Cybersecurity is geen technisch vraagstuk meer. Nee, élke manager moet aan de slag met digitale veiligheid. Voorkomen lukt niet, genezen vaak wel.
Diginotar is in Nederland waarschijnlijk het bekendste voorbeeld. Het bedrijf, dat onder meer meehielp aan de veiligheid van de DigiD, werd in 2011 gehackt nadat het 30 updates van de software had laten lopen. Nog hetzelfde jaar ging het bedrijf failliet, maar de nasleep van het debacle sleept zich nog steeds voort.
Cybercrime wordt een steeds groter probleem voor het bedrijfsleven. Hack-aanvallen kunnen zomaar hele bedrijven lamleggen. Diefstal van gegevens en niet te vergeten de daaropvolgende reputatieschade kunnen vele tientallen, zo niet honderden miljoenen kosten.
De jaarlijkse economische schade als gevolg van cybercriminaliteit schat Intel Security wereldwijd op ruim 325 miljard dollar. Voor West-Europa zou de schade 53 miljard euro zijn, voor Nederland 8,8 miljard. TNO berekende de Nederlandse schade in een eerder onderzoek zelfs op ruim 10 miljard.
Van hinderlijk naar schadelijk
De gevaren zijn groot. Want waren computervirussen voorheen vooral hinderlijk, tegenwoordig zijn ze ronduit schadelijk. Criminelen dringen gericht een bedrijf binnen met slim opgestelde mailtjes aan specifieke ontvangers (spearphishing) en versleutelen data met behulp van kwaadaardige software (cryptoware), tot aan de harde schijven en servers aan toe. Of ze chanteren bedrijven door ‘losgeld’ te vragen in ruil voor het weer vrijgeven van de data (ransomware).
Criminelen worden bovendien steeds vindingrijker. Ze sturen mails die bedrieglijk echt de huisstijl van bijvoorbeeld een bank weerspiegelen. Of ze wachten tot een bedrijf of kwestie in het nieuws is en sturen dan mails over datzelfde onderwerp, zodat mensen door de actualiteit denken dat ze er iets mee moeten, waarna ze al snel klikken op een besmette bijlage of foute link.
Niet over de schutting
Rampspoed en ellende alom dus. En ook allang niet meer een probleem dat over de schutting bij de ICT-afdeling kan worden gegooid. Sterker nog: de techniek komt eigenlijk pas op de laatste plaats, zegt Wim van Campen, vp Noord & Oost-Europa van Intel Security. Het gaat volgens hem in de eerste plaats juist om een managementvraagstuk. ‘De menselijke factor is cruciaal’, zegt hij. ‘Je moet mensen ervan bewust maken hoe je erin trapt. Dit bewustzijn is essentieel en kan voorkomen dat grotere problemen optreden.’
Voorheen was computerbeveiliging vooral een vorm van tegenhouden met firewalls en virusscanners. Tegenwoordig gaat het erom om hoe je het best kunt handelen als het toch gebeurt. Want je houdt het toch niet in alle gevallen tegen, is nu de algemene gedachte.
En als het dan toch komt, dan kun je het beter meteen aanpakken, aldus Van Campen: ‘We zien een verschuiving van protectie naar detectie. Mensen moeten alert zijn op wat er gebeurt. De zogeheten indicator of compromise: een teken dat er iets mis is. Soms kan het een jaar of zelfs langer duren voordat een bedrijf opmerkt dat er iets niet in orde is.’ De gemiddelde tijd tussen besmetting en ontdekking is veel te lang, zegt Van Campen. ‘Je moet afwijkend gedrag binnen je systeem zo snel mogelijk opsporen.’
Je moet afwijkend gedrag in je systeem zo snel mogelijk opsporen'
Managementvraagstuk
En ook hier geldt weer: dat is geen technisch, maar een managementvraagstuk, benadrukt hij. ‘Het is aan managers om te beslissen of ze de ruimte scheppen voor hun medewerkers om de juiste tools, de juiste trainingen en de juiste hulp bij bewustwording van cyberproblematiek te krijgen.’
Draag dus uit naar je mensen dat ze tijdig aan de bel trekken, drukt Van Campen managend Nederland op het hart. ‘Je moet een atmosfeer creëren waarin mensen niet terughoudend zijn om dingen te melden die ze verdacht vinden.’
Het gouden uur
Snelheid is belangrijk, want hoe eerder een inbraak ontdekt wordt, hoe beter de gevolgen ingeperkt kunnen worden. Intel Security spreekt in dit verband over het ‘gouden uur’, analoog aan een hartaanval: als een patiënt met een hartaanval binnen een uur in het ziekenhuis behandeld wordt, is de kans op overleven veruit het grootst. Bij een cyberaanval is het net zo: hoe sneller je reageert, hoe kleiner de schade, of in elk geval: hoe beter de schade te behappen is.
Soms hoeft een bedrijf daarvoor maar weinig te veranderen. In de financiële sector bijvoorbeeld is software in omloop die verschillende databronnen met elkaar correleert voor compliance-doeleinden; die combineert dus allerlei gegevens om te zien of alles volgens de regels is verlopen. Die software kan ook realtime worden gebruikt om bedreigingen op te sporen. Het systeem waarschuwt niet alleen als er iets gebeurt, maar kan zelfs zo ingericht worden dat het automatische acties laat volgen op een alert.
Een cyberaanval kent net als een hartaanval een 'gouden uur': hoe sneller je reageert, hoe kleiner de schade'
In eilandjes
Maar meestal is het niet zo simpel. Bedrijven kunnen wel tientallen leveranciers van beveiligingsapparatuur hebben, aldus Van Campen. Maar de data van die systemen worden zelden gekoppeld, en ook niet (of onvoldoende) gedeeld met het management. Dus blijven de gevaren bestaan. ‘We moeten effectief omgaan met informatie en data. Alleen dan kunnen we concurreren. Dat is het grote managementvraagstuk.’
De beveiligingsindustrie en de IT-verantwoordelijken bij bedrijven denken nog te veel in eilandjes, vindt Van Campen. Volgens hem moeten managers zich dan ook de vraag stellen: wat wil ik dat er allemaal kan en hoe kunnen we dat opbouwen? ‘Met nieuwe technologieën kunnen slimme systemen gebouwd worden die informatie delen en koppelen.’
Door slim te koppelen is het mogelijk om zaken te vinden die je op het eerste gezicht over het hoofd ziet. Bijvoorbeeld als je zelf geen doelwit bent, maar een middel. Bijvoorbeeld dat criminelen jouw servers gebruiken om een aanval te plegen op een ander.
Beveiligingsdrempels
De schade door cybercriminaliteit uit zich in allerlei vormen. Een voorbeeld: de Turkse financiële waakhond stuitte op verdachte activiteiten die bedoeld waren om de markten en aandelenkoersen te manipuleren. De Turkse beurs bleek gehackt. Winkeliers zijn ook een populair doelwit van cybercriminelen, blijkt uit een Intel-rapport. In 2013 kwam er een aantal aanvallen op onder meer TJ Maxx en Sony. Naar verluidt hebben winkeliers in het Verenigd Koninkrijk in 2013 meer dan 850 miljoen dollar verloren.
En zo gaat het maar door in het rapport: twee banken aan de Perzische Golf hebben 45 miljoen dollar verloren. Een Brits bedrijf heeft melding gemaakt van een verlies van 1,3 miljard dollar. Braziliaanse banken zeggen dat klanten jaarlijks miljoenen verliezen.
Beveiliging moet proportioneel zijn aan het risico. Anders gaan mensen eromheen werken en schiet het zijn doel voorbij'
Acceptatie naar rato van belang
Hoe zorgen we ervoor dat we onze ICT veilig kunnen gebruiken zonder dat het hinderlijk wordt? ‘Beveiliging moet niet disproportioneel worden’, zegt Van Campen. ‘Dan gaan mensen er toch omheen werken en dan schiet het zijn doel voorbij.’
Naar rato van het belang waar het om gaat, kan de beveiliging toenemen en de acceptatie ervan ook. De les: hoe belangrijker iets is, hoe makkelijk mensen beveiligingsdrempels accepteren.
Risico's beoordelen
Daarbij gaat het ook om hoe mensen zelf de veiligheidsrisico’s beoordelen. Bijvoorbeeld: de veiligheidschecks bij vliegtuigen zijn strenger en uitgebreider dan bij treinreizen. Op Schiphol accepteren we de bagagescan en het fouilleren, maar stel je hetzelfde eens voor op het perron van Utrecht Centraal. Ondenkbaar. Terwijl het risico feitelijk misschien niet eens zoveel verschilt, is het de perceptie van het risico dat bepaalt of mensen bereid zijn beveiligingsdrempels te nemen.
Het is een kat- en muisspel waarin de bedrijven moeten proberen steeds een stapje vóór te blijven op de boeven. Het is aan managers hoeveel ruimte – budgettair en HR-matig – zij daarvoor beschikbaar maken.
Het nieuwe nummer van MT draait om het thema Digital. Lees meer:
Alles weten over het onderzoek naar de beste digitale dienstverleners? Lees het in de meest recente printeditie van Management Team. Ben je nog geen abonnee? Vraag de huidige editie dan aan als gratis proefnummer.