Tijd voor een nieuwe governance-aanpak: kwetsbaarheid computers en netwerken nog steeds grootste veiligheidsrisico

Vorig jaar besteedden we hier al veel aandacht aan een ‘thought leadership-rapport’ van Forrester Consulting. Dit rapport in opdracht van Diligent betreurde dat bestuurdersraden (nog) steeds onvoldoende nieuwe technologieën gebruiken. Met geïntegreerde end-to-end technologie en een andere governance-aanpak zouden bestuurders en directies nochtans sneller een beter begrip krijgen van de grootste risico’s en de belangrijkste managementinzichten.

Korte terugblik

Laten we eerst even enkele opvallende waarschuwingen kort recapituleren…

1. Maar liefst 56 procent van de bestuurders maakt nog gebruik van persoonlijke e-mail (niet-zakelijke e-mail) voor communicatie over bestuurlijke aangelegenheden. Het gebruiken van onbeveiligde communicatiekanalen maakt bestuursorganen extra kwetsbaar voor potentiële cyberaanvallen, schendingen en onbedoelde datalekken.

2. Slechts 41 procent van de bestuursorganen toont zich bezorgd over hun capaciteit om veilig te communiceren. Maar naarmate de cyberaanvallen spitsvondiger worden kunnen bestuursraden voor de bescherming van hun gevoelige bestuursinformatie toch niet langer terugvallen op gebrekkige beveiligingsmethoden en intussen verouderde werkwijzen? Er bestaat nochtans bestuursmanagementtechnologie waarmee ze veilig kunnen communiceren en efficiënt kunnen samenwerken.

3. Bijna 30% van de bestuurders of directieleden meldde het afgelopen jaar een kwijtgeraakte telefoon, tablet of computer. 23% meldde daarnaast het kwijtraken van papieren documenten. Verloren apparaten en documenten vormen hiermee de meest voorkomende beveiligingsschending en dus de belangrijkste verbeterpunten wat betreft de governance-aanpak.

Tijd voor een update van de governance-aanpak

Een jaar later worden bedrijven echter nog steeds vanuit verschillende kanten opgeroepen om meer aandacht te schenken aan de wijze waarop hun bestuurders en hun personeel omspringen met IT en hun governance-aanpak in het algemeen. De algehele cybercriminaliteit kost de Belgische bedrijven nu al drie keer meer dan drie jaar terug. We overlopen enkele belangwekkende evoluties.

1. Met ‘ransomware’ of cryptolockers leggen criminelen hele IT-bedrijfssystemen volledig lam doordat alle databestanden meteen versleuteld of vergrendeld worden. Pas als het bedrijf losgeld heeft betaald, geven de cyberkidnappers de computersystemen (soms) terug vrij. Deze losgeldsoftware sluipt de bedrijfssystemen altijd via de zwakste schakel binnen. Het aantal aanvallen met ransomware mag dan wel afnemen, tegelijk wordt de impact groter. De criminelen verlegden hun focus immers van de kwantiteit naar de kwaliteit: er wordt gericht gespeurd naar grotere winstkansen bij specifieke bedrijven waar essentiële activiteiten door IT worden aangestuurd. De daders zijn dan zekerder dat ze betaald zullen worden. En inderdaad, vandaag zouden naar schatting 40 procent van alle slachtoffers in het bedrijfsleven hun hackers het losgeld betalen om terug datatoegang te krijgen. Als commerciële organisatie wil u natuurlijk zo snel mogelijk weer aan de slag. Dat uw computerbeveiliging faalde hangt u liever niet aan de grote klok. Er wordt dus zo discreet mogelijk losgeld betaald, hoewel de overheden dat afraden. Sommige gevallen haalden de pers wel. Zo werden dit jaar bedrijven als Nyrstar, Wolters Kluwer en vooral Asco het slachtoffer van een cyberaanval. De aanval op Asco, een producent van vliegtuigonderdelen, legde de IT-afdeling en heel de productie voor een volle maand lam. Dit alles kostte deze internationale groep met ruim 1.500 werknemers miljoenen euro’s.
2. Hacking kost elk bedrijf gemiddeld 78.000 euro aan schade en omzetverlies. Door dit fenomeen stijgt het aantal verzekeringspolissen tegen cyberrisico’s, zeker bij de beursgenoteerde firma’s, de financiële instellingen en de IT-spelers. Een cyberverzekering beschermt uw organisatie tegen cybercriminelen. U krijgt ook onmiddellijk bijstand wanneer uw bedrijf moet afrekenen met een cyberincident zoals hacking, phishing, cyberfraude, cyberafpersing, een datalek, een netwerkonderbreking… U moet dan ook zelf geen dure bijstand meer inroepen van allerlei experten. De kost van een cyberverzekering verdwijnt eigenlijk in het niets in vergelijking met het algemene kostenplaatje dat een hacking of een virus in uw netwerk veroorzaakt!
3. De instructies van het federale Centrum voor Cybersecurity België (CCB) zijn duidelijk: bedrijven moeten zich nog beter beschermen door sneller overal de laatste updates van hun software door te voeren. Een andere tip is een correcte netwerksegmentatie: als cruciale diensten, zoals productie, sales en logistiek nooit zomaar aan elkaar gekoppeld zijn vermijd je dat virussen van de ene computer naar de andere kunnen overspringen. In de eerste negen maanden van dit jaar kreeg het CCB meer dan 1 miljoen meldingen binnen van ‘verdachte’ e-mails. In het volledige jaar 2018 waren er zo’n 650.000 meldingen. Omdat ook organisaties kwetsbaar zijn voor cyberdreigingen heeft het Centrum dit jaar ook een reeks van webinars ontwikkeld om organisaties en KMO’s met praktische tips bewust te maken van de belangrijkste cyberdreigingen.
4. Verder keurde de Kamer keurde op 21 maart eindelijk (weliswaar meer dan een jaar te laat) een wetsontwerp goed dat de Europese richtlijn ‘voor de beveiliging van netwerk- en informatiesystemen (NIS) van algemeen belang voor de openbare veiligheid’ omzette naar Belgisch recht. Deze NIS-wet bepaalt welke technische en organisatorische beveiligingsmaatregelen leveranciers van essentiële diensten moeten nemen om incidenten te voorkomen of de impact ervan te beperken. Zo hebben de bedrijven die slachtoffer zijn van een cyberaanval een meldplicht aan een centraal toezichtsorgaan voor cyberveiligheid
5. De Vlaamse overheid lanceerde dit voorjaar het Vlaams Beleidsplan Cybersecurity tegen aanvallen als cybergijzeling, industriële spionage en zelfs gesaboteerde productiesystemen. Deze Vlaamse overheidsinvesteringen zullen uitmonden in wetenschappelijk onderzoek, laagdrempelige opleidingen en sensibiliseringscampagnes. VLAIO moet de ‘digital readiness’en de digitale geletterdheid van onze ondernemers en ondernemingen verhogen en zo de governance-aanpak helpen doorzetten.