Ook digitale ongelukken zitten in een klein hoekje

advertisement
Ook digitale
ongelukken zitten
in een klein hoekje
50
CFO Q2 2014
tekst Erik Janse, Rob van der Hoeven
en Peter Schimmel
De ontwikkelingen op het gebied van
technologie en big data gaan nog steeds
in sneltreinvaart. Veel organisaties be­
halen hiermee strategisch voordeel, maar
daarmee groeit ook de afhankelijkheid
van informatie en technologie.
W
ij raken er steeds
meer aan gewend
dat gegevens en
informatie digitaal
kunnen
worden
opgeslagen en dat we die op elk
gewenst moment weer kunnen
oproepen. Vrijwel elk bedrijf raakt
tegenwoordig ernstig onthand als
die natuurlijke informatiestroom
plotseling wordt geblokkeerd. Of als
gegevens op straat blijken te liggen of
worden misbruikt. De digitale verwerking heeft naast alle voordelen
dus ook nadelen en dat is de andere
kant van de medaille. Nu handelen
is een must!
Steeds meer producten, zowel voor
de zakelijke wereld als voor de consument, bevatten informatietechnologie: het ‘internet of things’. Het doel
is om slimmer en sneller te communiceren met andere apparaten
en betere aansluiting te realiseren in
de waardeketen. Bedrijven realiseren
zich dit steeds meer en maken het
onderdeel van hun strategie, hun
onderscheidend vermogen en concurrentievoordeel. Maar daarmee
wordt inbraak en fraude op deze
nieuwe technologische omgevingen
steeds interessanter. De waarde van
geconsolideerde informatie en data
levert immers steeds meer op voor
criminelen.
Cybercrime of computercriminaliteit is een steeds vaker voorkomend
misdrijf. De media staan bol van de
voorbeelden ervan. Cybercrime is een
breed begrip. Vaak gaat het om een
variant van een delict dat ook in de
analoge wereld heel gewoon is, zoals
acquisitiefraude. Andere voorbeelden
zijn de diefstal van gegevens door
‘skimming’ of het stilleggen van bedrijfskritische processen door hackers.
Economische gevolgen
Om de ernst van de zaak aan te geven: cyberaanvallen en de uitval van
complete infrastructuren staan in de
top vijf van het World Economic Forum van mondiale risico’s in termen
van waarschijnlijkheid en impact.
De gevolgen kunnen zo immens zijn
dat bronnen spreken van een ‘Cyber­
geddon’. De reikwijdte van zo’n aanval is niet te overzien en de schade
voor alle stakeholders is onschatbaar.
De laatste cijfers uit Amerika geven
aan dat het aantal aanvallen jaar op
jaar met 14 procent is gegroeid, dat
91 procent van de ondernemingen
wel eens is aangevallen en dat organisaties te maken hebben met 122
succesvolle aanvallen per week. Bij
66 procent van de grootste financiële
instellingen in Amerika gelooft men
dat cybercrime onbestuurbaar is.
De gemiddelde kosten van cybercrime van grote Amerikaanse ondernemingen bedragen 11,6 miljoen en
de kosten voor de Amerikaanse economie zijn geschat op 500 miljard
dollar. President Obama ziet cybercrime als de meest kritische economische uitdaging. De directeur van
de NSA refereert aan cybercrime als
de grootste transfer van rijkdom in
de geschiedenis.
Deze recente cijfers en uitspraken
liegen er niet om. Het valt niet
meer te ontkennen dat er zich het
laatste decennium een nieuw en
reëel gevaar heeft aangediend. Deze
negatieve zijde van de informatietechnologie kan bedrijfsprocessen
stilleggen, hoge kosten opleveren en
daarmee succesvol zakendoen in de
weg staan. We zien echter dat veel
ondernemingen zich nog te weinig
bewust zijn van deze impact en risico’s. Onbewust onbekwaam handelen (lees: niets doen omdat dit ons
toch niet zal overkomen) leidt tot
schade die voorkomen kan worden.
Maar wat kunnen ondernemingen
doen of nog beter doen? En wie is
ervoor verantwoordelijk? Wie zou
aQ2 2014 CFO
51
je moeten inschakelen als er onverhoopt iets gebeurt?
Voorkomen is beter
dan genezen
Om het onderwerp cybersecurity op
de agenda te zetten moet een relatie worden gelegd tussen risico en
control, organisatie (cultuur en
gedrag), besturing, techniek en IT-
Cyberaanvallen en de
uitval van complete
infrastructuren staan in
de top vijf van het World
Economic Forum van
mondiale risico’s
recht. Ondernemingen willen niet
dat onbevoegden hun website kapen,
rondneuzen in hun bedrijfsgegevens
en daar misbruik van maken of zelfs
bedrijfsprocessen al dan niet opzettelijk stilzetten. Om dit te voorkomen is het startpunt altijd dat een
specifieke inventarisatie wordt verricht van de risico's op cybercrime.
Een brede blik met externe expertise
is hierbij vaak wenselijk. Want waar
het logisch is dat bedrijfsstilstand
een groot risico is, wordt vaak vergeten dat bijvoorbeeld ook het dagelijkse gebruik van IT door medewerkers een bedreiging voor organisaties
kan betekenen. Organisaties willen
voorkomen dat een medewerker bijvoorbeeld pornografische bestanden
op zijn pc heeft of dat er vanuit de
organisatie dreigmails worden verzonden. Zij willen (ook juridisch)
52
CFO Q2 2014
kunnen ingrijpen als iets dergelijks
zich voordoet. En wat te denken van
USB-sticks die het systeem vanuit de
externe omgeving kunnen vervuilen?
De eerste stap is dus bewustwording:
met welke digitale gegevens wordt
er gewerkt? Hoe vertrouwelijk zijn
deze gegevens? Hoe erg vindt onze
organisatie het als deze gegevens op
straat komen te liggen of worden
misbruikt? Waarom zouden hackers
juist aan onze deur voorbijgaan? Een
logische stap na de identificatie van
de risico’s en het vaststellen van de
mate waarin die waarschijnlijk en
significant zijn, is het inrichten van
beheersingsmaatregelen.
Daarbij
moet niet slechts worden gedacht
aan technische middelen, zoals
firewalls, virusscanners of het niet
langer hosten van vitale processen
in de cloud. Uiteraard moet er ook
sprake zijn van een beproefde incidentprocedure.
Daarnaast moeten medewerkers
voldoende getraind worden in de
omgang met bedreigingen, zodat er
voldoende bewustzijn is voor het signaleren van risicovolle situaties en
voldoende kennis van de praktische
omgang daarmee. Om te bezien of
een en ander naar behoren is ingericht, kan een penetratietest worden
uitgevoerd, waarbij de welwillendheid van de medewerkers ook op de
proef wordt gesteld.
Wat vaak wordt vergeten, en met
een penetratietest niet kan worden
opgemerkt, is het afdekken van de
juridische aansprakelijkheid ten opzichte van derden, zoals afnemers,
opdrachtgevers en leveranciers.
Verdeling van
verantwoordelijkheden
In grote ondernemingen valt alles
wat met digitale beveiliging te maken heeft onder de verantwoordelijkheid van de chief security officer
of de chief information security officer. Als gevolg van de toegenomen
complexiteit, risico’s en impact zal
deze functie steeds meer zijn plaats
gaan vinden in organisaties. Over
vijf jaar zal informatiebeleid een vast
onderdeel uitmaken van de risicoen integriteitsparagraaf van menig
jaarverslag. Op dit moment zal dit
beleid bij de gemiddelde onderneming nog onder verantwoording van
de CFO vallen. De vraag die iedere
CFO zich zou moeten stellen is of
hij in de aanloop naar de juiste beveiligingssystemen over voldoende
kennis beschikt om de juiste beslissingen te nemen op dit terrein.
In de IT-governance van de organisatie worden de taken, bevoegdheden
en verantwoordelijkheden van de
informatieorganisatie georganiseerd
en belegd. Informatiebeveiliging is
hier onderdeel van. Hierin zijn ook
de overlegstructuren en controls
geïmplementeerd. Een toets op ervaring en competenties van verantwoordelijken is belangrijk om ervan
verzekerd te zijn dat medewerkers
voldoende competent zijn om hun
taken naar behoren uit te voeren en
om de juiste cruciale beslissingen
te nemen. Het inrichten van voldoende controls met de juiste checks
and balances is van vitaal belang
om in control te zijn en te blijven.
Continue, zowel externe als interne
monitoring hoort hier ook bij om
ervoor te zorgen dat de onderneming
veilig blijft en is voorbereid op de
toekomst die bestaat uit onvoorziene
aanvallen en inbraken.
Helemaal dichttimmeren is helaas
niet mogelijk. Er zal altijd een rest­
risico blijven. Bovendien zijn er de
onbekende risico’s die pas blijken
als ze tot uiting komen. Maar er ligt
wel een grote verantwoordelijkheid
in om gevaarlijke situaties zo veel
mogelijk te voorkomen. Al was het
maar omdat aansprakelijkstellingen
gemakkelijker kunnen worden gepareerd als kan worden gewezen op
een afgewogen cybersecuritybeleid.
Hierop anticiperen begint al met
de algemene voorwaarden die worden gehanteerd, maar bij bijzondere
samenwerkingen zal verdergaande
clausulering aandacht behoeven.
De rol van de overheid
en meldingsplicht
Ook de overheid is zich steeds meer
bewust van het belang van een goede
bescherming van informatie en
gegevens en van een effectieve bestrijding van cybercrime. Een groot
deel, zij het nog niet alles van wat
onder cybercrime wordt verstaan,
is al strafbaar gesteld. Cybercrime
vindt vaak ongemerkt plaats, omdat manipulatie van gegevens zich
buiten het (directe) zicht van de
rechthebbende afspeelt. De pakkans
wordt daarnaast gehinderd, doordat
cybercrime zich niets aantrekt van
grenzen (vanuit Rusland kan even
gemakkelijk worden gehackt als vanuit Tietjerkstradeel) en het vaak om
grote hoeveelheden gegevens gaat.
Meer nog dan bij klassiek gepleegde
misdrijven is de overheid afhankelijk
van de bereidheid van slachtoffers
om misstanden bij de overheid te
melden.
Omdat datalekken in onze informatiemaatschappij grote gevolgen
kunnen hebben, zowel in de mate
van ontwrichting als in de schade­
omvang, legt de overheid meldingsplicht op aan private partijen. Op
grond van diverse wetten kennen
financiële instellingen, energienetbeheerders, zorgaanbieders en aanbieders van openbare elektronische
communicatienetwerken in bepaalde omstandigheden al een meldingsplicht. Er ligt een wetsvoorstel dat
vitale sectoren (energie, drinkwater,
overheid, banken, havenbedrijf,
luchtverkeersleiding en dergelijke)
in sommige gevallen verplicht inbreuken op hun informatiesystemen
te melden, ook als het niet om persoonsgegevens gaat.
Het wetsvoorstel ‘meldplicht datalekken’ verplicht elke verantwoordelijke die persoonsgegevens verwerkt
een inbreuk op beveiligingsmaatregelen te melden waarvan redelijkerwijs kan worden aangenomen dat
deze leidt tot een gerede kans op nadelige gevolgen voor de bescherming
van de verwerkte persoonsgegevens.
Een overzicht van (ook niet meldenswaardige) inbreuken moet worden bewaard. Elk gegeven dat een
geïdentificeerde of identificeerbare
persoon betreft is een persoonsgegeven, waarbij het niet alleen gaat
om de gegevens van werknemers,
maar ook om die van klanten of
leveranciers. Elke handeling die met
betrekking tot een persoonsgegeven
wordt verricht (opslaan, opvragen,
wijzigen, gebruiken, doorzenden,
verspreiden en dergelijke) valt al
onder verwerken. U bent dus de
verantwoordelijke met betrekking
tot deze gegevens. In sommige gevallen moeten datalekken volgens dit
voorstel ook aan de betrokkenen (de
werknemers, de klanten, de leveranciers) worden gemeld.
maatregelen kunnen noodzakelijk
zijn. Indien een incident wordt veroorzaakt door nalatigheid van een
contractpartij, is het prettig wanneer
de betreffende overeenkomst de mogelijkheid biedt om de kosten daarvan op die contractpartij te verhalen
of die contractpartij te verplichten
documenten en gegevens te verstrekken die nodig zijn om de gegevens en
de daders te achterhalen.
In de IT-governance van
de organisatie worden de
taken, bevoegdheden en
verantwoordelijkheden van
de informatieorganisatie
georganiseerd en belegd
Op Europees niveau wordt een richtlijn voorbereid inzake netwerk- en
informatiebeveiliging, die bepaalde
minimumbeveiligingsniveaus
en
meldplichten zal gaan voorschrijven.
Naar proactieve
cybersecurity
De bewustwording van cyberrisico’s
binnen een organisatie komt niet
vanzelf tot stand. Protocollen kunnen uitkomst bieden. Datzelfde geldt
voor een goede inventarisatie van de
aanwezige (soorten van) gegevens en
de specifieke risico’s die de aard van
de organisatie wellicht meebrengt.
Indien medewerkers betrokken zijn
bij misbruik van uw gegevens, wilt u
slagvaardig kunnen optreden en onderzoeken. Een privacyreglement kan
daarbij helpen, evenals een clausule
in een arbeidscontract. Disciplinaire
Kortom, onze informatiemaatschappij mag dan een zegen zijn, er is ook
reden om proactief te worden, bewustwording te creëren en de risico’s
ervan zo veel mogelijk te beheersen.
De informatieketting is immers zo
sterk als haar zwakste schakel. Denk
in benefits. Een goed georganiseerde
informatiebeveiliging levert de onderneming een strategisch voordeel
op! n
ERIK JANSE is partner bij
ConQuaestor, ROB VAN DER
HOEVEN is partner bij Nauta Dutilh
en PETER SCHIMMEL is partner bij
Grant Thornton
aQ2 2014 CFO
53
Download