Cyberincidenten zijn niet langer uitzonderingen. Vrijwel wekelijks verschijnen berichten over bedrijven, ziekenhuizen en gemeenten die slachtoffer zijn geworden van een cyberaanval. Volgens Erik Kolsteren, cyberspecialist bij You Sure, vraagt dat om een bredere kijk op cybersecurity. Zoals hij zelf aangeeft: ’Cybersecurity wordt in veel organisaties nog primair als IT-kwestie gezien. IT is vaak tooling, de inzet van middelen om een organisatie te beschermen. Maar alleen tooling is niet toereikend. Cybersecurity is geen ITonderwerp, maar een kwestie van risicomanagement.
Die bredere benadering wordt steeds belangrijker nu cyberaanvallen zich blijven ontwikkelen. Generatieve AI stelt kwaadwillenden in staat om op grote schaal aanvallen uit te voeren. Daarbij merkt Kolsteren op dat ’het net zo goed de bakker op de hoek kan zijn die op het verkeerde linkje klikt’. Door de schaalvergroting van cyberdreigingen moet volgens hem iedere organisatie haar risicopositie serieus nemen. Tegelijkertijd ziet hij dat het bewustzijn binnen organisaties niet overal even ver ontwikkeld is. Zoals hij stelt: ’Bij grotere corporates staat het onderwerp hoog op de agenda. Bij het mkb ontbreekt organisatiebreed draagvlak. Dan is de IT-manager leidend in de tooling, maar is het geen onderdeel van het organisatiebeleid.’
De verborgen kosten van een incident
Een cyberincident brengt meer met zich mee dan alleen directe schade. Volgens Kolsteren worden juist de minder zichtbare kosten regelmatig onderschat. Daarbij benadrukt hij dat ’reputatieschade ook financiële schade is’. Daarnaast krijgen organisaties te maken met incidentresponskosten, forensisch onderzoek en juridische ondersteuning. Ook de afhankelijkheid van externe partijen wordt volgens hem vaak onderschat. Veel organisaties vertrouwen sterk op IT-leveranciers en cloudproviders. Kolsteren illustreert dit met de opmerking: ’Microsoft ziet niet wie er inlogt, want die hacker heeft de juiste credentials. Voor Microsoft is dat een geldige inlog.’ Verzekeraars spelen inmiddels een steeds actievere rol in het cyberdomein. Zoals Kolsteren aangeeft: ’Vroeger was je met één A4’tje al verzekerd. Dat kon geen stand houden.’ Tegenwoordig worden strengere acceptatiecriteria gehanteerd. Daarbij geldt volgens hem dat: ’Nu stellen ze striktere acceptatiecriteria en willen ze meekijken aan de voorkant van het cyberrisico.’
Voorbereiding maakt het verschil
Volgens Kolsteren begint een goede aanpak met inzicht in risico’s en kwetsbaarheden. Een cyberverzekering ziet hij daarbij niet als vervanging van preventieve maatregelen, maar als aanvulling daarop. Zijn advies is helder: ’Zorg dat je basisbeveiliging op orde is en weet wat je doet als het toch misgaat.’ Voorbereiding betekent volgens hem ook testen. Zoals Kolsteren zegt: ’We maken maatregelen, maar die moeten ook getest worden. Hoe betrouwbaar is een back-up die nooit is getest? Op het moment dat je hem nodig hebt, is het te laat.’ Voor welke organisaties een cyberverzekering onmisbaar is, daarover is Kolsteren eveneens duidelijk. Volgens hem geldt dit ’voor elk bedrijf dat de financiële schade niet zelf kan dragen. Incidentresponskosten lopen dermate snel op dat veel bedrijven dat niet uit hun vrije cashflow kunnen opvangen.’ Met toenemende regelgeving, zoals NIS2, groeit bovendien de druk op organisaties om hun digitale weerbaarheid verder te versterken. Daarbij waarschuwt Kolsteren dat stilstand geen optie is: ’Stilzitten is geen optie. Cyberdreigingen blijven zich ontwikkelen en worden steeds geavanceerder.’
