Ondernemingen moeten op alle niveaus meer kennis van cyberbeveiliging in huis halen, stellen EY-experts vast. ‘In het executive team moet een Chief Information Security Officer (CISO) zitten.’
‘Cybercriminaliteit is een erg winstgevende sector, zelfs big business’, vertellen Koen Machilsen en Edwin Haedens van EY. ‘Reken daarbij de geopolitieke evoluties – Rusland bijvoorbeeld, bombardeert tegenwoordig ook met cyberaanvallen - en je begrijpt dat bedrijven die almaar meer gedigitaliseerde kernprocessen hebben, erg kwetsbaar worden.’
Als de cyberveiligheid tekortschiet, kunnen de gevolgen ernstig zijn. Denk aan ransomware, kwaadaardige software die bestanden op een computer versleutelt en losgeld vraagt om ze weer vrij te geven. Of aan deepfakefraude, zoals bij een Brits ingenieursbureau waar een medewerker onlangs 23 miljoen euro overmaakte op basis van valse beelden van de CFO, gemaakt met artificiële intelligentie.
‘Je hebt maar een foto en enkele seconden spraak nodig om een deepfake te maken’, zegt Koen Machilsen, partner bij EY.
Er zijn nog manieren waarop criminelen AI gebruiken, merkt hij op. ‘Vroeger stuurden ze op grote schaal slecht geschreven Engelstalige phishingmails om toegang te krijgen tot computersystemen. Nu kunnen ze quasi automatisch zeer gerichte, goed geschreven mails versturen op basis van (profiel)gegevens die online te vinden zijn.’
Europese wetgeving
Bedrijven moeten dus meer dan ooit bezig zijn met cyberveiligheid. Maar dat laat in de praktijk vaak te wensen over. Ondernemingen zullen snel beter moeten doen. ‘Ook Raden van Bestuur moeten op het vlak van cyber- en technologiekennis een inhaalbeweging maken’, vertelt Machilsen.
Mensen vormen de eerste verdedigingslinie. Als je op de financiële afdeling werkt en je krijgt een vreemd verzoek van de CFO, neem dan je telefoon om dat te checken.
Vanaf 18 oktober 2024 komt er met de NIS2 wetgeving aan die de raad van bestuur en het management aansprakelijk maakt voor cyberbeveiliging, vertelt Edwin Haedens, senior manager cybersecurity bij EY.
Bij niet-naleving kunnen de boetes oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van wat het hoogste bedrag is.
EY helpt bedrijven om cyberrisico’s in kaart te brengen, de prioriteiten vast te leggen, een verbetertraject op lange termijn te verzekeren en de vooruitgang te monitoren. De eerste aanbeveling van de experts ligt voor de hand: haal voldoende kennis van cyberbeveiliging in huis, en niet alleen in de RVB.
‘In het executive team moet een Chief Information Security Officer (CISO) zitten’, zegt Machilsen. ‘De RVB moet de CISO het mandaat geven om een cyberbeleid in de hele organisatie uit te rollen.’
Bescherm de kroonjuwelen
Een goed cyberbeleid integreert niet alleen in alle strategische initiatieven en het crisismanagement van de onderneming, maar versterkt ook de supply chain, stelt Machilsen. ‘Hoe kwetsbaar is het ecosysteem van de onderneming? Wat zijn de gevolgen als een leverancier slachtoffer wordt van cybercriminaliteit? En wat gebeurt er met jouw klanten als jouw bedrijf zelf een cyberaanval te verduren krijgt?’
Bedrijven die niet ver staan met hun beleid en uitvoering, krijgen gewoon geen cyberverzekering meer.
Het is belangrijk dat een RVB genoeg middelen ter beschikking stelt om zijn kritische bedrijfsprocessen en kroonjuwelen te vrijwaren van een impactvolle cyberaanval. Heeft het bedrijf de juiste maatregelen genomen om die te beschermen? Is er een monitoringssysteem dat snel waarschuwt als er tekenen zijn van een cyberaanval? Heeft het bedrijf voldoende capaciteit en kennis in huis om te reageren?
Neem de telefoon
De bedrijfscultuur en bewustwording zijn cruciaal en vraagt voortdurend aandacht. De RvB moet ook het belang ervan onderschrijven, zegt Haedens.
‘Bij elke cyberaanval zijn mensen betrokken, zij vormen de eerste verdedigingslinie. Bewustmaking en opleiding zijn cruciaal, voor het voorkomen, reageren en herstellen van een cyberaanval. Als je bijvoorbeeld op de financiële afdeling werkt en je krijgt een vreemd verzoek van de CFO om geld over te maken, neem dan de telefoon om te bevestigen.’
Bedrijven kunnen een cyberverzekering afsluiten om onder meer de schade van ongeoorloofde toegang tot IT-systemen af te dekken. ‘Maar die verzekering is steeds moeilijker te krijgen’, merkt Machilsen op.
‘Een paar jaar geleden volstond een simpel rapportje, tegenwoordig zijn de voorwaarden veel strenger. Bedrijven die niet ver staan met hun cyberveiligheidsbeleid krijgen gewoon geen verzekering meer. Bij EY kunnen we klanten helpen om een volledige cyberstrategie uit te rollen,’ besluit Haedens.