'Toenemende cyberrisico's keerzijde van digitalisering'

Digitalisering maakt van grote bedrijven een goudmijn voor cybercriminelen. Hoe kunnen overheid en bedrijven zich wapenen tegen deze cyber-warfare? BDO geeft haar visie op deze ontwikkeling en interviewt juriste Lokke Moerel.

Eigenlijk wordt maar een klein deel van alle datalekken veroorzaakt door hackers en cybercriminelen. Het gros ontstaat door fouten van medewerkers. Een onbeveiligde usb-stick verliezen. Je laptop ergens laten staan. Een cloudapplicatie draaien die niet is goedgekeurd door de eigen IT-afdeling. Het positieve nieuws: het gaat langzaam de goede kant op met het noodzakelijke bewustzijn binnen organisaties, constateert Lokke Moerel. ‘Met dank aan de Meldplicht Datalekken die begin vorig jaar is ingevoerd.’ Jurist Moerel is al bijna twintig jaar actief in ICT en de beveiliging daarvan. Ze is Senior of Counsel voor het in technologie gespecialiseerde Amerikaanse advocatenkantoor Morrison & Foerster, en daarnaast professor Global ICT Law aan de Universiteit van Tilburg. Sinds 2015 is Moerel ook lid van de Nederlandse Cyber Security Raad.

Is cybercrime de laatste jaren echt zo hard gestegen, of kampten bedrijven een paar decennia geleden hier ook al mee?

‘Beide. Twintig jaar geleden hadden we ook al zaken waarbij bijvoorbeeld een groot IT-bedrijf creditcardgegevens van klanten was kwijtgeraakt. Dan vroegen ze aan ons, hun advocatenkantoor, of ze hun klanten daarover moesten informeren. Toen al was ons antwoord dan “ja”, want je hebt een schadebeperkingsplicht.  Het niet informeren van klanten kan een onrechtmatige daad opleveren. En vroeger verloor een bestuurder van een beursgenoteerd bedrijf ook wel eens een tas met daarin de voorlopige kwartaalcijfers. De dief kon met die informatie dan direct handelen met voorkennis. Verschil met vroeger is dat dit incidenten waren. Nu zijn cybercriminelen echt uit op het stelen van dergelijke bedrijfsinformatie. De intensiteit, schaal en professionaliteit van de cybercriminelen zijn de laatste tijd gigantisch gestegen.’

Hoe beoordeelt u het huidige cyberbewustzijn binnen bedrijven?

‘Dat kan en moet nog stukken beter. Bedrijven zijn zich bijvoorbeeld nog te weinig bewust van de gevaren van ransomware en cryptoware. Daarbij encrypten criminelen gegevens van bijvoorbeeld een bedrijf waar zij op zich niets aan hebben, maar die voor jouw bedrijf wel essentieel zijn. Pas nadat je hen geld betaalt, geven ze je weer toegang tot je data. Pure afpersing dus. Probleem is dat ze data “kidnappen” die in beginsel niet interessant zijn voor de buitenwereld en die daarom vaak niet sterk beveiligd zijn. Een oplossing hiervoor? Simpel: zorg continu voor veilig versleutelde, realtime data-backups, zodat je zelf altijd weer de data kan terughalen.’

Hoe staan de grote Nederlandse bedrijven er in internationaal perspectief voor, wat betreft cyberveiligheid?

‘De meeste zijn zeer ICT-intensief en werken met centrale ICT-systemen, waartoe werknemers toegang hebben, ongeacht waar ze zich op dat moment in de wereld bevinden. De keerzijde is: doordát bedrijven zo gedigitaliseerd zijn, lopen ze automatisch ook meer cyberrisico’s. In landen waar de ICT meer lokaal georganiseerd is of processen zelfs nog via papieren documenten verlopen, hebben cybercriminelen minder kans.’

Werken bedrijven op gebied van cyber security voldoende samen met hun ketenpartners?

‘Ik zie dat bedrijven die duidelijk afhankelijk zijn van andere bedrijven of intensief met hen samenwerken, vaker aansturen op een audit om de mate van cyber security van hun ketenpartner te checken. Logisch ook. Zeker als je voor de verwerking van klant- of werknemersgegevens, of de hosting van ICT-systemen, afhankelijk bent van andere partijen. Bij partijen die geen contractuele relaties hebben, maar toch in een keten werken, is dit besef er nog onvoldoende.’

Ook op gebied van cyber security is de mens, lees de werknemer, de zwakste schakel. Goede training en continue bijscholing moet dan toch afdoende zijn?

‘Je moet dat absoluut doen, maar dat is niet genoeg! Daarom is toegangsbeveiliging met enkel wachtwoorden onvoldoende, omdat er altijd wel iemand zal zijn die zijn wachtwoord ergens opplakt of voor verschillende systemen hetzelfde wachtwoord gebruikt waardoor dit voor hackers te achterhalen is. Voor goede cyberbeveiliging is “tweefactor identificatie” een must. Verder is het idee achterhaald dat je een firewall rondom je systemen legt en dat de cybercriminelen dan niet binnen kunnen komen. Leg dus extra veiligheidscordons aan rond de data die je echt wilt en moet beschermen. Het is hetzelfde als bij gewone beveiliging: je hebt een hek rond je huis, een slot op je voordeur en als iemand echt gevaar loopt op kidnapping is er een “panic room”. Monitor verder je eigen netwerk permanent op rare data-bewegingen die kunnen duiden op een indringer.’

Meer lezen

Het volledige interview met Lokke Moerel leest u in de nieuwste editie van BDO Scope; het magazine voor onze serie van expert-updates voor internationale ondernemingen en hun ambitieuze bestuurders en toezichthouders. 

Interesse?

Bent u geïnteresseerd in de diensten van BDO op het gebied van cyber security? Kijk hier voor meer informatie of om contact op te nemen met een van onze specialisten op dit gebied.