Ook digitale ongelukken zitten in een klein hoekje 50 CFO Q2 2014 tekst Erik Janse, Rob van der Hoeven en Peter Schimmel De ontwikkelingen op het gebied van technologie en big data gaan nog steeds in sneltreinvaart. Veel organisaties be­ halen hiermee strategisch voordeel, maar daarmee groeit ook de afhankelijkheid van informatie en technologie. W ij raken er steeds meer aan gewend dat gegevens en informatie digitaal kunnen worden opgeslagen en dat we die op elk gewenst moment weer kunnen oproepen. Vrijwel elk bedrijf raakt tegenwoordig ernstig onthand als die natuurlijke informatiestroom plotseling wordt geblokkeerd. Of als gegevens op straat blijken te liggen of worden misbruikt. De digitale verwerking heeft naast alle voordelen dus ook nadelen en dat is de andere kant van de medaille. Nu handelen is een must! Steeds meer producten, zowel voor de zakelijke wereld als voor de consument, bevatten informatietechnologie: het ‘internet of things’. Het doel is om slimmer en sneller te communiceren met andere apparaten en betere aansluiting te realiseren in de waardeketen. Bedrijven realiseren zich dit steeds meer en maken het onderdeel van hun strategie, hun onderscheidend vermogen en concurrentievoordeel. Maar daarmee wordt inbraak en fraude op deze nieuwe technologische omgevingen steeds interessanter. De waarde van geconsolideerde informatie en data levert immers steeds meer op voor criminelen. Cybercrime of computercriminaliteit is een steeds vaker voorkomend misdrijf. De media staan bol van de voorbeelden ervan. Cybercrime is een breed begrip. Vaak gaat het om een variant van een delict dat ook in de analoge wereld heel gewoon is, zoals acquisitiefraude. Andere voorbeelden zijn de diefstal van gegevens door ‘skimming’ of het stilleggen van bedrijfskritische processen door hackers. Economische gevolgen Om de ernst van de zaak aan te geven: cyberaanvallen en de uitval van complete infrastructuren staan in de top vijf van het World Economic Forum van mondiale risico’s in termen van waarschijnlijkheid en impact. De gevolgen kunnen zo immens zijn dat bronnen spreken van een ‘Cyber­ geddon’. De reikwijdte van zo’n aanval is niet te overzien en de schade voor alle stakeholders is onschatbaar. De laatste cijfers uit Amerika geven aan dat het aantal aanvallen jaar op jaar met 14 procent is gegroeid, dat 91 procent van de ondernemingen wel eens is aangevallen en dat organisaties te maken hebben met 122 succesvolle aanvallen per week. Bij 66 procent van de grootste financiële instellingen in Amerika gelooft men dat cybercrime onbestuurbaar is. De gemiddelde kosten van cybercrime van grote Amerikaanse ondernemingen bedragen 11,6 miljoen en de kosten voor de Amerikaanse economie zijn geschat op 500 miljard dollar. President Obama ziet cybercrime als de meest kritische economische uitdaging. De directeur van de NSA refereert aan cybercrime als de grootste transfer van rijkdom in de geschiedenis. Deze recente cijfers en uitspraken liegen er niet om. Het valt niet meer te ontkennen dat er zich het laatste decennium een nieuw en reëel gevaar heeft aangediend. Deze negatieve zijde van de informatietechnologie kan bedrijfsprocessen stilleggen, hoge kosten opleveren en daarmee succesvol zakendoen in de weg staan. We zien echter dat veel ondernemingen zich nog te weinig bewust zijn van deze impact en risico’s. Onbewust onbekwaam handelen (lees: niets doen omdat dit ons toch niet zal overkomen) leidt tot schade die voorkomen kan worden. Maar wat kunnen ondernemingen doen of nog beter doen? En wie is ervoor verantwoordelijk? Wie zou aQ2 2014 CFO 51 je moeten inschakelen als er onverhoopt iets gebeurt? Voorkomen is beter dan genezen Om het onderwerp cybersecurity op de agenda te zetten moet een relatie worden gelegd tussen risico en control, organisatie (cultuur en gedrag), besturing, techniek en IT- Cyberaanvallen en de uitval van complete infrastructuren staan in de top vijf van het World Economic Forum van mondiale risico’s recht. Ondernemingen willen niet dat onbevoegden hun website kapen, rondneuzen in hun bedrijfsgegevens en daar misbruik van maken of zelfs bedrijfsprocessen al dan niet opzettelijk stilzetten. Om dit te voorkomen is het startpunt altijd dat een specifieke inventarisatie wordt verricht van de risico's op cybercrime. Een brede blik met externe expertise is hierbij vaak wenselijk. Want waar het logisch is dat bedrijfsstilstand een groot risico is, wordt vaak vergeten dat bijvoorbeeld ook het dagelijkse gebruik van IT door medewerkers een bedreiging voor organisaties kan betekenen. Organisaties willen voorkomen dat een medewerker bijvoorbeeld pornografische bestanden op zijn pc heeft of dat er vanuit de organisatie dreigmails worden verzonden. Zij willen (ook juridisch) 52 CFO Q2 2014 kunnen ingrijpen als iets dergelijks zich voordoet. En wat te denken van USB-sticks die het systeem vanuit de externe omgeving kunnen vervuilen? De eerste stap is dus bewustwording: met welke digitale gegevens wordt er gewerkt? Hoe vertrouwelijk zijn deze gegevens? Hoe erg vindt onze organisatie het als deze gegevens op straat komen te liggen of worden misbruikt? Waarom zouden hackers juist aan onze deur voorbijgaan? Een logische stap na de identificatie van de risico’s en het vaststellen van de mate waarin die waarschijnlijk en significant zijn, is het inrichten van beheersingsmaatregelen. Daarbij moet niet slechts worden gedacht aan technische middelen, zoals firewalls, virusscanners of het niet langer hosten van vitale processen in de cloud. Uiteraard moet er ook sprake zijn van een beproefde incidentprocedure. Daarnaast moeten medewerkers voldoende getraind worden in de omgang met bedreigingen, zodat er voldoende bewustzijn is voor het signaleren van risicovolle situaties en voldoende kennis van de praktische omgang daarmee. Om te bezien of een en ander naar behoren is ingericht, kan een penetratietest worden uitgevoerd, waarbij de welwillendheid van de medewerkers ook op de proef wordt gesteld. Wat vaak wordt vergeten, en met een penetratietest niet kan worden opgemerkt, is het afdekken van de juridische aansprakelijkheid ten opzichte van derden, zoals afnemers, opdrachtgevers en leveranciers. Verdeling van verantwoordelijkheden In grote ondernemingen valt alles wat met digitale beveiliging te maken heeft onder de verantwoordelijkheid van de chief security officer of de chief information security officer. Als gevolg van de toegenomen complexiteit, risico’s en impact zal deze functie steeds meer zijn plaats gaan vinden in organisaties. Over vijf jaar zal informatiebeleid een vast onderdeel uitmaken van de risicoen integriteitsparagraaf van menig jaarverslag. Op dit moment zal dit beleid bij de gemiddelde onderneming nog onder verantwoording van de CFO vallen. De vraag die iedere CFO zich zou moeten stellen is of hij in de aanloop naar de juiste beveiligingssystemen over voldoende kennis beschikt om de juiste beslissingen te nemen op dit terrein. In de IT-governance van de organisatie worden de taken, bevoegdheden en verantwoordelijkheden van de informatieorganisatie georganiseerd en belegd. Informatiebeveiliging is hier onderdeel van. Hierin zijn ook de overlegstructuren en controls geïmplementeerd. Een toets op ervaring en competenties van verantwoordelijken is belangrijk om ervan verzekerd te zijn dat medewerkers voldoende competent zijn om hun taken naar behoren uit te voeren en om de juiste cruciale beslissingen te nemen. Het inrichten van voldoende controls met de juiste checks and balances is van vitaal belang om in control te zijn en te blijven. Continue, zowel externe als interne monitoring hoort hier ook bij om ervoor te zorgen dat de onderneming veilig blijft en is voorbereid op de toekomst die bestaat uit onvoorziene aanvallen en inbraken. Helemaal dichttimmeren is helaas niet mogelijk. Er zal altijd een rest­ risico blijven. Bovendien zijn er de onbekende risico’s die pas blijken als ze tot uiting komen. Maar er ligt wel een grote verantwoordelijkheid in om gevaarlijke situaties zo veel mogelijk te voorkomen. Al was het maar omdat aansprakelijkstellingen gemakkelijker kunnen worden gepareerd als kan worden gewezen op een afgewogen cybersecuritybeleid. Hierop anticiperen begint al met de algemene voorwaarden die worden gehanteerd, maar bij bijzondere samenwerkingen zal verdergaande clausulering aandacht behoeven. De rol van de overheid en meldingsplicht Ook de overheid is zich steeds meer bewust van het belang van een goede bescherming van informatie en gegevens en van een effectieve bestrijding van cybercrime. Een groot deel, zij het nog niet alles van wat onder cybercrime wordt verstaan, is al strafbaar gesteld. Cybercrime vindt vaak ongemerkt plaats, omdat manipulatie van gegevens zich buiten het (directe) zicht van de rechthebbende afspeelt. De pakkans wordt daarnaast gehinderd, doordat cybercrime zich niets aantrekt van grenzen (vanuit Rusland kan even gemakkelijk worden gehackt als vanuit Tietjerkstradeel) en het vaak om grote hoeveelheden gegevens gaat. Meer nog dan bij klassiek gepleegde misdrijven is de overheid afhankelijk van de bereidheid van slachtoffers om misstanden bij de overheid te melden. Omdat datalekken in onze informatiemaatschappij grote gevolgen kunnen hebben, zowel in de mate van ontwrichting als in de schade­ omvang, legt de overheid meldingsplicht op aan private partijen. Op grond van diverse wetten kennen financiële instellingen, energienetbeheerders, zorgaanbieders en aanbieders van openbare elektronische communicatienetwerken in bepaalde omstandigheden al een meldingsplicht. Er ligt een wetsvoorstel dat vitale sectoren (energie, drinkwater, overheid, banken, havenbedrijf, luchtverkeersleiding en dergelijke) in sommige gevallen verplicht inbreuken op hun informatiesystemen te melden, ook als het niet om persoonsgegevens gaat. Het wetsvoorstel ‘meldplicht datalekken’ verplicht elke verantwoordelijke die persoonsgegevens verwerkt een inbreuk op beveiligingsmaatregelen te melden waarvan redelijkerwijs kan worden aangenomen dat deze leidt tot een gerede kans op nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens. Een overzicht van (ook niet meldenswaardige) inbreuken moet worden bewaard. Elk gegeven dat een geïdentificeerde of identificeerbare persoon betreft is een persoonsgegeven, waarbij het niet alleen gaat om de gegevens van werknemers, maar ook om die van klanten of leveranciers. Elke handeling die met betrekking tot een persoonsgegeven wordt verricht (opslaan, opvragen, wijzigen, gebruiken, doorzenden, verspreiden en dergelijke) valt al onder verwerken. U bent dus de verantwoordelijke met betrekking tot deze gegevens. In sommige gevallen moeten datalekken volgens dit voorstel ook aan de betrokkenen (de werknemers, de klanten, de leveranciers) worden gemeld. maatregelen kunnen noodzakelijk zijn. Indien een incident wordt veroorzaakt door nalatigheid van een contractpartij, is het prettig wanneer de betreffende overeenkomst de mogelijkheid biedt om de kosten daarvan op die contractpartij te verhalen of die contractpartij te verplichten documenten en gegevens te verstrekken die nodig zijn om de gegevens en de daders te achterhalen. In de IT-governance van de organisatie worden de taken, bevoegdheden en verantwoordelijkheden van de informatieorganisatie georganiseerd en belegd Op Europees niveau wordt een richtlijn voorbereid inzake netwerk- en informatiebeveiliging, die bepaalde minimumbeveiligingsniveaus en meldplichten zal gaan voorschrijven. Naar proactieve cybersecurity De bewustwording van cyberrisico’s binnen een organisatie komt niet vanzelf tot stand. Protocollen kunnen uitkomst bieden. Datzelfde geldt voor een goede inventarisatie van de aanwezige (soorten van) gegevens en de specifieke risico’s die de aard van de organisatie wellicht meebrengt. Indien medewerkers betrokken zijn bij misbruik van uw gegevens, wilt u slagvaardig kunnen optreden en onderzoeken. Een privacyreglement kan daarbij helpen, evenals een clausule in een arbeidscontract. Disciplinaire Kortom, onze informatiemaatschappij mag dan een zegen zijn, er is ook reden om proactief te worden, bewustwording te creëren en de risico’s ervan zo veel mogelijk te beheersen. De informatieketting is immers zo sterk als haar zwakste schakel. Denk in benefits. Een goed georganiseerde informatiebeveiliging levert de onderneming een strategisch voordeel op! n ERIK JANSE is partner bij ConQuaestor, ROB VAN DER HOEVEN is partner bij Nauta Dutilh en PETER SCHIMMEL is partner bij Grant Thornton aQ2 2014 CFO 53