EXPERT
Zijn wij als organisatie in control? Dat is een vraag die een registercontroller continu, mede namens het management, stelt. En het is ook de vraag die hij of zij moeten stellen op het gebied van cybersecurity, vindt Marieke van de Putte, Chapter Lead Cyber Security Strategy, Risk & Compliance bij Capgemini. “Cybersecurity is een onderwerp waar finance actief mee bezig moet zijn. Je loopt grote risico's als dat niet op orde is.”
Lees meer
Elk jaar doen miljoenen Nederlanders en tienduizenden bedrijven melding van een cyberaanval. Dat blijkt onder andere uit cijfers van de Autoriteit Persoonsgegevens. Het aantal meldingen stijgt elk jaar, volgens cybersecurity-experts zelfs explosief. Gehackt worden kan leiden tot enorme financiële schade, van enkele honderden euro's tot meerdere tonnen. Soms leidt het zelfs tot een faillissement.
Van de Putte: “Als finance kun je er wel voor zorgen dat je de cijfers op orde hebt, maar als je dat doet terwijl je grote risico’s loopt, kan wat je hebt opgebouwd die in één klap weg zijn”.
In december 2019 werden de computersystemen van de Universiteit Maastricht (UM) platgelegd door ransomware. De oorzaak? Iemand had in oktober een link aangeklikt in een phishingmail waardoor een criminele organisatie een ‘kwaadaardig’ softwareprogramma kon installeren. Vervolgens hebben de hackers twee maanden de tijd genomen om alle systemen over te nemen, inclusief de back-ups. Na de kerstvakantie konden studenten en werknemers nog steeds niet bij hun documenten. Het zag er naar uit dat het nog weken zou duren voor alle systemen weer naar behoren zouden werken. Daarom zag de Universiteit Maastricht geen andere oplossing dan het gevraagde losgeld van bijna twee ton te betalen.
Onderzoek heeft aangetoond dat 32 procent van de door ransomware getroffen organisaties wereldwijd, losgeld betalen. Verschillende experts adviseren niet te betalen, maar om aangifte te doen bij de politie en de aangifte te melden. Ransomware is schadelijke software (ook wel malware genoemd) die computers en bestanden gijzelt. Vandaar de Nederlandse naam gijzelsoftware. Criminelen blokkeren of versleutelen computers, bestanden of soms zelfs hele netwerken en geven die pas weer vrij als je losgeld betaalt. Voorbeelden van ransomeware zijn Bad Rabbit, Spider en GoldenEye.
Het is dus een noodzaak om als organisatie te zorgen dat je niet kwetsbaar bent voor cyberaanvallen. Je moet je basis op orde hebben, stelt Van de Putte. “Heb je de governance goed ingericht? Zijn het beleid en de procedures goed beschreven? Stel deze vragen om ervoor te zorgen dat je het huis op orde hebt. En dan speelt ook nog het externe deel. Weet je welke risico’s waar vandaan komen en wat je daarmee moet doen? Voorheen had je de afdeling information security en die zat laag in de organisatie. De gevaren van bijvoorbeeld een hack lagen niet continu op de loer en je hoefde er niet constant over na te denken. Maar de wereld is veranderd. Er schuilt gevaar in elke hoek en cybersecurity is nadrukkelijk een strategisch topic geworden. Je bent te laat als je gaat handelen als een probleem zich daadwerkelijk voordoet. Aan de voorkant moet je je indekken en dus moet het onderwerp in de top van de organisatie worden besproken.”
Wat zou je als organisatie moeten doen om het risico op een cyberaanval te reduceren? Van de Putte geeft advies. “Het is niet mogelijk om 24 uur per dag te controleren of je wordt gehackt. Daarom moet je de hulp inschakelen van tools die monitoren en melden als er gevaar dreigt. Daarbij is het de vraag welke tools de organisatie nodig heeft.” Ze geeft een voorbeeld. “Een techneut kan alle tools inrichten die er beschikbaar zijn. Daardoor is alles afgeschermd. Maar is er dan nog goed te werken? Daarom moet je, en daar ligt ook een verantwoordelijkheid voor de registercontroller, goed nadenken over wat écht belangrijk is voor de organisatie. Wat scherm je af? Wat doet er minder toe? Je kunt je voorstellen dat de gevolgen groter zijn als je financiële cijfers worden gestolen dan als er informatie over je workflows lekt. Je moet dus keuzes maken in tools. Anders krijg je als organisatie te veel op je bord.”
Volgens Van de Putte schuilen er op dit moment gevaren voor organisaties die gebruikmaken van ERP-systemen van SAP. “Deze systemen zijn een belangrijke bron voor financiële informatie. Ze zijn op dit moment heel interessant voor hackers. Veel organisaties zijn bezig hun data over te zetten naar de cloud. Daar zit dus veel beweging in. Als er beweging is, zijn er risico’s. Er komt een moment dat het slot van het oude datacenter afgaat, waarna de systemen en de data naar de cloud gaan. Op dat moment zijn je data mogelijk niet bewaakt. Binnen een paar uur kunnen hackers actief zijn en kunnen ze aan de haal gaan met jouw informatie. Ze zien namelijk dat je aan het migreren bent. Dat zijn momenten waarop je extra alert moet zijn.”
“ERP-systemen zijn een belangrijke bron voor financiële informatie. Ze zijn op dit moment heel interessant voor hackers.”
Het feit dat cybersecurity geld kost, is volgens Van de Putte een gegeven. “Maar risk en compliance kosten altijd geld. Je kunt ook andersom redeneren. Als je niet compliant bent, wat betekent dat dan? Wat kost dat dan? De kosten zijn torenhoog als jouw systemen worden gehackt of als je financiële gegevens op straat komen te liggen. Als je weet wat de risico’s zijn, dan is een investering wel te verantwoorden.”
“Toezichthoudende instanties hebben ook steeds meer aandacht voor dit onderwerp. Dat zie je onder andere terug in de NIB-richtlijn. Deze netwerk- en informatiebeveiligingsrichtlijn is een Europese richtlijn die het doel heeft om voor eenheid en samenhang te zorgen in Europees beleid voor netwerk- en informatiebeveiliging. Dit om het functioneren van onze samenleving en economie te ondersteunen. Door de digitale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Aanbieders van essentiële diensten en digitale dienstverleners zijn vanwege die richtlijn verplicht om adequate maatregelen te nemen om beveiligingsrisico’s te beheersen. En de gevolgen van incidenten te voorkomen en minimaliseren.”
Van de Putte juicht het toe dat de NIB-richtlijn ‘kritieke entiteiten’ dwingt om actief na te denken over cybersecurity en daar naar te handelen. “De gevolgen zijn niet te overzien als een energiebedrijf of een fabrikant van medicijnen wordt gehackt. Dan kan een complete stad zonder stroom zitten of kunnen medicijnen op de markt komen met de verkeerde doseringen. De risico’s zijn zo groot dat het goed is dat voor de ‘kritieke entiteiten’ de eisen worden verhoogd. Het geeft mij een gerust gevoel dat hierop wordt toegezien.”
Naam: Marieke van de Putte
Functie: Chapter Lead Cyber Security Strategy, Risk & Compliance
Organisatie: Capgemini
Ambitie: Make Security & Compliance easier by automation voor mijn klanten.
Grootste uitdaging: Beschikbare tijd in een dag.
Ik heb een hekel aan: Onrechtvaardigheid.
5 favoriete dingen: Continu leren, werken in diverse teams, verschillende landen en culturen ontdekken met en zonder mijn gezin, sporten om hoofd leeg te maken en pogingen doen om eindelijk piano te leren spelen.
Naar boven