‘IT-security hoort in de Raad van Bestuur thuis’

Steeds meer bedrijven krijgen te maken met ‘data breaches’ waarvan de gevolgen veel verder gaan dan ‘enkel en alleen’ de IT-operatie. De reputatie van de organisatie komt steeds vaker in het geding, net als de relatie met klanten, toeleveranciers en partners. Om nog maar te zwijgen van de impact die een security-incident kan hebben op de relatie met de wetgever en toezichthouders. Volgens Albert Kinney, Director Cyber Security Capabilities US Public Sector bij HP Enterprise Services, is het dan ook hoog tijd dat IT-security en informatiebeveiliging op de agenda van de Raad van Bestuur komen.

Cyber Security-top

Dat zei Kinney tijdens een bezoek aan ons land ter gelegenheid van de Cyber Security-top die deze week in Den Haag plaats vindt. Kinney hield tijdens deze top ook een voordracht over ethisch hacken en de vraag hoe we het beste kunnen omgaan met nieuwe ontdekte aanvalsmethoden.

Zorgen

Kinney - voorheen wetenschapper en militair en daardoor voorzien van een taalgebruik dat deze laatste carrière sterk benadrukt - is enerzijds bezorgd over de sterke toename in security-problemen die de laatste tijd in het nieuws komen, maar geeft anderzijds aan dat we maar beter kunnen wennen aan dit soort incidenten. Alleen al daarom pleit hij nadrukkelijk voor het op de agenda van de Raad van Bestuur plaatsen van informatiebeveiliging en IT-security. Alleen als vanuit de top van de organisatie voldoende aandacht is voor security, zal dit elders binnen het bedrijf tot afdoende maatregelen leiden.

Oude problemen

Dat is ook hard nodig, want hoezeer we ons als maatschappij ook zorgen maken over security en de problemen die hierdoor veroorzaakt worden, tegelijkertijd gaat er nog veel fout. Hij citeert uit een onlangs verschenen rapport van HP waaruit onder andere blijkt dat veel aanvallen van cybercriminelen gebruik maken van software- en andere fouten die vaak al jaren bekend zijn. En waarvoor bovendien al even zolang oplossingen in de vorm van patches en dergelijke bestaan. Toch is kennelijk niet het gevoel van urgentie aanwezig om al dit soort patches ook daadwerkelijk en gestructureerd toe te passen. Of het ontbreekt wellicht aan tijd. Daarom noemt Kinney automatisering van security-maatregelen ook erg belangrijk.

Serieuze kosten

Voor zowel bedrijfsleven als maatschappij beginnen de kosten van security-incidenten zo langzamerhand toch wel serieuze vormen aan te nemen. “De gemiddelde kosten van een cyberaanval bedroegen in 2010 nog gemiddeld 6,5 miljoen dollar. In 2014 is die kostenpost echter al verdubbeld tot gemiddeld 12,7 miljoen. Maar ook als we kijken naar de inspanningen die nodig zijn om incidenten op te lossen, dan zien we een sterke stijging. In 2010 nam het oplossen van een security-incident gemiddeld tien dagen in beslag. Inmiddels is dat gegroeid tot 45 dagen. En dan hebben we het dus nog niets eens over de tijd die verstrijkt voordat een bedrijf of overheidsorganisatie überhaupt ontdekt dat cybercriminelen zijn binnengedrongen.”

Honderd procent

“In gesprekken met Raden van Bestuur wordt mij regelmatig gevraagd of wij kunnen inschatten hoeveel bedrijven geïnfecteerd zijn met virussen en malware en dergelijke en dus met succes aangevallen kunnen worden. Mijn antwoord is dan altijd erg ontnuchterend voor veel C-level managers: 100 procent van het bedrijfsleven. Hetzelfde geldt voor overheden. En dus ook uw organisatie, zeg ik er dan bij. Met dien verstande dat er natuurlijk een groot verschil bestaat tussen geïnfecteerd zijn en ook daadwerkelijk slachtoffer van een cybercrime zijn. In lang niet alle gevallen komt het daadwerkelijk tot een ‘exploit’, maar ook dat percentage groeit duidelijk.”

Communicatie

Een belangrijk punt om in deze situatie verandering te brengen, is de vraag hoe we omgaan met nieuw vastgestelde security-issues. “Hackers en onderzoekers ontdekken vrijwel dagelijks nieuwe software-fouten en andere mogelijkheden waarmee een cybercrimineel in een netwerk of applicatie kan binnendringen. Op underground websites is ook een levendige handel in dat soort informatie. Hoe gaan we om met dat soort ontdekkingen? Geven we het betrokken softwarebedrijf eerst een paar weken de tijd om het lek te dichten? En wat als zij te traag voor een oplossing zorgen? En wie gaat dat bepalen? Maken we die nieuwe lek dan maar meteen publiekelijk bekend, zodat iedereen meteen iets aan dat probleem kan doen? Wat zijn andere mogelijkheden om de schade van zo’n lek te minimaliseren? Aan alle methoden van bekendmaken en communiceren zitten voor- en nadelen. Als HP denken we dat we daar om een goed afgewogen manier mee moeten omgaan. Dat is dan ook het onderwerp waarover ik tijdens de Cyber Security-top deze week in Den Haag een presentatie geef. Zodat we deze discussie verder kunnen voeren en we ook op dat terrein tot een verder terugdringen van cybercriminaliteit kunnen komen.”

Robbert Hoeffnagel