbeeld implementatie van ISO 27001. Deze trajecten implementeren we niet zelf. Zo behouden we onze onafhankelijkheid.”
 
Aansprakelijkheid IT-bedrijven
Hiermee onderscheidt ThreadStone zich van reguliere IT-bedrijven, die zich meestal puur en alleen richten op de technische kant van een bedrijf. “IT-bedrijven nemen over het algemeen niet de organisatorische en beleidsmatige kant van cyberweerbaarheid en informatiebeveiliging in ogenschouw. We merkten dat veel IT-bedrijven bij aanhoudende problemen afstand nemen van alle aansprakelijkheid. En dat is precies waar wij op inhaken met ThreadStone. We houden bedrijven een spiegel voor, zonder dat er voor ons een verdienmodel achter het gegeven advies zit. Na het advies houdt het namelijk voor ons op, iets waar we bewust voor gekozen hebben. Wanneer er schade is geweest adviseren we om contact op te nemen met netwerkbeheerders. Op het moment dat het om wat grotere organisaties gaat en de schadelast groter kan worden, adviseren we om contact op te nemen met forensisch onderzoekers. De gemiddelde IT netwerkbeheerder heeft deze kennis niet in huis en dus betaal je op dat moment de hoofdprijs. Juist daar spelen verzekeringen een belangrijke rol, want die helpen juist bij ‘digitale brand’. We adviseren dan ook met name wat grotere MKB’ers om zich te verzekeren, want er komt veel meer kijken bij een dergelijke situatie dan men vooraf bedenkt.“ 
 
Cyberrisicoscan
Cyberverzekeringen zijn sterk in opkomst. Verzekeraars uit Angelsaksische landen zijn hier al meer mee bekend, maar de laatste jaren komen ook Europese en Nederlandse verzekeraars met cyberpolissen. Natuurlijk is de verzekering belangrijk, maar een ‘digitale brand’ of inbraak voorkom je niet met een verzekering alleen. Wij helpen verzekeraars dan ook met het ontwikkelen van met name preventieve diensten. Daarmee maken we de eindklant ook bewuster; veel organisaties weten op dit moment niet hoe ver informatiebeveiliging gaat en hoe ze zaken eigenlijk geregeld hebben. 
 
“Natuurlijk gebeurt het ook wel eens dat bedrijven niet voor ons kiezen,” aldus René. “Dan worden trajecten opgepakt door de eigen IT’er, of worden ze bijvoorbeeld uitgesteld, vanwege gebrek aan prioriteit . En dat is jammer, want veel ondernemers komen pas in actie wanneer ze een bepaalde vorm van ‘pijn’ ervaren. Dit kan zijn dat ze moeten voldoen aan bepaalde wetgeving. Of als er vanuit de keten gevraagd wordt hoe de beveiliging is geregeld. Of, in het ergste geval, wanneer het kwaad al geschied is en zij gehackt zijn.” 
 
Onafhankelijk advies
Om concurrentie op de verzekeringsmarkt maakt René zich niet zo druk. “Wat wij met name doen is onafhankelijk advies geven op het gebied van informatiebeveiliging in MKB-kringen. Er zijn wel partijen die dezelfde soort diensten leveren, maar die richten zich met name op grotere bedrijven. Juist het MKB is onze doelgroep. Daar hebben we wel concurrentie van IT partijen, maar dat zijn veelal de eigen (externe) netwerkbeheerders, die enerzijds niet onafhankelijk zijn en anderzijds veelal niet de specialistische kennis hebben die informatiebeveiliging met zich meebrengt. We zien bij hen helaas nog te vaak dat het veilig houden van de digitale omgeving gewoonweg wordt verzuimd. Een MKB’er weet dat niet, maar wordt wel met de gevolgen geconfronteerd op het moment dat het fout gaat. Het is dan ook belangrijk dat er onafhankelijk advies wordt gegeven, zodat de directie in kaart kan brengen hoe het bedrijf ervoor staat en de juiste acties kan opstarten om weerbaarder te worden.” 
 
Informatiebeveiliging
Volgens René is het belangrijk dat het management zulke taken zelf oppakt in plaats van dat het alleen IT’ers naar de digitale omgeving laat kijken. “Bij informatiebeveiliging gaat het namelijk ook om HRM-gelieerde zaken. Zo moet er bijvoorbeeld rekening gehouden worden met in- en uitdiensttredingsprocedures. Er moet dus op een hoger niveau naar procedures gekeken worden, dan sec met een IT-pet op.” 
 
De toekomst brengt voorlopig nog niet zoveel veranderingen, schat René in. “Wel komt er waarschijnlijk meer aandacht voor het onderwerp cyberweerbaarheid en informatiebeveiliging. Vanuit de AVG zien we dat er binnen de grote bedrijven mensen op dit onderwerp zijn aangesteld, die inmiddels ook steeds vaker kijken naar leveranciersrelaties. Vanuit de keten zal dit dus ook gaan doorwerken naar het MKB.”
 
Afsluitende tip 
“Met name verzekeringsadviseurs zouden de informatiebeveiliging en het risico van cyber moeten doorspreken met de klant. Ook verzekeraars kunnen hier aandacht aan schenken. Het bespreken van dit soort thema’s zou net zo vanzelfsprekend moeten zijn als het bespreken van een brand- of een bedrijfsaansprakelijkheidsverzekering”, besluit René. “En heeft je klant behoefte aan inzicht in de manier waarop dit bij hem geregeld is? Leg de vraag naar meer inzicht neer bij een partij als ThreadStone. Zo krijg je een goed en onafhankelijk beeld. Het begint namelijk met inzicht. Van daaruit kan gericht actie worden ondernomen. Een cyberverzekering zou vervolgens een goede optie zijn. Zo verzeker je je van directe hulp en kan je het risico verder afdichten.“ 
Geplaatst op 20-12-2019


Share on: