Opinie: Staat cybersecurity al hoog op de agenda van uw raad van bestuur?

Niemand is veilig: het overkomt zowel grote multinationals, overheden als de gemiddelde Vlaamse kmo. Nog te veel bedrijven gaan er ondertussen ten onrechte van uit dat ze goed beschermd zijn door hun softwareleverancier.  Ze verzuimen ondertussen een goed eigen preventiebeleid te ontwikkelen of medewerkers op te leiden tijdens security awareness trainingen. Slechts 1 op de 3 Belgische bedrijven geeft zijn medewerkers richtlijnen mee om thuis veilig te werken of geen gevoelige informatie prijs te geven aan phishers… Intussen gebeurt er van alles: sla er de nieuwsberichten van de voorbije dagen of weken maar even op na: 

• FOD Binnenlandse Zaken was twee jaar lang slachtoffer van state-sponsored hacking. Wellicht Chinese hackers buitten de zwakke plekken in het Microsoft Exchange systeem genadeloos uit en zouden wereldwijd meer dan 250.000 systemen getroffen hebben.
• Hackers kregen de persoonsgegevens van maar liefst 4,5 miljoen passagiers van Air India te pakken.

 De DDoS (distributed denial of service) -aanval begin mei bij het overheidsnetwerk Belnet impacteerde ruim 200 Instellingen en overheidsdiensten.  

• In het VRT programma De Markt van 22 mei bracht Eline Blanchaert van de KMO Klingele Chocolade een uitzonderlijke getuigenis van een inbraak: alle data waren geëncrypteerd zodat het bedrijf ten einde raad en bij gebrek aan alternatief het losgeld betaalde. (Bedrijven die het slachtoffer zijn van een cyberaanval houden dat doorgaans voor zich want zo een voorval is geen goede publiciteit. Maar het is niet omdat iets niet in de openbaarheid komt dat het niet gebeurt: diverse studies tonen aan dat ook Belgische bedrijven al te vaak slachtoffer waren van cyberaanvallen.)
• 54 procent van de Belgen kreeg het afgelopen jaar een bericht waarmee cybercriminelen bankgegevens probeerden te bemachtigen. Zo kregen duizenden mensen onlangs een valse sms in naam van het BPost, in een poging om privégegevens los te weken nav van een online bestelling. Febelfin liet onlangs eerder weten dat cybercriminelen vorig jaar 34 miljoen euro buit maakten via 67.000 transacties.
• En dan heb ben we het nog niet over talloze gegevensdiefstallen via spyware of  malware-infiltratie in de HTTPS/SSL webtraffiek, regelrechte oplichtingen, identiteitsdiefstallen via nagemaakte websites, de onophoudelijke stroom phishing-aanvallen of ransomware besmettingen tijdens de coronaperiode, de hacking van IoT-apparaten enz.

Federale beveiligingsstrategie 

Signalen genoeg voor de federale overheid om een versnelling hoger te schakelen. Op 20 mei 2021 keurde de Nationale Veiligheidsraad de details van de cybersecurity strategie 2.0 goed. Deze streeft een open, vrije en veilige cyberruimte na en wil van België tegen 2025 een van de minst kwetsbare landen van Europa maken. Het document “cybersecurity 2.0-strategie” identificeert de verschillende belanghebbenden, de belangrijkste dreigingen, draagt een duidelijke missie uit en schuift  vervolgens de strategische prioriteiten naar voren. Het Centrum voor Cybersecurity België (CCB) krijgt hierbij een coördinerende sleutelrol. In een bedrijf bestaat de basisverdediging tegen cybercrime minstens uit de aanstelling van een informatieveiligheidsadviseur, een centralisatie van alle updates, een antivirusbescherming op alle systemen en contactpunten, encryptie van gevoelige informatie, regelmatige backups, een beperking van het aantal bevoorrechte gebruikers met extra rechten en een streng paswoordbeleid.

Cyberveiligheid moet op de raad van bestuur  

Maar, nogmaals, elke organisatie moet zelf zijn eigen strategisch plan voor cyberbeveiliging  opstellen en uitvoeren. Dan komen we in de hogere echelons. Bestuurders zijn zich intussen wel min of meer bewust van de mogelijke cyberdreigingen en de kwetsbaarheden van computernetwerken. Maar het besef dat een goed cybersecuritybeleid wel iets meer inhoudt dan tijdig de juiste updates installeren, is niet meer voldoende. Ze moeten zich ook betrokken en bezorgd  tonen bij het informatieveiligheidsbeleid.  Cyberveiligheid mag voor hen geen ver-van-mijn-bedshow zijn. Ze mogen dit niet enkel als een zaak (en een taak) van de computerspecialisten van de interne  IT-afdeling beschouwen.   

Hier vijf argumenten of overwegingen om het thema in de raad van bestuur echt te prioritiseren: 

1. Van zodra een onderneming met veel data en digitale processen omgaat is het raadzaam dat er een persoon met “data-competenties” bestuurder wordt zodat het management daar  een sparringpartner op niveau kan ontmoeten. Want voor bestuurders en managers spreekt een IT-expert vaak een andere taal. Academisch onderzoek toonde al aan dat er een significante correlatie bestaat tussen de aanwezigheid van digitale deskundigen in de raden van bestuur en de ondernemingsprestaties. Er zijn dus dringend bestuurders nodig die dergelijke zaken conceptueel kunnen uitleggen en duiden aan hun collega’s. Die ook de actuele cybercrime onthullingen aangrijpen om het management te ondervragen. 
2. Cyberveiligheid hoort thuis op de agenda van de raad van bestuur omdat het een strategische issue is. Daar moeten regelmatig aanzienlijke budgetten voor vrijgemaakt worden en er moeten regelmatig nieuwe beleidslijnen goedgekeurd worden. De raad van bestuur houdt het topmanagement aansprakelijk voor de veiligheid van de informatie. Zeker de KMO’s hebben hier nog een lange weg af te leggen. 
3. We weten dat de cyberrisico’s snel fluctueren. Ook de afhankelijkheid van digitale technologie zal alleen maar toenemen naarmate de technologie voortschrijdt. Raden van bestuur moeten niet alleen de kansen zien, maar ook de risico’s onderkennen. Eigenlijk zou elke raad van bestuur minstens jaarlijks het informatieveiligheidsniveau, de inventaris van de essentiële assets, het recoveryplan, alle ict-risico’s en de genomen veiligheidsmaatregelen moeten evalueren. Regelmatige kwetsbaarheidsscans zijn nodig om de beschikbaarheid, veiligheid en integriteit van het informatie- en gegevenssysteem te garanderen. Alleen met een accuraat zicht op alle risico’s kan de raad van  bestuur de juiste budgetbeslissingen en strategische acties nemen.
4. De interne en externe bedreigingen zijn voor elke onderneming anders. De raad bepaalt daarom per domein de eigen risico-appetijt en het bijhorende controleniveau. De bestuurders beslissen welke risico’s ze wel en niet aanvaarden en waar het accent van de beveiliging moet liggen. Cyberpolissen dekken verschillende vormen van internetcriminaliteit. Ze bieden soms ook technische bijstand om virussen te verwijderen en verloren data te recupereren. Maar lang niet alles is gedekt. Cyberpolissen bulken van de uitsluitingen. Wie al te naïef is, draait zelf op voor de kosten.. Voorzichtigheid blijft overigens steeds geboden, zelfs als men goed verzekerd is.
5. Het volledige overzicht op en de gedetailleerde behandeling van de cyberrisico’s hoort zo mogelijk ook thuis in een risk comité of auditcomité. De raad van bestuur moet er zich kunnen van verzekeren dat het beveiligingsbudget tegen cyberrisico’s goed en efficiënt wordt aangewend.  Dat er gewerkt wordt aan de cyberweerbaarheid. Dat is het vermogen om de impact van een operationele verstoring als gevolg van een cyberinbraak of -aanval te weerstaan, terwijl de essentiële processen en diensten nog perfect verder kunnen werken en de bedrijfsactiviteit zich snel kan herstellen. Meer en meer wordt het cyberveiligheidsbeleid daarom ook afgetoetst aan internationale kwaliteitsnormen en auditstandaarden. 

Het houdt niet op…

In minder dan tien jaar groeide cyberbeveiliging uit tot één van de belangrijkste en kostelijkste problemen voor de wereldeconomie. Incidenten en aanvallen blijven toenemen, maar dit is slechts het topje van een nieuw en groeiend problem: De alomtegenwoordige connectiviteit, kunstmatige intelligentie, quantumcomputing en de nieuwe generatie toepassingen voor identiteits- en toegangsbeheer zullen meer dan waarschijnlijk  aanleiding geven tot totaal nieuwe systemische risico’s voor heel het mondiale ecosysteem. U bent gewaarschuwd…  (Zie WEF )  https://www.weforum.org/reports/future-series-cybersecurity-emerging-technology-and-systemic-risk  

Nuttige Weblinks:  

• Cybersecurity België 2.0 : https://ccb.belgium.be/sites/default/files/CCB_Strategie%202.0 DP6.pdf
• Plan uw beveiliging : https://cyberguide.ccb.belgium.be/nl/plan-uw-beveiliging-0
• Cybersecurity: gids voor de KMO   https://ccb.belgium.be/sites/default/files/CCB-NL%20-C.pdf
• Actuele risico’s :  https://safeonweb.be/nl
• Het federale Computer Emergency Response Team:   https://cert.be/nl 

Auteur: Philip Verhaeghe

Philip Verhaeghe heeft diverse ondernemingen en organisaties geadviseerd en geassisteerd bij de toepassing van corporate governance. Als freelance redacteur beschrijft hij in interviews, tijdschriftartikels en blogs zowel de nieuwe trends als de blijvende uitdagingen voor ondernemers, bestuurders en managers.