Digital savviness wordt steeds urgenter: masterclass cybersecurity for boards
Auteur: Ellis Bloembergen | Beeld: Roderik van Nispen | 07-03-2023
Bij menig bedrijf staat cybersecurity hoog op de agenda. Er wordt fors geïnvesteerd in beveiliging van bedrijfssystemen. ‘Ook de komende jaren zal het een veelbesproken thema blijven binnen de board’, verwacht Joyce Leemrijse, notaris en partner bij Allen & Overy. ‘De risico’s zijn inmiddels zo groot dat niet langer één bestuurder verantwoordelijkheid kan dragen – álle bestuurders moeten goed geïnformeerd zijn om een adequate cyberstrategie te formuleren.’ Dit volgt ook uit de Corporate Governance Code zoals geüpdatet in december 2022.
Zover is het nog niet, blijkt tijdens de masterclass cybersecurity for boards, waarvoor een select gezelschap company secretaries is uitgenodigd. Bestuurders maar ook commissarissen zijn vaak minder tech savvy dan wenselijk. Door het gebrek aan ICT-kennis zijn er nog weinig constructieve gesprekken over de beste beveiliging tegen cybercriminaliteit. Erger nog, bestuurders en commissarissen zijn vaak makkelijk in de val te lokken door cybercriminelen, aangezien de digitale hygiëne van executives en non-executives nog weleens te wensen overlaat. De company secretary is bij uitstek de persoon om problemen en kennislacunes te signaleren en die te adresseren. De masterclass voor company secretaries was dan ook bedoeld om hen over deze risico’s bij te praten, en met ze in gesprek te gaan over hun ervaringen.
Phishingmails nog ingenieuzer dankzij ChatGPT
De urgentie van een solide ICT-beveiliging is hoog. De technieken van cybercriminelen worden steeds geavanceerder, zo schetst Bart Preneel, hoogleraar computerbeveiliging en industriële cryptologie aan de KU Leuven. ‘Waren het in de jaren ’80 en ’90 hackers die probeerden wachtwoorden te kraken om systemen binnen te dringen, tegenwoordig zijn de aanvallen geautomatiseerd. Cybercriminelen richten zich met goedkope software op meerdere bedrijven tegelijk en slaan toe als ze gaten in een ICT-systeem vinden.’ Volgens Preneel bevat elk softwareprogramma wel foutjes. Deze worden met nieuwe updates ‘gepatcht’ ofwel gerepareerd, maar soms zijn cyberdieven dan al binnengeglipt. Preneel: ‘Ontwikkelaars willen een nieuwe app zo snel mogelijk op de markt brengen, eventuele kwetsbaarheden nemen ze voor lief en fixen ze later.’
Ook phishing vormt een groot risico voor organisaties. Als medewerkers op een verkeerde link klikken, krijgen cybercriminelen toegang tot het bedrijfsnetwerk. Deze criminelen kunnen data stelen, meelezen met vertrouwelijke stukken en weten bijvoorbeeld hoe een onderneming er financieel voorstaat. Door het installeren van ransomware – gijzelsoftware waarmee gegevens worden versleuteld – kunnen ze vervolgens een bedrijf chanteren. Preneel: ‘Phishingmails zijn steeds moeilijker te herkennen, mede dankzij technologieën als ChatGPT.’
Het zijn overigens niet alleen bedrijfsnetwerken waarop criminelen zich richten. ‘Doordat onze samenleving steeds verder digitaliseert, kunnen zij ook slimme auto’s, huizen of gebouwen saboteren.’
Wapenwedloop van kunstmatige intelligentie
Preneel signaleert drie trends. Allereerst neemt het aantal datalekken schrikbarend toe. ‘Vooral via social media-kanalen worden relatief veel persoonsgegevens buitgemaakt. Facebookgebruikers mogen ervan uitgaan dat hun gegevens minstens één keer gelekt zijn.’ Bij Facebook gaat het volgens de hoogleraar weliswaar om inloggegevens, een datalek bij een overheidsinstelling zorgt ervoor dat privacygevoelige informatie in verkeerde handen komt.’
De hoogleraar constateert als tweede trend dat organisaties zich niet alleen moeten beschermen tegen cybercriminelen, maar ook tegen overheden. ‘De oorlog in Oekraïne speelt zich zowel fysiek als digitaal af, op onze ICT-systemen. Cyberaanvallen zijn gericht op de vitale infrastructuur in Oekraïne. Maar ook Nederland, een van de meest digitale landen, is kwetsbaar. Het kan misgaan met het betaalverkeer, de waterhuishouding, de drinkwatervoorziening, het treinverkeer, de transportsector of de energievoorziening.’
Preneel voorspelt tenslotte een wapenwedloop van kunstmatige intelligentie op het gebied van cybersecurity. ‘Organisaties zetten kunstmatige intelligentie in om mogelijke cyberaanvallen op hun netwerk te monitoren, tegelijkertijd richten cyberdieven zich met geautomatiseerde software op gaten in de digitale netwerken. Zo ontstaat er een oorlog op onze systemen waar we zelf niets meer van begrijpen.’ Toch heeft Preneel ook goed nieuws. ‘We verkeren in een transitiefase. Over 20 jaar zullen we uitsluitend veilige softwareprogramma’s ontwikkelen. Terugkijkend op deze tijd, zullen we ons afvragen waarom we ooit zulke slechte software op de markt brachten.’
Bestuurders en commissarissen makkelijk doelwit
Vaak vormen medewerkers een zwakke schakel in de beveiliging van digitale bedrijfsnetwerken. ‘Criminelen richten zich het liefst op de top van een organisatie, zegt de managing director van cyberwolf.io, die uit veiligheidsoverwegingen liefst anoniem blijft. Cyberwolf.io is een bedrijf dat is gespecialiseerd in de persoonlijke cybersecurity van executives en non-executives. ‘Dat is niet zonder reden. Criminelen merken dat ze relatief eenvoudig via privémail of devices van bestuurders of commissarissen binnen kunnen komen’, is zijn waarschuwing. ‘Rvb- of rvc-leden beschikken over veel vertrouwelijke informatie, maar zijn vaak het zwakst beveiligd. Ze vormen een makkelijk doelwit omdat ze – door onwetendheid of onverschilligheid – niet altijd hun ICT-hygiëne op orde hebben. Bestuurders maken bijvoorbeeld geen gebruik van password managers of tweefactor-authenticatie, of voeren geen updates uit.’
Grote valkuil voor organisaties is bovendien dat zij zich bij de beveiliging enkel focussen op zakelijke accounts en devices, terwijl bestuurders om tot een goede digitale hygiëne te komen op hulp moeten kunnen rekenen van hun organisatie om ook hun persoonlijke apparaten te beveiligen. ‘Bestuurders gebruiken juist vaak hun eigen laptop en bewaren hierop vertrouwelijke stukken. Ook appen of mailen ze vaak via hun eigen mobiele telefoon, die doorgaans geen enkele beschermingssoftware heeft. Tegelijkertijd worden er op de zakelijke mobiel allerlei minder veilige apps gedownload. Een cybercrimineel heeft zo verschillende mogelijkheden om binnen te glippen.’
Een van de company secretaries merkt op dat dit probleem makkelijk op te lossen is door af te spreken dat privé en zakelijk strikt gescheiden moet blijven. ‘Bij ons is dat policy.’ De praktijk is toch weerbarstiger. ‘Voor een commissaris is het niet prettig om vier verschillende telefoons en laptops te hebben voor zijn vier commissariaten.’ Bovendien wint het gemak het soms van het naleven van veiligheidsrichtlijnen. De managing director van cyberwolf.io: ‘Zelfs politici gaan de mist in. Zo mailde Hugo de Jonge als minister van Volksgezondheid vanuit zijn privémail en niet via het beter beveiligde account van het ministerie.’
Bijscholing is het devies
Er zijn enkele lessen te trekken uit cyberincidenten. Zo kunnen de technieken van cybercriminelen zeer geraffineerd zijn, weet Nicole Wolters Ruckert, expert data, privacy en cybersecurity van Allen & Overy. Ze vertelt hoe een investeringsbedrijf na talloze contacten via mail en telefoon te maken dacht te hebben met een serieus investeringsfonds. ‘Alles klopte, maar toch bleek de contactpersoon een oplichter te zijn – met als gevolg dat er tien miljoen euro naar de verkeerde partij werd overgemaakt.’ Een tweede waarschuwing: ‘Wees alert op ontevreden medewerkers. Zij kunnen hun wachtwoord weleens voor veel geld verkopen.’ Daarnaast wijst ze op het gevaar van cyberaanvallen bij leveranciers en afnemers. ‘Onderzoek hoe kwetsbaar je bent en maak daar afspraken over in contracten.’
Wolters Ruckert pleit voor een zekere basiskennis over cybersecurity in de boardroom. ‘Wat is cybercriminaliteit, welke impact kan het hebben en waarom is het belangrijk om te streven naar een goede ICT-hygiëne? De kennis wisselt nu sterk.’ Bijscholing is daarom het devies. Volgens Wolters Ruckert zullen bestuurders en commissarissen in de toekomst sowieso wettelijk verplicht worden om een zeker kennisniveau van cybersecurity te hebben. De rol van de chief information security officer (ciso) is daarbij belangrijk. ‘De verantwoordelijke persoon voor informatiebeveiliging binnen het bedrijf moet aan de board rapporteren over de risico’s. Daarbij moet het verhaal van de ciso goed afgestemd zijn op het kennisniveau van de rvb en rvc. De ciso spreekt immers niet altijd dezelfde taal. Tegelijkertijd is het hard nodig een constructief gesprek te voeren over de meest adequate cybersecurity- strategie.’
Aansprakelijkheid voor bestuurders zal toenemen
‘Er komt veel Europese en nationale wet- en regelgeving aan die meer verantwoordelijkheid neerlegt bij de board. Zo zullen bestuurders en commissarissen de cybersecurity-maatregelen van de ciso moeten goedkeuren. Als niet goed wordt gemonitord op naleving van deze maatregelen, kunnen bestuurders daarvoor aansprakelijk worden gesteld. Dat gaat best ver’, vindt de cybersecurity-expert van Allen & Overy. Wolters Ruckert verwacht dat de verantwoordelijkheid en aansprakelijkheid van rvb en rvc de komende jaren verder zullen toenemen. ‘Ook zouden bestuurders in de toekomst persoonlijk aansprakelijk kunnen worden gesteld. Tot nu toe moet er volgens de Nederlandse aansprakelijkheidsregels sprake zijn van een ernstig verwijt voordat iemand persoonlijk aansprakelijk gesteld wordt. Op het gebied van cybersecurity bleef dat tot dusver beperkt tot een enkel geval: het ging bijvoorbeeld om een bestuurder die bewust had verzuimd een datalek te melden.’
Concluderend stelt Wolters Ruckert dat bestuurders en commissarissen er straks niet zo makkelijk meer mee wegkomen als zij nonchalant omgaan met door het bedrijf vastgestelde ICT-richtlijnen. Ze verduidelijkt: ‘We vinden het normaal dat nieuwe medewerkers op hun eerste dag schriftelijk vastleggen dat ze zorgvuldig en veilig met bedrijfsmiddelen en software zullen omgaan. Voor bestuurders en commissarissen zou dat niet anders moeten zijn. Als zij de regels bewust weten te omzeilen en daardoor de achterdeur openzetten voor criminelen, kan dat worden opgevat als ernstige verwijtbaarheid.’
‘Kunnen we het wel bijbenen?’
De company secretaries erkennen dat cybersecurity steeds prominenter speelt binnen de organisatie. Eén van hen vertelt dat ICT enkele jaren terug nog op elke vestiging afzonderlijk werd geregeld. ‘We dachten: ons overkomt dat niet. We kregen echter te maken met enkele incidenten, waarbij soms ook de productie stilviel. Sindsdien regelen we het centraal en monitoren we continu op dreigingen. Als er een serieus alarm is, ondernemen we actie.’ Een collega-company secretary vraagt zich af of grote bedrijven wel goed opgewassen kunnen zijn tegen de almaar toenemende cyberdreigingen. ‘Kunnen we het wel bijbenen?’
Wolters Ruckert signaleert dat de situatie wel degelijk verbetert – maar langzaam. ‘We merken dat bedrijven vaker bestuurders en commissarissen benoemen die meer digital minded zijn. ‘Het tij keert dus, al duurt het wel even.’
Dit artikel is gepubliceerd in Management Scope 03 2023.