Artikel in De Crisismanager: “Cyberveilig Nederland: Nieuwe risico’s worden onvoldoende gezien”

Directeur Cyberveilig Nederland, Petra Oldengarm is geïnterviewd voor het magazine De Crisismanager:

Cyberrisico’s en bedreigingen veranderen snel. Bedrijven die hier niet op inspelen, doen de voordeur op slot maar laten de ramen open staan. Zo komen criminelen toch gemakkelijk binnen.

“Organisaties in de vitale sectoren hebben over het algemeen veel beveiligingsmaatregelen genomen, mede omdat zij hiertoe verplicht zijn”, zegt directeur Cyberveilig Nederland Petra Oldengarm. Toch ziet ze wel degelijk risico’s. “Een probleem is dat organisaties de ontwikkelingen op cybergebied vaak onvoldoende volgen, waardoor ze niet of nauwelijks inspelen op nieuwe risico’s. In de praktijk betekent dat vaak dat ze de voordeur op slot doen en niet in de gaten hebben dat er nog ramen open staan waardoor hackers toch gemakkelijk binnenkomen.”

Kun je voorbeelden van nieuwe risico’s noemen die vaak onvoldoende gezien worden?
“Je kunt cyber-risico’s verminderen door maatregelen te nemen in drie categorieën: organisatorisch, de technologie en de mensen. We zien dat organisaties op alle drie de categorieën maatregelen nemen, maar daarbij worden er zaken over het hoofd gezien. Er zijn bijvoorbeeld organisaties die nog altijd erg inzetten op awareness. Maar mensen weten steeds vaker wel wat cyberveilig gedrag is, maar ze doen het niet. Het is dus beter om in te zetten op een gedragsverandering, hoe moeilijk dat ook is.
Medewerkers zijn meer op afstand gaan werken. Welke nieuwe risico’s brengt dit met zich mee?

En er wordt vaak onvoldoende gemonitord welke nieuwe risico’s er ontstaan. Tijdens de coronacrisis zijn bijvoorbeeld veel mensen thuis gaan werken en daarbij maakten zij massaal gebruik van nieuwe platformen. Hoe veilig zijn die platformen? Tijdens een crisis is daar logischerwijs weinig aandacht voor. Maar na een crisis is het belangrijk dit zo snel mogelijk te evalueren. Juist omdat je van een crisis veel kunt leren. Nu zien we dat veel mensen thuis zijn gaan werken. Wat betekent dat voor de infrastructuur en welke risico’s zijn er daardoor bij gekomen? Het monitoren van dat soort nieuwe risico’s gebeurt in de praktijk nog weinig.”

Zijn er ook algemene risico’s die vaak over het hoofd worden gezien?
“In veel organisaties is er nog weinig aandacht voor risico’s die toeleveranciers binnen brengen. Ik doel bijvoorbeeld op schoonmaakmedewerkers die rondlopen in het pand en op kwetsbare plekken komen, het bedrijf dat op afstand onderhoud uitvoert of bijvoorbeeld de toeleverancier van de cloud-oplossingen. Dat soort bedrijven in de directe schil om een organisatie heen worden niet als vitaal aangemerkt. Daardoor nemen ze vaak niet dezelfde maatregelen als de vitale bedrijven zelf. De vitale organisatie moeten dus ook de toeleveranciers meenemen in hun risicobeoordeling.”

Zou het goed zijn om collectief eisen te stellen aan de toeleveranciers van vitale organisaties, bijvoorbeeld door een keurmerk verplicht te stellen?
“Ik vraag me af of een keurmerk in dit geval de oplossing is. Een keurmerk kan ook voor een afvinkcultuur zorgen. Het is belangrijker dat bedrijven zich bewust worden van de risico’s.

Bij de keuze voor een leverancier wordt er vanzelfsprekend altijd gekeken naar de prijs en de kwaliteit van de dienstverlening. Het zou goed zijn als de afnemer ook kijkt naar de maatregelen die een toeleverancier heeft genomen om de cyberveiligheid te waarborgen.”

Zijn er bepaalde bedreigingen waar we in de toekomst rekening mee moeten houden?
“Bedreigingen zijn grofweg onder te verdelen in intentionele bedreigen en niet-intentionele bedreigingen. Bij intentionele bedreigingen is er opzet in het spel. Een belangrijke ontwikkeling bij dit type bedreigingen is dat hackers steeds beter gaan samenwerken. Het is al lang niet meer de crimineel die op een zolderkamer alleen werkt. Criminelen werken in groepen samen en verkopen software aan elkaar. Ransomware software is bijvoorbeeld op een minder toegankelijk deel van het internet gewoon te koop. Criminelen hoeven de software dus niet zelf te ontwikkelen om een aanval uit te voeren. Daarnaast zien we dat de CEO- en CFO-fraude is toegenomen door de coronacrisis. Nu iedereen thuis werkt is het voor criminelen gemakkelijker om zich als CEO of CFO voor te doen. Bovendien is alles tijdens een crisis chaotischer, waardoor medewerkers eerder geneigd zijn om klakkeloos de verhalen van criminelen te geloven.

En ik zie ook beïnvloeding als belangrijke opkomende bedreiging. Algoritmes op internet zorgen er in toenemende mate voor dat bedrijven met name de informatie te zien krijgen die het beste bij hun profiel past. Daardoor wordt het steeds moeilijker om objectieve informatie te vinden. Dit maakt het steeds gemakkelijker om mensen met fake-nieuws te misleiden. Dit is een breed maatschappelijk probleem waar ook zakelijke omgevingen steeds meer mee te maken krijgen.
Tot slot zijn er natuurlijk technische ontwikkelingen die ervoor zorgen dat er nieuwe type dreigingen ontstaan. Met de opkomst van ’slimme’ apparaten is er weer een nieuwe plek ontstaan waar misbruik mogelijk is.”

En wat zijn de belangrijkste ontwikkelingen bij niet-intentionele bedreigingen?
“Bij een niet-intentionele bedreiging is er geen opzet in het spel. Een goed voorbeeld daarvan is de 112-storing vorig jaar. Ik vind dat we niet-intentionele bedreigingen niet moeten onderschatten. Systemen worden steeds complexer, waardoor het risico op fouten toeneemt.

En sommige dingen heb je ook gewoon niet in de hand. Een muis die in een datacentrum een kabel doorknaagt kan ook tot een zeer grote crisis leiden. Dus het is belangrijk dat we ook alert zijn op dit type bedreigingen en daarvoor maatregelen nemen.”

Wat is de belangrijkste boodschap die je organisaties mee zou willen geven?
“Zorg dat je cybersecurity serieus neemt. Er zijn nog altijd bedrijven die cybersecurity als een kostenpost zien waar gemakkelijk op bezuinigd kan worden. Maar cybersecurity is bij uitstek een thema dat in de boardroom thuishoort. Op dat niveau moet inzicht bestaan in welke kroonjuwelen een bedrijf heeft en hoeveel risico het bedrijf bereid is daarmee te lopen. Zo kan er een goede afweging gemaakt worden over de hoogte van de investering die daarbij past. Dat betekent niet automatisch dat er altijd enorm veel geïnvesteerd moet worden. De investering moet in verhouding staan tot het risico dat een bedrijf loopt. Het gaat er vooral om dat bedrijven cybersecurity als een volwaardig bedrijfsrisico gaan zien waar op C-level niveau over besloten wordt.”

Zie voor artikel: https://decrisismanager.nl/cyberveilig-nederland-nieuwe-risicos-worden-onvoldoende-gezien