Het cyberrisico wordt vaak als een IT-aangelegenheid benaderd en niet als een bedrijfsrisico. Terwijl het bij bestuurders veel meer moet gaan leven wat de financiële en operationele impact is van een cyberincident. “Wanneer je uitlegt dat een organisatie wekenlang of zelfs maanden last kan hebben van een verstoring, dan schrikken ze vaak wel van wat dat gaat kosten”, vertelt Managing Consultant Cyber Solutions Ralf Willems van Aon.
‘Het gaat het niet om het afvinken van een lijstje, maar over de risicobeheersing en de bijbehorende maatregelen om de cyberweerbaarheid te vergroten’
“Een cyberincident is het nummer 1 bedrijfsrisico”, vertelt Ralf Willems. “Dat vind ík niet; dat vinden onze klanten. We houden eens in de twee jaar een Global Risk Management Survey onder besluitvormers op het gebied van risicomanagement. Steevast staat het cyberrisico bovenaan de top 10 van risico’s waar ze mee te maken kunnen krijgen. Ook zien we dat aan de vele incidenten die blijven plaatsvinden, waaronder ransomware-aanvallen en datalekken. Het laat zien dat de kans hierop groter wordt en dat het risico dus toeneemt, zekermet de opkomst van nieuwe aanvalstechnieken gedreven door Gen AI”.
Verantwoordelijkheid van de bestuurder
“Juist de schade- en verliescomponenten – wat kan het ons als organisatie kosten? – als je te maken krijgt met een aanval, zijn voor bestuurders belangrijk”, stelt Willems. Met de NIS2-richtlijn en de hieruit volgende nieuwe Nederlandse Cyberbeveiligingswet die eind dit jaar van kracht wordt, wordt hun rol formeler. Wij hebben al veel organisaties geholpen met advies bij de implementatie van de vereisten van deze nieuwe wet. Daarbij gaat het niet om het afvinken van een lijstje, maar over risicobeheersing en de bijbehorende maatregelen om de cyberweerbaarheid te vergroten. Dat vraagt echt om een cultuurverandering binnen de organisatie. Bestuurders zijn eindverantwoordelijk en kunnen zelfs persoonlijk aansprakelijk worden gesteld. Als bestuurders die verantwoordelijkheid delegeren is het belangrijk om geïnformeerd te blijven door cyberweerbaarheid hoog op de directievergadering te plaatsen. Daar ontkom je niet meer aan en zou je ook niet moeten willen, de belangen zijn te groot”.
Financiële impact
“We merken, wanneer we een oriënterend gesprek voeren bij onze klanten, dat bestuurders denken: ‘dit is een risico waar we iets mee moeten doen’. Ze zien bijvoorbeeld dat een concurrent is gehackt en ook wordt hier steeds vaker naar geïnformeerd door de Raad van Commissarissen. Het probleem voor bestuurders is: hoe maak je het risico tastbaar? Het is niet altijd zichtbaar. Vaak wordt gedacht dat de losgeldsom bij een ransomware-aanval de grootste kostencomponent is, maar de schade van een bedrijfsstilstand is vele malen groter. Wij helpen de cyberrisico’s inzichtelijk te maken en leggen uit wat de operationele en financiële impact is. Tijdens een boardtraining laten we zien wat het betekent voor de reputatie en het voortbestaan van de organisatie”. Hij vervolgt: “Voor bestuurders benaderen we dit vanuit een bedrijfseconomisch standpunt. Dat helpt om het risico beter te begrijpen. Wanneer je uitlegt dat de organisatie er weken uit kan liggen, wordt de financiële impact al duidelijk. Als we de cyberrisico’s gaan kwantificeren, dan schrikken ze van het bedrag. Wanneer in euro’s wordt uitgedrukt wat de schade- en verliescomponenten zijn, heb je als bestuurder een duidelijker inzicht. Het helpt om een afweging te maken: ‘kunnen we dat zelf dragen of willen we de financiële impact doorschuiven richting een verzekering?’. Het wordt steeds meer gewenst, gevraagd of geëist om voor de impact een voorziening te treffen.”
Herstel bij een cyberincident
Jarenlang lag de focus vooral op preventieve maatregelen, stelt Willems. “Die aandacht verschuift naar cyberweerbaarheid. Waarbij de nadruk ligt op de capaciteiten om te herstellen bij een cyberincident,” vertelt Willems. “Ga ervan uit dat het een keer misgaat en je te maken krijgt met een cyberaanval. Organisaties komen niet meer weg met preventie alleen. Aanvallen moeten tijdig gedetecteerd worden en organisaties moeten ingericht zijn om snel en adequaat te reageren. Dat betekent dat bestuurders in de voorbereiding andere vragen moeten stellen en duidelijk hebben wie waar verantwoordelijk voor is bij een incident. Het gaat om het in beeld brengen van de afhankelijkheden binnen en buiten
de organisatie. Als steeds meer taken worden uitbesteed, word je afhankelijk van derde partijen, waarbij goede afspraken noodzakelijk zijn om te begrijpen hoe zij omgaan met hun cybersecurity en continuïteit om jouw data veilig en beschikbaar te houden. Op basis van de statistieken (1 op de 5 organisaties wordt slachtoffer) en de zorgen die organisaties hebben, mag je ervan uitgaan dat je een keer te maken krijgt met een cyberincident,” waarschuwt hij. “Ben je dan voorbereid?”
Geïntegreerde ketens en de cloud
Het is tegelijkertijd belangrijk dat organisaties weerbaarder worden. “Goed begrijpen van welke data de organisatie afhankelijk is, is essentieel”, aldus Willems. “Denk bijvoorbeeld aan cloud- en SaaS-oplossingen. Organisaties richten zich meer en meer op de eigen kernactiviteiten en besteden hun IT-dienstverlening uit. Dat betekent dat hun gegevens op computers staan van anderen. Uiteindelijk blijf je evengoed verantwoordelijk voor die data, dus moet je daar goede afspraken over maken”. Maar ook de keten moet in beeld worden gebracht. Willems gebruikt de maakindustrie als voorbeeld. “Je hebt bijvoorbeeld steeds meer geïntegreerde ketens, waarbij je in elkaars voorraadsystemen kunt kijken en daarop anticipeert. Dat creëert een wederzijdse afhankelijkheid: een zwakke schakel bij één leverancier heeft effect op de hele keten.”
Cybersecurity: een continu proces
Aon helpt organisaties met het inzichtelijk maken van hun cyberrisico’s – onder meer in
de vorm van cybervolwassenheidsassessments. “Het gemiddelde volwassenheidsniveau van organisaties is in de afgelopen jaren gestegen,” vertelt Willems. “Organisaties zijn intrinsiek bezig om veiliger en weerbaarder te worden.” Hij wijst op de beschikbaarheid van nieuwe technieken, die als onderdeel van de hybride oorlogsvoering gebruikt worden voor digitale aanvallen. “Deze komen vervolgens beschikbaar op het darkweb, waardoor cybercriminelen ze uiteindelijk ook weer kunnen toepassen”.
“Cybersecurity is niet lineair. Dat is het leidende principe van de Cyber Loop van Aon, een model dat verantwoordelijken in de organisatie verenigt om betere beslissingen te nemen rondom cyberrisico’s. Als organisatie ben je nooit klaar met dit onderwerp, omdat het dreigingslandschap continu verandert en organisaties niet statisch zijn waardoor het risicoprofiel verandert. Organisaties zijn continu bezig om zichzelf te verbeteren. Op het moment dat organisaties worden aangevallen, is de mogelijkheid om adequaat te reageren vereist, duidelijk moet zijn wie welke acties moet ondernemen bij een aanval.” Oefeningen moeten periodiek plaatsvinden, benadrukt hij. “Het niet voldoende testen en steeds weer verbeteren van je incident response en herstelplannen kan betekenen dat je een paar weken extra de tijd nodig hebt om te herstellen van een aanval of inbraak waardoor de uiteindelijke impact groter is.’
