CYBER: Vooral onwetendheid maakt kwetsbaar

Ze zien zichzelf als missionarissen als het gaat om cyberrisico’s: Guy Heuijerjans en Annet Govaert-Proos, respectievelijk manager en senior specialist cyber & liability bij Concordia de Keizer. Al jaren zijn ze actief bezig om bedrijven bewust te maken van deze risico’s en om hen te adviseren over de beste maatregelen. Een gesprek over veranderingen in de wereld van cyber. “De ernst van de situatie begint nu door te dringen.”

Foto: Guy Heuijerjans en Annet Govaert-Proos zijn respectievelijk manager en senior specialist cyber & liability bij Concordia de Keizer

Afgelopen zomer lag het Amerikaanse gps-bedrijf Garmin, populair onder sporters, vijf dagen plat vanwege een hack. De website functioneerde niet meer, net zo min als de klantenondersteuning en klantgerichte applicaties. Dichterbij huis zorgde de hack bij de Universiteit Maastricht voor de nodige ophef. De systemen werden ‘gegijzeld’ en de back-ups van de universiteit ontoegankelijk gemaakt. Tegen betaling van 30 bitcoin losgeld (200.000 euro) werd de gijzeling opgeheven. Guy: “Ik kan me voorstellen dat ondernemers en bestuurders denken: mij overkomt dit niet, dit gaat over de grote jongens. Niets is minder waar. Digitale criminaliteit is lucratief en de pakkans is vrijwel nihil. Dat spreekt veel criminelen aan en ze zijn daarom breed actief. Het kan echt iedereen overkomen. Soms is dat botte pech, maar niet zelden zetten bedrijven zelf de deur ongemerkt wagenwijd open.”
 
De menselijke factor wordt onderschat
“Vanuit een technisch perspectief kun je als organisatie veel doen om de ingangen tot je systemen te beperken. Denk aan ‘digitale muurtjes’ – ook wel compartimentering genoemd – tussen servers en offline back-ups. Wat echter nog vaak onderschat wordt, is de menselijke factor”, aldus Annet. “Die hack bij de Universiteit Maastricht bijvoorbeeld, die begon met twee phishing-mails. Toen medewerkers van de universiteit daar op klikten, konden de aanvallers via een virus rustig hun gang gaan op het netwerk. Ook bij andere cyberincidenten zoals een datalek, zien we vaak de menselijke hand: een slecht uitgevoerde update die voor een datalek zorgt, of medewerkers die bedrijfsgegevens opslaan op hun eigen laptop en die laptop vervolgens kwijtraken. Dan moet je als organisatie mogelijk een AVG-melding doen en je zult met je billen bloot moeten bij je klanten over deze nalatigheid. Dat wil je toch niet? Simpele, menselijke fouten kunnen grote en kostbare gevolgen hebben.”
 
Naar de bestuurskamers
“Om dit te voorkomen, moet je je personeel heel goed bewust maken van cyberrisico’s”, vult Guy aan. “Want al heb je tonnen geïnvesteerd in digitale bescherming, als jouw medewerkers – vaak uit onwetendheid – onzorgvuldig handelen, ben je als organisatie evengoed hartstikke kwetsbaar. Dat aspect maakt dan ook een groot deel uit van ons werk: het bewust maken van de risico’s. Zaten we voorheen vooral met IT-managers aan tafel, tegenwoordig zijn dat bestuurders van het hoogste niveau. Dat is echt een verschuiving ten opzichte van een paar jaar geleden. Wie verzuimt om goed beleid te maken op het gebied van cyberveiligheid, heeft echt een probleem. Ook op het gebied van aansprakelijkheid en governance. Dat besef dringt wel steeds meer door.”
 
Zaaien
Annet: “De tactiek die wij toepassen in die gesprekken is dóórvragen: hebben jullie je medewerkers goed getraind op veilig digitaal werken, welke contracten zijn er met IT-providers, hoe zit het met de aansprakelijkheid, is er een incident response plan, weet iedereen wat hij moet doen als de schermen op zwart gaan? In de praktijk blijkt dat de meerderheid van de bedrijven dit niet op orde heeft. Bestuurders onderschatten nog steeds hoe groot de impact én de kosten kunnen zijn als je geraakt wordt door een cyberincident. Dat zo’n gebeurtenis je core business in één klap op het spel kan zetten. Die ernst is nog niet helemaal duidelijk. Daar is echt nog veel werk aan de winkel. Het is zaaien, zaaien, zaaien.”
 
Oefen!
“Het is niet voor niets dat wij inmiddels een heel team hebben van cyberspecialisten”, zegt Guy.  “Steeds meer klanten willen doorpraten over de cyberrisico’s want ook zij zien het aantal incidenten toenemen. Wij zien welke incidenten zich voordoen, en vooral: wat je ervan kunt leren. En we worden op de hoogte gehouden door verzekeraars. Al die kennis geven we door aan onze klanten, zodat ze betere preventieve maatregelen kunnen treffen. Heb je alles op orde, trek dan op een ochtend de stekker er gewoon eens uit en kijk wat er gebeurt. Handelt iedereen zoals hij zou moeten doen als alles uitgaat? Met cyber zou het net zo moeten zijn als met een brandoefening, die doe je toch ook regelmatig?”
 
Noodzaak van een incident response team
“Hoe hard je ook je best doet qua risicobeheersing op mens, proces en technologie, honderd procent veiligheid bestaat niet”, geeft Annet toe. “Er blijven altijd restrisico’s. Een cyberincident zoals CEO-fraude, een datalek door een verkeerd verstuurde e-mail of een hack kan altijd gebeuren. En nee, de IT-manager gaat je niet redden op zo’n moment. 86% van de IT-providers heeft geen kaas gegeten van cyberincidenten. Vaak ontstaat er dan paniek. Terwijl goed en snel reageren juist zo enorm belangrijk is om de gevolgen zoveel mogelijk te beperken. Wie een cyberverzekering heeft, krijgt (naast financiële compensatie) in zo’n situatie direct hulp van een incident response team:  techneuten, juristen en communicatie-experts die volledig gespecialiseerd zijn in cyberincidenten. Wij hebben daar goede ervaringen mee. Eigenlijk kun je niet zonder zo’n gespecialiseerd team. Nu de cyberverzekering goed in de markt staat, zie je dat verzekeraars steeds kritischer worden bij de acceptatie. Ik vind dat een positieve ontwikkeling, want dat draagt bij aan een beter risicobewustzijn.” 
 
Rol van verzekeraars
Guy: “Ik ben benieuwd hoe de verzekeringsmarkt zich gaat ontwikkelen. De cyberverzekering is – vooralsnog – heel betaalbaar, maar het aantal claims stijgt en verzekeraars zien dat in hun schadelast. Verzekeraars kunnen echter een cruciale rol gaan spelen in de bestrijding van cyberrisico’s. Tezamen beschikken zij over veel kennis en data, gegevens waar organisaties hun voordeel mee kunnen doen qua preventie. En met betere preventie kan de verzekerbaarheid gewaarborgd blijven. Samenwerking zal nodig zijn om de risico’s beheersbaar en de premies betaalbaar te houden. Tegelijkertijd moet cyberrisicomanagement hoe dan ook hoog op de bestuursagenda blijven. Want de ambitie zou altijd moeten zijn dat je geen gebruik hoeft te maken van de cyberverzekering. Onze missie is nog lang niet voltooid.” 

 
Geschreven door: Maaike Botden Fotografie: Angelo van der Klift fotografie
Geplaatst op 06-11-2020


Share on: