• Tom van der Heijden, Partner |
  • Renée de Boo, Partner |
3 minuten leestijd

Door COVID-19 zijn we meer op afstand gaan werken en zijn de digitale ontwikkelingen in een stroomversnelling beland. Houdt informatiebeveiliging daarmee gelijke tred? Of lopen bedrijven meer gevaar? In een KPMG RAAD-webinar deelden Jack Twiss Quarles van Ufford (AIVD) en Saul van Beurden (Wells Fargo) hun inzichten over het thema 'Digitale Versnelling & Veiligheid: Hand in Hand?'.

Het onderwerp is hoogst actueel – en niet alleen vanwege de toegenomen digitalisering door het coronavirus. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) concludeerde eerder al dat 'steeds meer staten een offensief cyberprogramma ontwikkelen en inzetten' en dat 'deze spionageactiviteiten onze bedrijven, onze economie, onze welvaart en onze veiligheid raken'. Volgens de dienst is de digitale weerbaarheid bij lang niet alle organisaties op orde, vooral vanwege onvoldoende basismaatregelen. De AIVD concentreert zich in het cyberdomein op de dreiging die uitgaat van digitale aanvallen door statelijke actoren (landen en organisaties die aangestuurd worden door landen).

Aanvallen nemen toe

Uit een peiling onder deelnemers aan het webinar – voornamelijk toezichthouders bij grote organisaties – bleek dat een aanzienlijk deel geen zicht heeft op de kwaliteit van de basisbeveiliging (29 procent) of gelooft dat deze niet op orde is (18 procent).

Onvoldoende inzicht bij organisaties is sowieso een groot probleem, vertelde Jack Twiss Quarles van Ufford, directeur inlichtingen van de AIVD. Twee derde van de slachtoffers van cyberaanvallen weet niet eens weet dat er een digitale inbraak heeft plaatsgevonden. Een zorgwekkend gegeven, vooral gezien het feit dat volgens de AIVD 'de omvang en diversiteit' van aanvallen toeneemt.

Zijn we ons bewust genoeg?

Twiss Quarles van Ufford wees erop dat de term 'cybersecurity' misleidend kan zijn, omdat er altijd een menselijk element in zit. Uit onderzoek blijkt bijvoorbeeld dat medewerkers in deze tijd eerder geneigd zijn e-mails te openen over COVID-19. Cybercriminelen richten volgens de AIVD'er 'grootschalig en geautomatiseerd' hun pijlen op publiek bekende kwetsbaarheden. En is de basisbeveiliging op orde en komen ze er niet door, dan proberen ze het achterom, bijvoorbeeld via de supply chain.

Organisaties moeten zich afvragen wat hun kroonjuwelen zijn. Dit kan een unieke uitvinding zijn, klantgegevens of financiële informatie. Zijn we ons hiervan voldoende bewust? Wat zijn onze kwetsbaarheden en communiceren we daarover? Daarnaast is het van groot belang om van de werkvloer tot en met de C-suite doorlopend te investeren in bewustwording.

U bent een person of interest

Cybersecurity staat boven aan de agenda's van banken, vertelde Saul van Beurden, Chief Information Officer bij Wells Fargo in zijn keynote.

Van Beurden adviseerde de aanwezige commissarissen bestuurders te beoordelen op hoe paranoïde ze zijn, omdat met cyberdreiging wantrouwen te verkiezen is boven de illusie van zekerheid. Hij raadde de deelnemers aan dit ook op zichzelf te betrekken: als bestuurder of toezichthouder ben je een 'person of interest'. Ga ervan uit dat bad actors uw naam en gegevens hebben, klonk het. En nu men meer dan voorheen thuiswerkt, is de digitale kwetsbaarheid groter dan ooit.

Voorkom het scheepswrak

De Wells Fargo CIO hamerde op het belang van 'discipline, discipline, discipline'. Slordigheid en het niet tijdig patchen van systemen zijn dé manieren voor cybercriminelen om binnen te komen. Het is dan ook de taak van toezichthouders om hier streng op toe te zien. En als ze geen digital natives zijn, is het volgens Van Beurden cruciaal om door te vragen als zaken niet duidelijk zijn.

Van Beurden eindigde met de constatering dat er door de uitvinding van het schip ook het scheepswrak kwam. Innoveren is noodzakelijk, maar blijf op de hoogte van verraderlijke stromingen. Als het besef van risico's onvoldoende aanwezig is, durf dan op de rem te trappen om het scheepswrak te voorkomen. Cybersecurity requirements moeten vanaf het design aanwezig zijn. Investeer naast - security- en privacy-by-design - ook in change-by-design.

Meer weten over cybersecurity en het lerend vermogen?

Wilt u weten of uw basisveiligheid op orde is en hoe u naar een volgend volwassenheidniveau kunt komen? Wilt u weten hoe u het lerend vermogen in uw organisatie kunt versterken? En hoe u sneller van elkaar kunt leren en een open cultuur tot stand brengt? Neem dan contact op met Renee de BooAnnemarie Zielstra en Bert Koelwijn van KPMG voor analyse en advies.