Een board vol prooien: uw digitale privéleven als bedrijfsrisico
Laat ons beginnen met een compliment: de meeste bedrijven in Nederland en België hebben hun eigen cybersecurity aardig op orde. De chief information officer (cio) of de chief information security officer (ciso) heeft zijn of haar digitale bedrijfsomgevingen doorgaans accuraat beveiligd met waterdichte netwerken en strenge policies voor gebruikers. De beveiliging is dusdanig goed dat een cybercrimineel het niet in zijn hoofd haalt om de digitale bedrijfsmuren te bestormen – een zware opdracht immers. Dit alles is een felicitatie waard. Er is echter een ‘maar’. Het minder goede nieuws is dat de hacker zich niet zomaar gewonnen geeft. Als uiterst creatieve problem solver is hij altijd op zoek naar de zwakste plek binnen een organisatie. En die zwakke schakel ligt tegenwoordig niet zozeer binnen de digitale bedrijfsmuren, maar vooral in de privéomgeving van bestuurders zelf.
Waarom bestuurders een risico zijn
Bestuurders zijn namelijk ‘net mensen’ – en dat weten cybercriminelen maar al te goed. Ook bestuurders kiezen voor een wachtwoord dat nog altijd lijkt op een variatie van Welkom123. Ook bestuurders kiezen voor het gemak hetzelfde wachtwoord voor hun mailaccount als voor een hotelboekingsite. Ook bestuurders vergeten wel eens een applicatie te updaten naar de allerlaatste versie. En bovendien zijn corporate applicaties tegenwoordig overal terug te vinden op mobiele toestellen: we werken vandaag immers ook on the go.
Hackers zijn daarop gespitst. Met bots scannen ze wereldwijd continu duizenden executives en non-executives af, op zoek naar een mogelijke ingang. Pas als hij of zij ‘beet’ heeft in die oceaan van cybergegevens (een gelekt wachtwoord bij een onlinebedrijf bijvoorbeeld) zal de hacker zich gaan focussen op die ene bestuurder. Daarbij hebben cybercriminelen doorgaans geen haast: ze wachten rustig af totdat een volgend luikje opengaat. Ze lezen desnoods maanden met de privémail mee; geen mens die het opvalt.
Extra aandacht voor de toezichthouder
Hoewel cybercriminelen alle bestuurders van grote ondernemingen interessant vinden, is de toezichthouder/commissaris/ non-executive wellicht nog het meest aantrekkelijke doelwit. Leden van een rvc hebben inzage in alle vertrouwelijke stukken van een bedrijf. Sterker nog: vaak van meerdere bedrijven, ze hebben immers vaak meerdere commissariaten. Meestal vallen die rvc-leden niet onder de strikte digitale regels van de chief information (security) officer. De ci(s)o kan vaak slechts hopen dat de commissarissen hun eigen digitale hygiëne op orde hebben en zorgvuldig omgaan met de confidentiële stukken. Voor hackers is een commissaris een interessante prooi.
De voorbeelden: van reputatieschade tot faillissement
Dat bovenstaande geen fictie is, blijkt uit onderzoek van de Britse fraudepreventie-organisatie Cifas. Zij kwamen onlangs met gegevens waaruit blijkt dat bestuurders tweemaal zo vaak doelwit zijn van hackers als gewone burgers. In de media duiken dan ook steeds vaker de voorbeelden op van door cybercrime getroffen bestuurders. In Zweden werden de identiteitsgegevens van de ceo van beveiligingsbedrijf Securitas misbruikt om op zijn naam een lening aan te vragen, met faillissement als gevolg. In de Verenigde Staten persten cybercriminelen de ceo van energiebedrijf Invenergy af met ‘persoonlijke en pikante informatie’. In België raakte een bestuurder in opspraak nadat hij verzuimde zijn bedrijf te informeren over een persoonlijke hack. Deze openbare voorbeelden vormen zo goed als zeker slechts het topje van de ijsberg. Veel incidenten blijven onder de radar. Uit angst voor reputatieschade melden bedrijven of bestuurders het lang niet altijd als ze zijn aangevallen door hackers.
Financiële en emotionele schade
Over die schade gesproken: de gevolgen van een hack via het privédomein kunnen enorm zijn. Niet alleen voor een bedrijf, maar zeker ook voor de bestuurder zelf. Als het gaat om de financiële risico’s: verzekeraars bieden steeds minder vaak uitgebreide polissen voor cyber insurance. De risico’s zijn voor hen simpelweg te groot (en daardoor onbetaalbaar). Bedrijven zullen de rekening dan ook leggen bij de bestuurders die in de fout gaan. Zij zullen persoonlijk aansprakelijk worden gehouden. Helaas is er dan ook nog meer dan financiële schade: een hack betekent vaak het einde van een carrière van een bestuurder in de boardroom. En zeker even erg: het is vaak ook gedaan met de reputatie van de betrokkene in familie- of vriendenkring, zeker als er sprake is van afpersing met ‘pikante informatie’.
Tijd voor actie
Wie vandaag de dag een boardroomfunctie wil bekleden, dient een minimale digitale hygiëne te vertonen. De tijd waarin digitale slordigheid met de mantel der liefde werd bedekt is voorbij. Men kan zich niet langer verschuilen achter ‘digitale complexiteit’. Bestuurders zullen zich niet alleen moeten afvragen hoe goed hun bedrijf beveiligd is, maar juist ook hoe goed zij zelf zijn beveiligd. En nog een stapje verder: ze zullen zich moeten afvragen hoe goed hun collega-bestuurders zijn beveiligd. Zijn zij wel te vertrouwen op het terrein van algemene digitale hygiëne?
Het moet, kortom, beter. Gelukkig is er ook hier goed nieuws te melden: het kan ook makkelijk beter. Er zijn tal van mogelijkheden om het digitale privédomein beter te beschermen. Wat hiervoor nodig is, is een dosis gezond verstand, een plichtsbewuste digitale hygiëne en ondersteuning door experts. De eerste stap die iedereen vandaag nog kan zetten, is dit thema op de agenda te zetten van een meeting met de chief information officer of de chief information security officer. Met hen zal de bestuurder in gesprek moeten om de digitale kwetsbaarheden met name onder bestuurders verder aan te pakken, om van het digitale privédomein een onneembare vesting te maken.
De auteur van dit artikel is managing director van Cyberwolf.io, een bedrijf dat zich richt op persoonlijke cybersecurity van executives en non-executives. De schrijver kiest ervoor om anoniem te blijven. Zijn identiteit is bekend bij de hoofdredactie van Management Scope. Dit essay is gepubliceerd in Management Scope 01 2023.