Dataveiligheid: zo lek als een mandje?
Dagblad Trouw constateerde op basis van cijfers van de Autoriteit Persoonsgegevens dat Nederlandse ziekenhuizen in 2016 elke dag een datalek te melden hadden. Het totaal aantal meldingen van datalekken kwam uit op 5.500. Alleen al het eerste kwartaal van 2017 was goed voor ruim 2.300 meldingen. Ook daarna zijn we herhaaldelijk geconfronteerd met organisaties die met ernstige problemen op het vlak van informatiebeveiliging te maken kregen. Enkele voorbeelden: zogeheten Petya-ransomware legde twee grote containerterminals in de Rotterdamse haven stil. Hetzelfde overkwam farmaceut MSD, pakketbezorger TNT en alle 38 vestigingen van de Nederlandse bouwmaterialenleverancier Raab Karcher. Het Nederlands Verbond van Verzekeraars moest zijn ‘mobielschademelden’- app (ontwikkeld in samenwerking met onder meer de politie) offline zetten als gevolg van een datalek. Vastgoedsoftwarebedrijf EyeMove verschafte door een lek onbedoeld toegang tot duizenden ‘hooggevoelige’ documenten als paspoortkopieën, werkgeversverklaringen en loonstroken. Een intern rapport over cultuurverschillen tussen Air France en KLM belandde op straat. En tot slot blijft het informatie druppelen uit de Panama Papers. Dat is een rechtstreeks gevolg van een hack die mogelijk was door het gebruik van verouderde software. Omdat de Autoriteit Persoonsgegevens vermoedt dat niet alle beveiligingsproblemen (direct) gemeld worden, zoals in mei 2016 door de NOS gemeld, zien we wellicht alleen het topje van de ijsberg.
Informatiebeveiliging beter regelen
Zo’n lijstje van drama’s roept verschillende vragen op: ‘wanneer is onze organisatie aan de beurt?’ of ‘waarom gaat het telkens mis?’ Beter is de vraag: ‘wat is er nodig om het vraagstuk informatiebeveiliging beter te regelen?’ Je kunt het probleem van dataveiligheid pas aanpakken als je het onderkent.
Het is niet zo dat organisaties geen oog hebben voor het digitaliseringsvraagstuk. Integendeel, digitale transformatie is bij tweederde van de Europese multinationals een dominant thema op de boardroom-agenda, aldus onderzoeksbureau IDC in 2016. Data en internettechnologie dringen steeds dieper door tot vrijwel alle bedrijfsprocessen. Denk aan connected cars, aan predictive analytics of aan de koppeling tussen online retail en fysieke winkels. Organisaties krijgen steeds meer data in bezit en hebben meer data in omloop, verdeeld over steeds meer opslaglocaties, applicaties en apparaten. Terwijl de meeste mensen nog praten over megabytes en gigabytes, zijn we hard op weg naar het zettabyte-tijdperk. In 1992 omvatte het totale dataverkeer via internet nog honderd gigabyte per dag, vijf jaar later was dat al opgelopen tot honderd gigabyte per uur. In 2007 ging er twee terabyte per seconde door cyberspace en technologiebedrijf Cisco verwacht dat we in 2021 uitkomen op honderd terabyte per seconde.
Er zijn nog meer belangwekkende trends te noemen. Vermoedelijk treedt komend jaar al het kantelpunt op waarbij het mobiele dataverkeer groter is dan het dataverkeer tussen pc’s. Ook het zogenaamde machine-to-machine-verkeer, een concrete toepassing van het internet of things, zal tussen 2016 en 2021 verdubbelen. Deze cijfers van Cisco maken duidelijk hoe de rol van data in onze economie toeneemt – en daarmee de afhankelijkheid van data als het gaat om bedrijfscontinuïteit en imago.
Laat beveiliging niet over aan IT
Digitale transformatie gaat niet alleen over processen diep in de organisatie. Onze persoonlijke werkmethoden veranderen, ook in de bestuurskamer. Daar wordt steeds vaker gewerkt met tablets en smartphones voor het raadplegen van informatie, denk aan rapportages en aan apps voor dashboards. Naast e-mail en papier (nog altijd een veel gezien verschijnsel in bestuurskamers) wordt informatie ook gedistribueerd via ‘nieuwe’ kanalen, zoals WhatsApp, en belandt informatie op uiteenlopende apparaten en in uiteenlopende opslagvormen, waaronder de cloud. Voor al die omgevingen geldt dat ze elk een eigen beveiligingsniveau hebben, dat toereikend en up to date is – of niet.
De in 2016 door de commissie-Van Manen herziene corporate governance code wijdt expliciet aandacht aan de veiligheid van data. Maar daarmee is het nadenken hierover beslist nog geen algemene praktijk. De praktijk van vandaag is dat het eigenaarschap van informatie zwak is ontwikkeld. Begrijpelijk: als je informatie doorstuurt, lijkt het alsof die informatie niet meer jouw verantwoordelijkheid is. De zorgplicht verhuist als het ware mee naar de nieuwe eigenaar van de informatie. Dat wordt althans vaak verondersteld, maar die houding is onterecht en maakt kwetsbaar.
Er zijn meer oorzaken aan te wijzen waarom informatiebeveiliging niet top of mind is. In sommige sectoren, bijvoorbeeld de advocatuur en de zorg, staat het onderwerp informatiebeveiliging op grote afstand van de dagelijkse praktijk van professionals. Omdat werknemers en bestuurders informatiebeveiliging ten onrechte beschouwen als hygiënefactor – alles is in orde tot het tegendeel blijkt – wordt het gemakkelijk overgelaten aan de IT-afdeling. Daarbij helpt het niet dat IT-veiligheid vaak wordt gezien als een abstract en technisch concept, dat in de praktijk vooral ongemak met zich meebrengt.
Het toenemend belang van zorgvuldigheid
Datalekken komen lang niet altijd direct, maar vaak pas na verloop van tijd (gemiddeld zo’n tweehonderd dagen, aldus IBM) bovendrijven. Ook dat vergroot de kans dat men de urgentie van het melden niet meer voelt en dat zelfs wordt afgezien van een melding. Organisaties volgen onveilig gedrag bovendien lang niet altijd op met consequenties en sancties. Tot slot zijn we bij het delen van bedrijfsinformatie geneigd vooral te denken aan laptops en usb-sticks vol bedrijfsdata, maar het gaat bijvoorbeeld ook om onze WhatsApp-communicatie. Die staat niet alleen op onze smartphone, maar ook ergens in de cloud. Of denk aan het gebruik van open wifi-netwerken zoals in het openbaar vervoer of in de horeca. Het gevolg is dat informatie overal en altijd is en vooral fluïde van karakter.
Hoe een organisatie omgaat met informatiebeveiliging, wordt mede bepaald door hoe de top van die organisatie dit vraagstuk aanvliegt. Bij ruim de helft van de bedrijven ligt de verantwoordelijkheid voor cybersecurity bij de directeur, in Nederland zelfs 65 procent, zo onderzocht verzekeraar Lloyds. Maar die voorbeeldrol wordt slecht ingevuld: meer dan veertig procent van de datalekken wordt niet gemeld door de bedrijven. Dat is geen goed scenario als we kijken naar wat er op bedrijven afkomt. De druk op informatiebeveiliging wordt met de komst van nieuwe wetgeving (bijvoorbeeld de nieuwe Europese privacywet GDPR en de nieuwe regulering op het gebied van beschikbaarstelling van data over financiële transacties, PSD2) alleen maar hoger. Digitalisering van organisaties betekent bovendien ook dat boardroomprocessen versneld worden, denk aan informatie- uitwisseling en besluitvorming. Ook dat zorgt voor een toenemend belang van zorgvuldigheid, betrouwbaarheid en veiligheid van boardroomcommunicatie en informatie-uitwisseling.
Bedrijfscultuur rondom informatiebeveiliging en risicobewustzijn
Data zijn de grondstof waarmee bedrijven en hun besturen dagelijks werken en waarmee waarde wordt gecreëerd. Er is daarom veel voor te zeggen dataveiligheid vanuit een strategisch perspectief aan te vliegen, gericht op continuïteit, wendbaarheid en aanpassingsvermogen, in plaats van het vraagstuk te bezien vanuit een negatieve situatie gericht op damage control. Achteroplopen brengt risico’s met zich mee op het gebied van reputatie en continuïteit, zoals in juni 2017 zichtbaar werd bij vijftig containerterminals in Europa, Azië, Noord- en Zuid-Amerika van de Deense transportgigant Maersk, toen het bedrijf te maken kreeg met het eerdergenoemde Petya.
Wat zijn best practices om een organisatie niet alleen data driven, maar ook data minded te maken? Een gezonde cultuur rondom informatiebeveiliging en risicobewustzijn rust op vier pijlers: een duidelijke visie, het juiste voorbeeldgedrag, de juiste tooling, systemen en processen en een consistente controle. Die visie is het werkveld van de ceo. Het is aan de ceo om de board te sensibiliseren en te demonstreren hoe de waarde van data gedefinieerd wordt. Koplopers op het vlak van dataveiligheid in de bestuurskamer zijn vooral te vinden onder internationale beursgenoteerde ondernemingen. Zij hebben ruime ervaring met het werken met non-executives op meerdere fysieke locaties. Vaak maken ze gebruik van slimme en goed beveiligde informatieplatforms. Vervolgens realiseren ze hiermee concurrentievoordeel, omdat ze het minst kwetsbaar en het best voorbereid zijn. Hoewel? Onderzoek van de New York Stock Exchange (NYSE, 2015) liet zien dat cybersecurity bij twee op de tien Amerikaanse beursgenoteerde ondernemingen niet standaard op de agenda van het topmanagement staat. Als er iets misgaat, zijn Amerikaanse bestuurders het bangst voor merk- of imagoschade. En in dat geval houden ze de ceo als eerste verantwoordelijk, een gewoonte die zomaar – en bovendien niet geheel onterecht – zou kunnen overwaaien naar ons land.
Dit essay is Gepubliceerd in Management Scope 08 2017.
Lees ook:
> Digitaal transformeren? Pak dit ook even mee