Cybersecurity is duur, complex maar noodzakelijk: “Het is onmogelijk om een waterdicht systeem te maken”

Meten is moeilijk

CFO’s waken over de financiële risico’s. Zij zagen dus vanop de eerste rij welke impact de online beveiliging, of het gebrek eraan, heeft op het bedrijf. “De benodigde budgetten nemen toe”, weet Mostmans. “De complexiteit neemt toe, dus het aantal mensen neemt toe, maar ook alles wat zich afspeelt aan de technologiekant die betrekking heeft op cybersecurity neemt toe. Die kosten zijn niet min en we merken dat er meer vragen vanuit de CFO-office komen dan vroeger: het is niet eenvoudig om de return on investment te berekenen van investeringen in cybersecurity. Het blijft heel technische materie, en voor een CFO is het niet altijd duidelijk wat er nu precies beschermd wordt aan welke kost, of er al dan niet overdreven wordt of er net onvoldoende gebeurt.”

Uit het onderzoek blijkt dat het juist kwantificeren van het risico voor veel ondernemingen al een struikelblok vormt. “Binnen cyber is het heel moeilijk omwille van het feit dat de potentiële impact van een cyberincident heel groot is. Dat gaat over tientallen tot honderden miljoenen. Tegelijkertijd is de kans op een incident van dergelijke grootte meestal relatief klein. Dat maakt het moeilijk te kwantificeren. Omdat de inschatting voor bedrijven wel belangrijk is, loont het ook om een kwalitatieve inschatting te maken: wat zou een aanval voor ons bedrijf betekenen? Waar zijn we zwak en waar zijn we goed beveiligd?”

Afhankelijk van de soort organisatie die je bent, heb je andere bezorgdheden. “In de publieke sector ligt men wakker van een goede dienstverlening naar de burger, terwijl een financiële instelling waakt over het financiële en een productieomgeving zal vrezen voor stilstand van operaties. In het Verenigd Koninkrijk had je recent nog Jaguar Land Rover die een aantal weken stillag. Dat heeft hen honderden miljoenen gekost.”

“We hebben nooit veel dividenden uitgekeerd, maar kozen ervoor om het geld in de vennootschap te houden.”

Mens en technologie

De alomtegenwoordigheid van artificiële intelligentie werkt vandaag als brandversneller in het cybersecurityvraagstuk van bedrijven. Met de nieuwe technologie slagen boosaardige actoren er beter in om op grote schaal inbraakpogingen te ondernemen. “Aanvallers gebruiken AI om meer automatisch en meer geavanceerd aan te vallen”, zegt Mostmans. “Door bepaalde informatie over mensen te vinden en te gebruiken, kunnen ze heel gericht te werk gaan. Dat gebeurde vroeger ook al, zij het manueel, waar het nu op grotere schaal geautomatiseerd verloopt. Aanvallen worden persoonlijker, sneller en realistischer.”

Volgens Mostmans is het zaak om op alle fronten de kieren zoveel mogelijk dicht te spijkeren. “Het is een gevecht van mens tegen mens, maar ook technologie tegen technologie. Er moet bij iedere werknemer een bewustzijn leven dat dit gebeurt.” De verdedigende partij zet natuurlijk ook AI in, op vlak van monitoring, EDR-systemen (Endpoint Detection and Response) en anomaliedetectie.

Technologie blijft dus een cruciaal element. Toch blijkt uit het onderzoek dat het grootste aandeel van het budget voor cybersecurity uitgaat naar personeel. “Voorlopig blijft het heel belangrijk om de juiste mensen te hebben om de risico’s juist in te schatten en wat er moet gebeuren om die risico’s te minimaliseren.”

“We werken meer mobiel. Systemen zitten niet meer achter een muur, maar een beetje overal. Dat maakt het moeilijker om de werkplek te beveiligen.”

Vier fronten

Die verschillende fronten waarop strijd geleverd wordt, deelt Mostmans op in vier categorieën: awareness, infrastructuur, toegangsbeheer en monitoring. “Het begint allemaal bij bewustzijn bij het personeel. Dat vergt wat opleiding van de mensen, maar zeker ook van het management. Ten tweede zijn de technologische maatregelen ook cruciaal: vandaag doen EDR-systemen wat we vroeger door antivirussoftware lieten doen. Nu gaat de software het gedrag op de pc in de gaten houden en ingrijpen als er iets verdachts gebeurt. Dat wordt ook belangrijker, aangezien we meer en meer mobiel werken. Systemen zitten niet meer achter een muur, maar een beetje overal. De werkplek moet veilig blijven.”

Een derde punt is toegangsbeheer. “Meer bepaald identity en access management. Er moet controle zijn over wie toegang heeft tot wat. Een goed voorbeeld daarvan is de bankrekening, maar dat kan je doortrekken naar systemen met gevoelige informatie.” Tot slot noemt Mostmans monitoring als vierde belangrijke element. “Het is moeilijk om alle openingen dicht te timmeren. Daarom is het continu speuren naar abnormale of onverwachte zaken ook belangrijk en leidt dat vaak tot interessante inzichten.”

“Het is een gevecht van mens tegen mens, maar ook technologie tegen technologie.”

Moving target

Het is een zichtbare tendens dat ondernemingen zich beter beschermen nadat een incident zich voordoet. Intern, maar ook bij spraakmakende voorvallen bij andere organisaties. “Iedere organisatie krijgt te maken met incidenten”, stelt Mostmans. “Dat helpt om de businesscase rond cybersecurity te versterken richting de CFO of anderen hogerop.”

Geen enkele organisatie ontsnapt er nog aan, ook Deloitte zelf niet. “Wij hebben een aantal kleinere incidenten gehad, en omwille van het belang van onze brand hebben wij die steeds heel serieus genomen. We investeren voortdurend om onze maturiteit verder te verhogen. Het is belangrijk om over de juiste mensen en de juiste technologie te beschikken, maar dat biedt nooit de garantie dat er niets kan gebeuren.”

“Het komt er voor de CFO op neer om in overleg te gaan met de CIO en de CISO (Chief Information Security Officer) om te bepalen welke risico’s er bestaan voor de specifieke organisatie. Van daaruit moet je een haalbaar niveau of doel bepalen om naartoe te groeien”, zegt Mostmans. Uit de studie blijkt dat ondernemingen zelf aangeven dat de hoogste mate van cyberbeveiliging door verschillende oorzaken, zoals middelen en mensen, niet realistisch is. “Cybersecurity is een moving target. Daarom is het nuttig om de maturiteit in kaart te brengen. Het risico kwantificeren is moeilijk, maar het is heel nuttig om de financiële kant ervan te kennen en de organisatie te benchmarken tegenover de peers.”