Cybersecurity is met de komst van de NIS2-richtlijn “Chefsache”. Bestuurders zijn persoonlijk aansprakelijk als bij een incident blijkt dat de beveiliging niet op orde is. Northwave Cyber Security spreekt de taal van de boardroom om de impact op de bedrijfsvoering inzichtelijk te maken.
‘Informatiebeveiliging is niet alleen een technisch feestje, wat bij veel organisaties nog het geval is,’ stelt General Manager Benelux Talitha Papelard. ‘Het gaat juist ook om de vraag hoe je als bestuur omgaat met de beveiliging van je data en systemen. Pak je die verantwoordelijkheid en vind je dat het onderdeel is van je bedrijfsstrategie? Je hebt er gewoon mee te maken. Je moet begrijpen wat het voor je betekent. Dat vormt de input voor de maatregelen die je wilt nemen.’ General Manager Investigation & Innovation Pim Takkenberg somt de risico’s op: ‘Het lekken van persoonlijke en bedrijfsgeheimen is één; het verstoren van de bedrijfscontinuiteit twee en afpersen van organisaties drie.’ Daar komen met de geopolitieke situatie sabotage en spionage bovenop. Je moet naast je eigen bedrijfsvoering ook bedenken waar je allemaal van afhankelijk bent voor je eigen productie, benadrukt hij. Als voorbeeld noemt hij een fietsfabrikant. ‘Als leverancier A door een cyberincident geen remblokjes kan leveren, moet je bij leverancier B terechtkunnen. Omgekeerd moet je begrijpen dat, als jíj niet kunt leveren, verderop in de keten schade kan ontstaan. Dat kunnen bestuurders zich nog indenken.’
Onzichtbaar
Papelard begon haar carrière als verpleegkundige, onder meer in de gevangenis in Scheveningen. ‘Daar heb je ook te maken met criminaliteit en moet je maatregelen nemen. Maar toch voelde ik me daar veilig. Terwijl criminaliteit in de digitale wereld een stuk onzichtbaarder is en lastiger is om het gevoel te krijgen dat je er grip op hebt. Dat is ook wat me aantrekt: hoe zorg je als bestuurder of bedrijf dat je vat krijgt op iets dat moeilijker zichtbaar te maken is, maar waar heel veel criminaliteit plaatsvindt.’ ‘Je moet leren hoe je weerbaar wordt als organisatie. Die kun je niet beperken tot de techniek’, waarschuwt Papelard. ‘Je moet begrijpen wat NIS2 inhoudt en het risico dat dit voor je betekent. Welke verantwoordelijkheid je hebt op het gebied van informatiebeveiliging.’ Dat vormt de input voor de maatregelen die je wilt nemen. We merken bij klanten waarbij de bestuurders actiever betrokken zijn bij hun security aanpak, zij de hele organisatie direct een niveau omhoogtillen.’ De bewustwording beperkt zich niet alleen tot het voorkomen van een aanval. Je moet er ook voor zorgen dat je veerkrachtig bent als het je toch overkomt. Hoe minder groot de impact, hoe sneller je herstelt en hoe minder het je kost, los van de reputatieschade.’ Takkenberg komt met zijn team in actie bij grote cyberincidenten, zoals diefstal van privacygevoelige data en ransomware-aanvallen. ‘Als dat gebeurt rukken we uit om het bedrijf zo snel mogelijk weer de lucht in te krijgen. Daar hoort vaak ook het onderhandelen met criminelen bij.’ Hij houdt zich in zijn rol vooral ook bezig met het monitoren van nieuwe dreigingen. ‘We zien een aantal ontwikkelingen die van invloed zijn op hoe onveilig de digitale wereld is, zoals spionage vanuit China en de oorlog in Oekraïne. Hierdoor komen actoren in het spel, staten, die de keten willen verstoren op een manier die ons voorstellingsvermogen te boven gaat.’ Het zorgt voor nieuwe dreigingsprofielen. ‘Rusland is in oorlog met Oekraïne, maar feitelijk met het Westen. Poetin wil de machtssituatie herstellen uit de tijd van het Warschaupact. En voert een hybride oorlog met sabotageacties. Hackers zoeken gewoon de zwakke plek in de keten.’ Takkenberg gebruikt de olie- en gaspijpleiding vanuit de Rotterdamse haven naar Duitsland als voorbeeld. ‘In deze keten zijn verschillende bedrijven betrokken, maar niemand is eigenaar van die keten. Dat maakt ons kwetsbaar.
Vertalen naar risico’s
‘Misschien wel de moeilijkste vraag die cybersecuritybedrijven moeten beantwoorden, luidt: hoe zorg je dat je de taal van de boardroom spreekt, zodat je ze “aan” krijgt,’ constateert Papelard. ‘Het is een andere taal dan wanneer je met techneuten praat. Uiteindelijk gaat het erom dat ze begrijpen wat de impact is op hun business. We proberen de vraag soms om te draaien, door te vragen: stel je voor dat je zelf die hacker was. En dat je je eigen bedrijf, dat je door en door kent, ten gronde zou moeten richten. Wat zou je dan doen? Waar zou je beginnen? Als bestuurder moet je dan opeens andersom gaan denken, en de vertaalslag maken naar de bedreigingen en risico’s die je loopt. Wat als je een fabriek met levensmiddelen hebt die in één keer twee weken stilstaat. Of als bij jouw kinderdagverblijf alle gegevens van de kinderen en hun ouders op straat komen te liggen?’ Dat boardleden aansprakelijk worden gesteld, is een goede stap, vindt ze. ‘Het doet echt iets in het hoofd van een boardlid. Als ik bij een klantoverleg met betrokken bestuursleden zit, merk ik dat op het moment dat zij realiseren dat zij die aansprakelijkheid hebben, ze direct inzien welke impact security op henzelf en hun organisatie heeft. En dat inzicht heb je nodig om verder te komen. Bestuurders moeten nagaan: wie is verantwoordelijk voor cybersecurity? En aan diegene de vraag stellen: hebben wij onze risico’s in kaart?’ Papelard hoopt dat lezers met een functie in de boardroom na het lezen van het verhaal denken: Hier moet ik morgen serieus mee aan de slag. Takkenberg: ‘Mijn kernboodschap is dat je niet zelf kan bepalen wat het risico is. Je zult een specialist in de armen moeten nemen die context kan geven hoe de dreigingsactoren opereren. Wat zijn hun intenties, hun motivaties, hun mogelijkheden? Om het beeld goed te krijgen, moet je de juiste specialist inhuren die je daarbij kan helpen.’
Risicoafweging
Takkenberg meent dat cybersecurity vaak te ingewikkeld wordt gemaakt. ‘Je maakt een risicoafweging, net als bij de beveiliging van je fysieke omgeving. Wat heb ik te beschermen? Hoe kwetsbaar ben ik? En wie kan het daarop hebben voorzien? Een stapel bakstenen beveilig je anders dan een pallet MacBook Pro’s. In essentie is dat principe niet veranderd. Alleen moet je dat vertalen naar het digitale domein. Die expertise moet je aan boord halen, zodat je de juiste maatregelen treft en er bovenop zit dat die nog steeds voldoende zijn. Informatiebeveiliging is een cyclisch proces gebaseerd op risicomanagement,’ constateert hij. [PT1] ‘Er bestaat al veel langer ISO 27001-certificering. Het goede nieuws is dat als je voldoet aan die standaard je voor NIS2 niet heel veel extra meer hoeft te doen om de juiste maatregelen te treffen.’
NIS2-richtlijn en de boardroom
NIS2 gaat verder dan compliance en ISO-certificeringen, vertelt Talitha Papelard van Northwave Cyber Security. ‘NIS2 draait om het beter beveiligen van Europa en alle bedrijven die daarin een belangrijke rol in spelen. Hoe zorgen we gezamenlijk dat Europa weerbaarder is. De richtlijn is er gekomen, omdat beleidsmakers in Europa zien dat niet alle organisaties voldoende bewust zijn van de risico’s in het digitale domein voor de samenleving. Het legt de verantwoordelijkheid bij bestuurders. Daar wordt leiderschap van gevraagd. Het moet ervoor zorgen dat incidenten worden gemeld, zodat je een aanval snel kunt herstellen en niet de hele organisatie of zelfs keten raakt.’ Ze is er blij mee. ‘Je wilt niet alles oplossen met wet- en regelgeving. Maar soms geeft het de juiste push aan bedrijven om te denken: hier moet ik mee aan de slag. Waarna ze achteraf blij zijn dat ze het hebben gedaan, voordat ze iets overkomt.’
