“Een raad van bestuur moet weten welke risico’s het bedrijf op het vlak van cyberveiligheid loopt om die te kunnen beperken of te transfereren. Dat heeft niets met de techniciteit ervan te maken”, zegt David Callebaut. Hij pleit ook voor het principe van zero trust. Niet om te beperken, maar net omdat het toelaat om veilig te kunnen werken.
Callebaut is al zowat dertig jaar actief in de wereld van cyberbeveiliging. Als stichter en CEO van Infosentry staat hij allerhande bedrijven bij in de uitbouw van hun informatiebeveiliging, die ertoe moet leiden dat ze hun activiteiten niet hoeven te staken bij een aanval op hun informaticanetwerk. Hij was en is onder meer aan de slag voor Delhaize, Bank of New York Mellon, Brussels Airlines en Jan De Nul.
Een cyberaanval kan immers voor heel wat problemen zorgen. Naast een aantasting van het informaticasysteem gaat het onder meer om gevolgschade voor weggevallen productie en imagoschade.
Callebaut: “In veel bedrijven vraagt het management of er een voldoende niveau van cyberveiligheid wordt behaald, waarop de IT-afdeling antwoordt dat alles onder controle is. Veel verder gaat het vaak niet omdat de discussie snel technisch wordt en je niet van het management kan verwachten dat het die zaken ook tot in de puntjes beheerst. Als er dan eens een ernstig incident is, heet het ‘hoe kon dit nu gebeuren?’.
Toch ziet hij dat er zaken veranderen. “Toen ik begon, was er vanuit de raad van bestuur en het management niet echt interesse rond cyberveiligheid. Nu staat dat toch al op de agenda. In een aantal gevallen ook omdat het verplicht wordt door de Europese NIS-richtlijnen of door specifieke wetgeving zoals de DORA-regelgeving voor de financiële sector.”
De Bestuurder: Wat is de essentie van die NIS-regeling?
David Callebaut: De NIS-regelgeving richt zich tot bedrijven en sectoren waarvan geoordeeld wordt dat ze best niet wegvallen omdat hun maatschappelijk belang groot is. Zij moeten maatregelen nemen om zich te beschermen tegen cyberaanvallen. En als ze toch getroffen worden, moeten ze dat melden.
Eerst was er de NIS1-richtlijn. Die is nu verder aangevuld met bijkomende sectoren in de NIS2-richtlijn.
De bedrijven en sectoren die onder de richtlijn vallen, moeten ook regelmatig een audit doen om te controleren of hun bescherming voldoende stevig is. Afhankelijk van het type organisatie wordt de controle al dan niet uitgebreid en kan ze, indien van toepassing, door externe partijen onder toezicht van de lokale autoriteiten worden uitgevoerd.
De bedrijven kunnen zelf testen of ze kunnen dat testen uitbesteden. Ze kunnen ook werken met vragenlijsten. De meesten doen hierbij hun best, maar een interne audit heeft niet dezelfde drukking als een externe. Er durft dan al eens iets door de mazen van het net te glippen. Voor de essentiële sectoren is een externe audit echter verplicht.
Het testen van de IT-beveiliging door een ethische hacker kan helpen om te controleren of die inderdaad voldoende is, maar er moet meer gebeuren dan dat. Het is bijvoorbeeld ook een fysieke zaak. Je moet niet iedereen de mogelijkheid bieden om overal rond te wandelen in het bedrijf.
Er wordt ook steeds meer gesproken over het geopolitieke aspect van online dreigingen. Denk maar aan cyberaanvallen die aan Rusland worden toegeschreven. En hoe vermijd je dat de Chinezen meekijken naar wat we doen?
We hebben het dan over Chinese componenten in netwerkapparatuur, waarvan vermoed wordt – en het blijft bij een vermoeden want er is nog niets bewezen – dat ze de Chinese overheid toelaten om mee te kijken en te luisteren. Bij een cyberwar zouden de Chinezen dan alles kunnen afzetten, heet het. Hetzelfde wordt gezegd over Rusland en Noord-Korea.
Zijn er alternatieven? Misschien wel, maar zelfs aan Amerikaanse bedrijven hangt een risico. Cisco staat erg sterk in netwerkapparatuur, maar het laat een deel van zijn producten in risicolanden fabriceren. Ook over Westerse bedrijven is er dus geen absolute zekerheid.
Los van het geopolitieke aspect pleit u ook voor zero trust in een organisatie. Dat lijkt geen aantrekkelijk vooruitzicht.
Dat lijkt inderdaad op een verregaande controle en een beperking, maar eigenlijk biedt het net de vrijheid om te kunnen doen wat je moet doen. De bedoeling is dat in een gecontroleerde vertrouwelijke omgeving alles oké is zodat je geen slachtoffer wordt van cybercriminaliteit.
Ik gebruik daarbij het beeld van een kasteel. Voorheen was de aanpak dat binnen het kasteel alles veilig is. Wat van buiten het kasteel komt moest je goed controleren. Tegenwoordig kan zo’n kasteelaanpak niet meer door de verregaande externe diensten en verbindingen.
Omdat te bereiken, moet je het principe van zero trust toepassen op het netwerkniveau. Als gebruiker zie je dat niet, maar het is er wel. Wat wel zichtbaar is, is dat je maar toegang krijgt tot wat je echt nodig hebt en niet meer dan dat. Dus wel tot A B en C, niet tot X, Y en Z. Wil het tot meer toegang, dan moet je profiel worden aangepast. Dit moet vlot kunnen gebeuren.
Met de opkomst van de cloud is er veel veranderd. Nu zit alles ergens in de wolken, wat nu net die kasteelmuren naar beneden gebracht heeft.
Heeft de raad van bestuur hierin een rol te spelen?
De raad van bestuur moet de risico’s afwegen. Het risico op een aanval tegen het informaticasysteem en de mogelijke schade ervan is er een van.
Ik merk dat de situatie hier toch gewijzigd is. Vroeger vroeg de raad van bestuur een rapport. Nu wordt gevraagd: ‘waar zitten de pijnpunten en wat kunnen we doen om ze te verhelpen’. Het debat wordt veel actiever gevoerd, net zoals dat gebeurt voor het commerciële of het HR-beleid.
Bij bedrijven die onder de NIS-richtlijnen vallen, moet ook minstens één bestuurder voldoende kennis van zaken op het vlak van cybersecurity hebben. Dat betekent dat hij daarvoor opgeleid en getraind moet zijn. Dit is expliciet in de regelgeving opgenomen omdat de regelgever wil dat hij voor zijn collega’s de vertaalslag kan maken van het technische naar het bestuurlijke, als dat nodig is.
Heel wat bedrijven zijn nu ook bezig om een ISO 27001-certificaat te behalen. Het geeft aan dat ze hun informatiebeveiliging goed aanpakken. Eenvoudig is dat niet. Het vergt ook stevige controles, maar het geeft een zekerheid naar klanten en leveranciers.
Kan je veel opvangen met een goede verzekering?
Verzekeraars gaan uit van de vraag: ‘Wat kunnen de gevolgen van een cyberaanval zijn’. Ze vragen ook steeds meer garanties. Met een ISO 27001-certificaat zouden ze al heel blij zijn.
Hoe staat u tegenover artificiële intelligentie?
Artificiële intelligentie wordt omarmd. Het levert ook een prachtige snelheidswinst op. Veel securitybedrijven zijn er ook mee aan de slag. Het nadeel ervan is het dan weer dat het kan worden gebruikt om phishingtechnieken te verbeteren. De tijd dat je krakkemikkig vertaalde teksten die bedoeld waren om mensen op te lichten er zo kon uithalen, ligt achter ons. Het is nu een wedloop van AI tegen AI.
De digitale wereld staat ook nooit stil. In de jaren tachtig hadden we de opkomst van de e-mail. In de jaren 2000 kwamen daar de sociale media bij. In 2010 de cloud. En nu dus artificiële intelligentie.
Steeds moet de aandacht vestigen op de risico’s. Het is zoals met de auto rijden. In de beginfase waren er weinig auto’s en was er weinig risico op een ongeval. Nadien namen de risico’s toe en kwamen er meer regels.
Telkens er iets nieuws komt, vinden we dat prima. Tot op het moment dat we zien dat er ook risico’s aan verbonden zijn.
Uiteindelijk blijft het vechten tegen de bierkaai, maar de bierkaai is wel kleiner geworden.
Auteur: Johan Van Geyte
