Vrijwel alle vitale processen en diensten binnen een organisatie zijn volledig afhankelijk van ICT. Wat als daar iets mee gebeurt? We vroegen aan Werner Alsemgeest, ethisch hacker en manager Cyber Risk Services bij Grant Thornton, hoe je hier als toezichthouder op kunt anticiperen.

“Mensen onderschatten het probleem vaak”, vertelt Werner Alsemgeest. “Terwijl de kans groter is dat het je wel overkomt dan niet. Men zorgt er wel voor dat de basismaatregelen voor veiligheid fysiek goed op orde zijn. Denk aan camera’s en goede sloten. Maar digitaal is het vaak nog niet op orde. Maar liefst 66 procent van de grote bedrijven heeft wel eens een cybersecurity-incident gemeld, zo blijkt uit de Cybersecurity-monitor 2019 van het CBS. Voor 34 procent van hen ging dat gepaard met hoge kosten. En maar liefst 29 procent van de grote bedrijven melden cybersecurity-incidenten door een aanval van buitenaf.

Dat zijn serieuze getallen. Je kunt het maar beter vóór zijn, want voorkomen is beter dan genezen. Als straks al jouw data op straat liggen, kan dat tot hoge boetes leiden, grote reputatieschade en verlies aan klanten.”

De basis op orde

“Als je ervoor zorgt dat de basis op orde is, voorkom je eigenlijk al de meeste ellende. 

Dit betekent dat er aan vier zaken gedacht moet worden. Dit kun je als toezichthouder natuurlijk niet zelf. Vraag hier daarom op door, en zorg ervoor dat binnen jouw organisatie aan alle vier de punten wordt gedacht. Want uiteindelijk ben jij wel medeverantwoordelijk.”

• Bescherming van de gebruiker
  Zorg ervoor dat de hele organisatie zich bewust is van de risico’s op dit gebied en wat iedereen daar zelf in kan doen. Bijvoorbeeld het gebruik van tweestaps verificatie en het herkennen van phishing emails.
• Bescherming van de systemen en je werkplek
  Windows, Mac en Linux moeten beschermd zijn, denk aan virusscanners en het consequent updaten van je software. Als je software up to date is, houdt dat al zo’n zeventig tot tachtig procent van het gevaar weg.
• Bescherming van het netwerk
  Kwetsbaarheden in het netwerk kunnen via beveiligingsscans worden geïdentificeerd. Worden deze scans uitgevoerd en komen daar acties uit voort?
• Bescherming van het internet
  Je kunt het in-en uitgaande verkeer tussen het interne netwerk en het internet monitoren om inzicht te krijgen in kwaadaardig verkeer en mogelijke aanvallen. Gebeurt die monitoring binnen de organisatie?  

Vertrouw niet iedereen op zijn of haar blauwe ogen

“Veel bedrijven hebben een extern bedrijf die voor hen de ICT en hopelijk de cybersecurity regelt. Zij komen vaak met een mooi verhaal over hoe alles dik in orde is.

Zorg er dan toch voor dat je inzicht hebt in de risico’s. De externe partij is niet verantwoordelijk voor jouw data. Dat ben je zelf, jij houdt daar toezicht op. Vraag door op bovenstaande vier punten en zorg ervoor dat je er echt van overtuigd bent dat het goed geregeld is.” 

Doe de test

“Wil je laagdrempelig een indicatie krijgen van hoe goed je basis op orde is? Dan kun je online een test vanuit de overheid doen. Deze vind je op: Rijksoverheid Basisscan Cyberweerbaarheid.

Maak ‘m gewoon met elkaar binnen de raad. Het kost je een kwartier, en daarna krijg je middels een rapport heel goed inzicht in hoe het ervoor staat binnen de organisatie. Dat kan aanleiding geven om tot actie over te gaan en zeker ook een gevoel van rust geven.”

Dit is niet alleen een ICT-probleem

“Wil je als organisatie cyberweerbaar zijn? Dan moet niet alleen je ICT op orde zijn. Veiligheid is iets waar iedereen binnen de organisatie zich bewust van moet zijn. Zodat mensen geen gevoelige gegevens laten slingeren, ze sterke wachtwoorden kiezen en dat ze hun mobiele telefoon beschermen met een lockscreen en antivirus.

Heel veel kun je gelukkig zelf al oplossen. En wordt het te complex, dan kun je altijd nog een externe specialist laten komen om voor jou de cybersecurity te checken.”