Skip to main content
Download pdf
choose dutch variant article

Themes

Business & IT Value

Contents

J.A.M. Hermans internal link

Cyber security, een onderwerp voor aan de bestuurstafel

Publication 2014/1

Cyber security, een onderwerp dat de laatste jaren volop in de schijnwerpers staat. Met name door het aantal en de ernst van cyberincidenten, de aandacht vanuit de media voor cyberincidenten alsmede het belang van het aanpakken van cyber binnen de verregaande digitalisering van de meeste organisaties, verdient dit thema de aandacht van directies en bestuurders. Maar wel in juiste proporties en met de juiste nuance, als onderdeel van het integrale risicomanagement.  

Inleiding

Dat cyber security belangrijk is voor elke organisatie, behoeft eigenlijk geen nadere toelichting. Vrijwel dagelijks bewijzen incidenten dat de risico’s groot zijn en dat zowel individuele hackers als professioneel georganiseerde cybercriminelen actief zijn op dit gebied. Bestuurders staan dan ook voor de taak erop toe te zien dat binnen hun organisatie de juiste prioriteiten worden gesteld. Dat is voor velen echter niet eenvoudig omdat de wereld van cyber security wat ongrijpbaar is vanwege het technisch jargon en het gespecialiseerde karakter. Generalisten kunnen er maar moeilijk vat op krijgen. Bovendien is het lastig om hoofd- en bijzaken van elkaar te scheiden, terwijl berichten in de media bijdragen aan een angstcultuur waarin het beeld ontstaat dat vrijwel elke organisatie een willoze prooi is. Er wordt nauwelijks onderscheid gemaakt tussen oplichters op marktplaats.nl, hackers die een website platleggen of georganiseerde criminele groepen die met een stelselmatige strategie uit zijn op het stelen van bedrijfsgeheimen (ook wel ‘kroonjuwelen’ genoemd). Terwijl dat onderscheid van groot belang is, want niet alle organisaties zijn even ‘aantrekkelijk’ voor deze verschillende typen van cybercrime.

Mede doordat begrippen door elkaar heen lopen is cyber security een lastig thema voor menig bestuurder. Dat mag echter geen excuus zijn om het thema af te schuiven naar gespecialiseerde professionals. Het is juist essentieel dat bestuurders zelf actief sturen op de aanpak van cyber security. Bestuurders staan voor de taak om in de complexiteit van dit thema gedegen afwegingen te maken en op zijn minst de juiste vragen stellen. Maar hoe doet u dat? Dit artikel geeft handvatten en brengt cyber security terug tot de basis.

Wat is cyber security?

‘Cyber security is het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT en, indien er toch schade is ontstaan, het herstellen hiervan. De schade kan bestaan uit: aantasting van de betrouwbaarheid van ICT, beperking van de beschikbaarheid en schending van de vertrouwelijkheid en/of de integriteit van in ICT opgeslagen informatie (bron: Nationale Cyber Security Strategy 2 – 2013).

Deze verstoringen, uitval en/of misbruik kunnen vanuit verschillende actoren komen en hun oorsprong in de gehele keten vinden.’

C-2014-1-Hermans-01

Relevantie voor de bestuurskamer

Eerste vraag die je als lezer zou kunnen stellen, is de vraag waarom dit thema relevant is voor de bestuurskamer, voor Raden van Bestuur en/of Raden van Commissarissen. Cyber security is immers niet nieuw. Echter, het stijgende aantal incidenten zoals weergegeven in de cijfers van het Nationaal Cyber Security Centrum (NCSC) en de ernst daarvan zijn zodanig toegenomen, dat cyber security een substantieel risico kan vormen voor een organisatie. Een organisatie loopt immers niet alleen een financieel risico door fraude en inkomstenderving, maar zeker ook risico ten aanzien van verlies van imago (reputatieschade) alsook het publiek worden van intellectueel eigendom.

Daarnaast is, gelet op de verregaande digitalisering van de meeste organisaties, het beveiligen van de meest belangrijke informatie (‘kroonjuwelen’) van organisaties ook van strategisch belang. Een organisatie kan het zich eenvoudig niet veroorloven om bijvoorbeeld intellectueel eigendom te verliezen waardoor de organisatie strategisch marktvoordeel denkt te behalen.

C-2014-1-Hermans-02

Figuur 1. Door het NCSC afgehandeld aantal incidenten (bron: NCSC).

Ten slotte heeft het thema cyber security door het sterk stijgende aantal spraakmakende incidenten aandacht vanuit de klanten, media en ook de toezichthouders. Klanten maken zich terecht zorgen door dit stijgende aantal incidenten en vragen zich af hoe hun informatie wordt beschermd door de organisatie. Het stijgende aantal incidenten blijft niet onopgemerkt door de media, die zeker niet terughoudend zijn met het publiceren over al deze incidenten en organisaties publiekelijk ter verantwoording roepen over de mate van bescherming van bijvoorbeeld klantgegevens. Ook toezichthouders, zoals De Nederlandsche Bank, roeren zich op dit onderwerp door enerzijds aandacht van bestuurders te vragen voor dit thema en anderzijds thematische onderzoeken te doen op de maatregelen die een organisatie treft ten aanzien van cyber security.

Aandacht voor cyber security is gewenst – wel met de juiste nuance in lijn met het risicoprofiel van een organisatie

Dit alles maakt dat het thema cyber security aandacht verdient in de bestuurskamer, echter wel in de juiste context. Organisaties moeten zich niet gek laten maken. De media schetsen regelmatig een ongenuanceerd beeld van cyber security alsof veel organisaties een haast willoos slachtoffer zijn van cybercriminelen. Daarbij wordt alles over één kam geschoren en dat leidt bij bedrijven hier en daar tot angst die niet op feiten is gebaseerd. Een MKB-bedrijf heeft een heel ander profiel dan een multinational en over veel van de in de media genoemde incidenten hoeft een MKB-bedrijf zich dan ook weinig zorgen te maken.

De waarheid ligt dan ook genuanceerder dan het beeld in de media. De risico’s zijn wel degelijk beheersbaar. Cybercriminelen zijn geen onoverwinnelijke genieën, en het ontbreekt overheden en ondernemingen zeker niet aan kennis om cybercrime te bestrijden. Maar we moeten ons wel realiseren dat honderd procent veiligheid een illusie is en dat het najagen van die honderd procent niet alleen tot frustratie zal leiden maar mogelijk ook tot schijnzekerheid.

In feite moeten we cyber security gaan beschouwen als ‘business as usual’. Als een thema dat op dezelfde wijze aandacht verdient als bijvoorbeeld het risico op brand of fraude. Dit zijn thema’s die gestructureerd worden aangepakt door het management, vanuit een riskmanagementperspectief, en dus niet met de gedachte om een systeem te bouwen dat honderd procent waterdicht is.

We zijn ervan overtuigd geraakt dat veel organisaties op een andere manier naar cyber security moeten kijken. Ze moeten niet redeneren vanuit angst voor wat er buiten gebeurt, maar redeneren vanuit eigen kracht. Vanuit de juiste overwegingen inzake risico’s en het karakter van de eigen organisatie, in lijn met het risicoprofiel van een organisatie.

Startpunt van de verkenning van het cyberrisico van een organisatie is dan ook het bepalen van het risicoprofiel van de organisatie. Relevante vragen om het risicoprofiel te bepalen zijn vragen zoals ‘Hoe interessant is de organisatie voor potentiële cybercriminelen?’, ‘Hoe afhankelijk is de organisatie van de dienstverlening van andere organisaties?’, en ten slotte ‘Hoeveel risico wil men als organisatie lopen?’

Om het risicoprofiel te bepalen is een model hanteerbaar dat de onderstaande vijf aspecten belicht:

  1. Wat is de ‘business environment‘ van een organisatie? In welke markten is een organisatie actief, wat is de mate / afhankelijkheid van digitalisering van de dienstverlening van de organisatie? Hoe verbonden is een organisatie met andere, die mogelijkerwijs een additioneel risico in dit kader kunnen opleveren?
  2. Voor welke groep cybercriminelen en waarom is een organisatie een aantrekkelijk doelwit (‘dreigingen‘), en wat zijn de middelen die door de aanvaller kunnen worden ingezet?
  3. Welke kwetsbaarheden binnen een organisatie kunnen door cybercriminelen worden gebruikt? Denk hierbij niet alleen aan technische kwetsbaarheden, maar zeker ook aan het menselijk handelen.
  4. Wat zijn relevante doelwitten (‘targets‘) binnen de organisatie, maar zeker ook binnen de keten waarin een organisatie actief is?
  5. Wat zijn de vereisten van wet- en regelgeving ten aanzien van cyber security? In dit kader worden zowel in Nederland als buiten Nederland nieuwe regelgevingen ontwikkeld die mogelijkerwijs voor de organisatie relevant zijn.

C-2014-1-Hermans-03

Figuur 2. Aspecten van belang bij het bepalen van het cyberrisicoprofiel.

C-2014-1-Hermans-t01

Figuur 3. Overzicht van relevante actoren, doelwitten en relevantie voor organisaties.

Op basis van het analyseren van de genoemde vijf aspecten is een organisatie in staat te bepalen wat haar risicoprofiel is, alsmede ook te bepalen hoeveel risico een organisatie wenst te lopen (‘risk appetite’) en de juiste set van maatregelen te treffen. Immers honderd procent veiligheid bestaat niet en daarnaar streven is ook niet wenselijk!

Te treffen maatregelen – in lijn met de ‘risk appetite’ van een organisatie

De cyberrisico’s kunnen en moeten worden gemitigeerd door het inzetten van maatregelen en het in staat zijn te kunnen reageren wanneer een organisatie onder vuur van een cyberaanval ligt. Maar hoe de juiste set van maatregelen te selecteren?

C-2014-1-Hermans-04

Figuur 4. Overwegingen bij het bepalen van noodzakelijke maatregelen.

In dit kader is een aantal overwegingen relevant:

  • Focus op uw ‘kroonjuwelen’

    Aangezien het onmogelijk is om alles te beschrijven, vereist cyber security gerichte aandacht op de bescherming van de meest relevante informatie van een organisatie. Het is dan ook van belang dat een organisatie bepaalt wat haar ‘kroonjuwelen’ zijn die beschermd dienen te worden.
  • De mens blijft de zwakste schakel

    Het hebben van technische systemen ter bescherming, om op te sporen en te reageren op een aanval is belangrijk, maar in veel organisaties is de mens de zwakste schakel. De mens kan ook de grootste troef worden voor de verdediging, mits juist geïnformeerd en opgeleid.
  • Verschuiving van preventieve maatregelen naar detectieve maatregelen

    Daar waar organisaties in het verleden met name steunden op preventieve maatregelen teneinde een incident te voorkomen, zien we op dit moment veel meer aandacht voor het kunnen detecteren van een aanval, om direct en adequaat te kunnen reageren. Zo zien we bij veel organisaties een stijgend gebruik van technische monitoringsvoorzieningen om vreemd verkeer te kunnen detecteren en te analyseren.
  • Aandacht op reactievermogen van een organisatie

    Zoals aangegeven, is het naar onze mening een kwestie van tijd voordat een organisatie slachtoffer is van een cyberincident. In plaats van een willoos slachtoffer te zijn, kan een organisatie zich hierop voorbereiden. Het is dan ook zaak dat een organisatie in haar crisisplannen het afhandelen van cyberincidenten opneemt. Tevens is het zaak een protocol op te stellen dat gebruikt wordt in de communicatie tijdens een dergelijk cyberincident.
  • Samenwerking is vereist

    Naast het kunnen reageren op incidenten is het zaak op de hoogte te zijn en te blijven van nieuwe bedreigingen en te leren van de afhandeling van incidenten bij andere organisaties. Om dit te faciliteren zijn er op verschillende niveaus organisaties actief om hierin te ondersteunen: enerzijds op nationaal niveau (bijvoorbeeld het Nationaal Cyber Security Centrum), op sectoraal niveau in de zogenoemde ISAC’s en soms informele samenwerkingsverbanden, bijvoorbeeld een groep CISO’s binnen een bepaalde industrie. Teneinde een proactieve aanpak van cyber security te bewerkstelligen, is een actieve participatie van een organisatie aan dergelijke netwerken vereist en kan zij de organisatie helpen bij het verbeteren van de weerbaarheid van de eigen organisatie. Immers, een incident bij een andere organisatie is een dreiging voor de eigen organisatie!

Aandachtsgebieden binnen cyberrisicomanagement

Technologie is niet het antwoord op cyber security. Het antwoord is gelegen in een integrale benadering voor cyber security, met aandacht voor zowel de zachtere elementen zoals governance, cultuur en gedrag, als de meer hardere elementen als technologie.

In onze visie dient in een dergelijke integrale benadering voor cyberrisicomanagement aandacht te worden gegeven aan de volgende aspecten:

Leiderschap en governance

  • Bestuurders van een organisatie dienen in woord en daad te laten zien dat ze zich eigenaar voelen van het thema en laten zien dat ze de ermee samenhangende risico’s adequaat willen managen.

Gedrag van de mens

  • Cyber security heeft niet (alleen) te maken met de juiste technische maatregelen, maar ook met het creëren van een cultuur waarin mensen alert zijn en zich bewust zijn van hoe zij kunnen bijdragen aan veiligheid.

Information Risk Management

  • Een adequate aanpak voor alomvattend en effectief risicomanagement ten aanzien van informatievoorziening, ook in relatie tot partnerorganisaties.

Business Continuity & Crisis Management

  • Een goede voorbereiding op eventuele incidenten en het vermogen om de impact van deze incidenten te minimaliseren. Dit omvat onder meer crisis- en stakeholdermanagement.

Operations & Technologie

  • De implementatie van controle- en beheersingsmaatregelen in de organisatie om risico’s van cybersecurity te identificeren en de impact van incidenten te minimaliseren.

Wet- en regelgeving

  • Het voldoen aan wet- en regelgeving ten aanzien van informatiebeveiliging.

Het toepassen van dit holistische model levert organisaties het volgende op:

  • Het minimaliseren van het risico dat een organisatie wordt getroffen door een cyberaanval van buiten en het minimaliseren van de eventuele gevolgen van een succesvolle aanval.
  • Betere beslissingen op het gebied van cyber security: de informatievoorziening over maatregelen, aanvalspatronen en incidenten wordt daartoe geoptimaliseerd.
  • Heldere communicatielijnen over het thema cyber security. Iedereen kent zijn verantwoordelijkheden en weet wat er moet gebeuren als er (vermoedens van) incidenten zijn.
  • Een bijdrage aan een betere reputatie. Een organisatie die goed is voorbereid en goede afwegingen over het thema cyber security heeft gemaakt, kan op vertrouwenwekkende wijze communiceren over dit thema.
  • Het verhogen van de kennis en competenties over cyber security.
  • Het benchmarken van de organisatie op het gebied van cyber security in relatie tot peers.

C-2014-1-Hermans-06

Figuur 5. Aandachtsgebieden binnen cyberrisicomanagement.

En u als bestuurder?

Natuurlijk zult u zich als bestuurder (lid van de Raad van Commissarissen) afvragen wat uw rol in deze dient te zijn. De Raad van Bestuur is verantwoordelijk voor het vaststellen, uitvoeren, monitoren en waar nodig bijstellen van het algehele risicobeleid van de organisatie. En u als bestuurder, lid van de Raad van Commissarissen, dient minimaal één keer per jaar het risicobeleid goed te keuren alsmede toezicht te houden op het door de Raad van Bestuur gevoerde risicobeleid.

Kortom, u als bestuurder hebt een belangrijke rol in het vaststellen van het risicoprofiel van een organisatie en in het vaststellen en toezicht houden op het gevoerde risicobeleid. Dus ook voor cyberrisico’s, immers deze kunnen van strategisch belang zijn voor de organisatie.

Om een handreiking te geven om deze rol goed te vervullen, geven wij een overzicht van aandachtspunten en vragen, die naar onze mening u in staat stellen uw rol op een adequate wijze uit te voeren.

C-2014-1-Hermans-t02

Figuur 6. Overzicht van aandachtspunten en vragen voor de bestuurder.

Conclusie

Een bestuurder kan niet meer om het thema cyber security heen. Het aantal en de ernst van de incidenten, de media-aandacht, maar ook de aandacht van toezichthouders en klanten, vereisen dat cyber security één van de thema’s is die in de strategisch-risicoagenda van de meeste organisaties opgenomen dient te worden. Natuurlijk met de juiste nuance, in lijn met het risicoprofiel van een organisatie en op basis van een gedefinieerde ‘risk appetite’. Eigenlijk ‘risk management as usual’. En dat zit toch bij de meeste bestuurders in de genen?

Voorbeelden van cyberaanvallen – combinatie van uitnutting van technische en menselijke kwetsbaarheden

C-2014-1-Hermans-05-klein

Figuur 7. IT Risk Radar. [Klik op de afbeelding voor een grotere afbeelding]

Hacking/Malware

  • Fouten in software, systemen met standaard of eenvoudig te raden wachtwoorden of vertrouwelijke informatie onversleuteld verzonden of opgeslagen, maken het hackers mogelijk om toegang te krijgen tot zakelijke informatie en systemen.
  • Malafide broncode die het aanvallers mogelijk maakt om op afstand toegang te verkrijgen tot netwerken, applicaties en data (vaak geïnitieerd door een phishing mail).

Social Engineering/Phishing

  • Klanten en personeel kunnen worden opgelicht door het verstrekken van informatie of hulp via verschillende psychologische technieken:
    • Autoriteit – zich voordoen als rechtshandhaver, toezichthouder of het senior management.
    • Behulpzaam – het bieden van hulp om een probleem dat de aanvallers hebben (veroorzaakt) op te lossen.
    • Urgentie – zich voordoen als een collega-werknemer als er probleem is.
    • Vleierij – een beroep doen op het ego of het aanbieden van een prijs.
    • Bedreigingen – benadrukken van de negatieve gevolgen van de niet-naleving.
    • Overtuigende valse e-mails of website – min of meer dringende verzoeken tot het verstrekken van inloggegevens en andere confidentiële informatie.

Distributed Denial of Service (DDoS)

  • Online protestacties (bijvoorbeeld protesteren tegen een nieuwe dienst van een organisatie) gebruiken groot aantal elektronische aanvragen tot webservers, e-mailsysteem of callcenters om de bedrijfsvoering te verstoren, om afleiding voor andere misdrijven te creëren of om af te persen door beschermingsgeld te vragen.

Defacement/Squatting

  • Het overnemen van bestaande dan wel het genereren van valse klantcommunicatie op websites of social-mediakanalen om deze te gebruiken met het doel reputatie te beschadigen of klanten te benaderen voor fraude.

Leaking

  • Openbaar maken van interne informatie (bijvoorbeeld e-mails of gedetailleerde informatie over bestuurders) om een organisatie in verlegenheid te brengen, of anderen aan te moedigen om organisaties lastig te vallen.

Over de auteur

John Hermans is partner bij KPMG Advisory N.V., verantwoordelijk voor de KPMG dienstverlening op het gebied van cyber security en leidt een team van vijftig professionals. HIj is tevens de global lead van KPMG op het gebied van Identity & Access Management Services en maakt daarnaast deel uit van KPMG’s global leadership op het gebied van informatiebeveiliging.

Hij heeft voor een groot aantal organisaties gewerkt in nagenoeg alle marktsegmenten, zoals daar zijn Financiële Dienstverlening, Oil & Gas, Energie, Overheid en andere sectoren. Hij was betrokken in meer dan honderd projecten op het gebied van informatiebeveiliging, zowel nationaal als internationaal. In deze projecten ondersteunde hij klanten in hun strategie, het bouwen van de businesscase en het uitvoeren van programmamanagement en quality assurance-activiteiten.