Cyberveiligheid in België: wat zijn de richtlijnen en hoe doet uw bestuur het?

Onze ondernemingen worden steeds afhankelijker van complexe technologische systemen. Hun onderlinge verwevenheid maakt die systemen kwetsbaar. Een faling ervan kan de goede werking van een onderneming serieus ontwrichten en veel schade veroorzaken.

Maar bedrijven die het slachtoffer worden van een of andere cyberaanval houden dat liefst discreet. Dat is begrijpelijk, want zo een voorval is geen goede publiciteit. Maar het is niet omdat iets niet in de openbaarheid komt dat het niet gebeurt: diverse studies tonen aan dat ook Belgische bedrijven vaak het doelwit en het slachtoffer zijn van cyberaanvallen. Vandaar het  groeiend belang van acties rond cyberveiligheid.  Het gaat niet alleen over bewustwording. Het gaat om effectieve stappen om uw systemen en ideeën te beschermen en om het menselijk gedrag in uw organisatie aan te sturen.

De RvB en cyberveiligheid

Ondernemers en bestuurders zijn zich intussen wel min of meer bewust van de mogelijke cyberdreigingen en de kwetsbaarheden van computernetwerken. Dit is niet voldoende . Ze moeten zich ook betrokken tonen bij het informatieveiligheidsbeleid.  Cyberveiligheid mag voor hen geen ver-van-mijn-bedshow zijn. Ze mogen dit niet enkel als een zaak (en een taak) van de computerspecialisten van de IT-afdeling beschouwen.

Wij vroegen Anneleen Dammekens, adviseur van het VBO en actief lid van de Belgische Cybersecurity Coalition, hoe we bestuurders meer bewust kunnen maken van het strategisch belang van cyberveiligheid. De Cyber Security Coalition ontstond op initiatief van The Center for Cybersecurity. Het is een partnership waarin ruim 50 verschillende spelers uit de  academische wereld, de autoriteiten en de private sector  hun krachten bundelen in de strijd tegen cybercrime.  Dat gebeurt ondermeer door kennisdeling, sensibilisatie, coördinatie van initiatieven en beleidsaanbevelingen voor meer cyberveiligheid.

Mevr. Dammekens argumenteert hier waarom de Raad van Bestuur van zowel een grote onderneming als een KMO (!) aandacht moet besteden aan cyberrisico’s.

1. 1. Cybersecurity hoort thuis op de agenda van de raad van bestuur omdat het een strategische issue is. Daar moeten regelmatig aanzienlijke budgetten voor vrijgemaakt worden en er moeten regelmatig nieuwe beleidslijnen goedgekeurd worden. De raad van bestuur houdt het topmanagement aansprakelijk voor de veiligheid van de informatie. En zeker de KMO’s hebben hier nog een lange weg af te leggen.

2. 2. De gedelegeerde bestuurder en de bestuurders aan de top moeten hier alleszins de toon zetten door zelf het goede voorbeeld te geven (lead by example). Het komt nog te vaak voor dat de zwakste schakel zich aan de top bevindt. Denk aan een druk bezette CEO die niet tijdig de nodige updates of scans verricht op de eigen pc of door gebrek aan tijd een data breach veroorzaakt.

3. 3. De informatieveiligheidsadviseur is de meest aangewezen persoon om rechtstreeks te rapporteren aan de RvB. Hij is immers belast met het vastleggen en uitvoeren van het veiligheidsbeleid van de onderneming. Door alle ict-risico’s te identificeren garandeert hij de beschikbaarheid, de veiligheid, de compliance en de integriteit van het informatie- en gegevenssysteem. Zijn meerjarenplan bevat best ook regelmatige opleidingen, sensibilisering van alle interne en externe medewerkers en een beheersplan voor grote veiligheidsincidenten of crisissen. De informatieveiligheidsadviseur voert best ook regelmatig kwetsbaarheidsscans uit om nieuwe dreigingen te detecteren. Let wel, het is niet nodig om elke (poging tot) aanval of elk incident afzonderlijk aan de bestuurders te melden.

4. 4. Van zodra een onderneming omgaat met veel digitale data is het aangewezen dat er iemand met “data-competenties” in de raad van bestuur zit zodat het management er een sparringpartner op niveau kan ontmoeten. Want voor bestuurders en managers spreekt een IT-expert vaak een andere taal. Er zijn dus bestuurders nodig die dergelijke zaken conceptueel kunnen uitleggen en duiden aan hun collega’s.

5. 5. De cyberrisico’s fluctueren snel. Eigenlijk zou elke raad van bestuur minstens twee maal per jaar het informatieveiligheidsniveau, de inventaris van de essentiële assets, het recoveryplan, de kwetsbaarheden en de genomen veiligheidsmaatregelen moeten evalueren. De raad baseert daar vervolgens zijn budgetbeslissingen en strategische acties op.

6. De raad bepaalt de risico-appetijt van het beleid. De interne en externe bedreigingen zijn voor elke onderneming evenwel anders. Elke raad moet zijn risico’s zorgvuldig in kaart brengen. De schade van een cybercrime of een data breach houdt niet alleen onaangename praktische, financiële en commerciële gevolgen in. Naast bedrijfsonderbrekingen of softwareschade bestaat er ook iets als reputatieschade. Wat als data van uw klantengegevens na een inbreuk zomaar publiekelijk te grabbel gegooid worden? De bestuurders dienen te beslissen welke risico’s ze wel en niet aanvaarden en waar het accent van de beveiliging moet liggen. In dat verband heeft de strenge GDPR-regeling velen wel wakker geschud. En omdat het ondanks de vele voorzorgsmaatregelen toch nog verkeerd kan aflopen kunnen bedrijven zich nu ook al via speciale polissen indekken tegen cyberrisico’s.

7. De meer gedetailleerde behandeling van cyberrisico’s hoort zo mogelijk ook thuis in het risk committee of het auditcomité. De raad van bestuur moet er zich kunnen van verzekeren dat het beveiligingsbudget tegen cyberrisico’s goed en efficiënt wordt aangewend. Meer en meer wordt het cyberveiligheidsbeleid daarom ook afgetoetst aan internationale kwaliteitsnormen en auditstandaarden. Als de resultaten van deze audits onvoldoende tegemoetkomen aan de doelstellingen wordt er best een nieuw actieplan voorgelegd aan de directie en de raad van bestuur.

Wat zijn vaak voorkomende gevallen van cybercrime?

• Gegevensdiefstal via malware infiltratie via HTTPS/SSL webtraffiek of via spyware
• Ransomware aanvallen
• Openbaarmaking of verlies van gevoelige of vertrouwelijke data (GDPR)
• Phishing-aanvallen
• (IT-)Medewerkers of relaties die zonder toestemming bepaalde cloud apps of diensten gebruiken
• Aanvallen met botnets
• Cryptocurrency mining malware die op interne PCs of servers geïnstalleerd wordt
• Het binnendringen via misleidende mails en attachments
• Hacking door kwetsbaarheden te vinden in de software of hardware
• Afpersing van website-operatoren
• DDoS (distributed denial of service) van websites om losgeld te eisen

De basisverdediging hiertegen bevat een centralisatie van alle updates, een antivirusbescherming op alle systemen en contactpunten, encryptie van gevoelige informatie, regelmatige backups, een beperking van het aantal bevoorrechte gebruikers met extra rechten en een streng paswoord beleid. Daarnaast past het alle werknemers te waarschuwen tegen bijvoorbeeld phishing en social engineering. De Coalition stelt hiervoor een gratis informatiebundel ter beschikking.  Maar, nogmaals, elke organisatie moet zelf zijn eigen strategisch plan voor cyberbeveiliging  opstellen en uitvoeren.

Meer info?

De Belgian Cyber Security Guide bevat onder meer een checklist voor een goede cyberveiligheidsstrategie met concrete tips.

https://cyberguide.ccb.belgium.be/nl/plan-uw-beveiliging
https://ccb.belgium.be/sites/default/files/CCB-NL%20-C.pdf
https://safeonweb.be/nl