Cybercriminaliteit voorkomen is beter dan genezen
De ontwikkelingen op het gebied van technologie en ‘Big Data’ gaan nog steeds in sneltreinvaart. Veel organisaties behalen hiermee strategisch voordeel, maar daarmee groeit ook de afhankelijkheid van informatie en technologie.
Wij raken er steeds meer aan gewend dat gegevens en informatie digitaal kunnen worden opgeslagen en dat we die op elk gewenst moment weer kunnen oproepen. Vrijwel elk bedrijf raakt tegenwoordig ernstig onthand als die 'natuurlijke' informatieflow plotseling wordt geblokkeerd. Of, als gegevens op straat blijken te liggen of worden misbruikt. De digitale informatiestroom heeft naast alle voordelen dus ook een andere kant van de medaille. Nu handelen is een must!
In steeds meer producten, zowel zakelijk als voor de consument, zit tegenwoordig informatie technologie – ‘Internet of Things’. Het doel is ‘slimmer’ en sneller te communiceren met andere apparaten en betere aansluiting te realiseren in de waardeketen. Bedrijven realiseren zich dit steeds meer en maken het onderdeel van hun strategie, hun onderscheidend vermogen en concurrentie-voordeel. Maar daarmee wordt inbraak en fraude op deze nieuwe technologische omgevingen steeds interessanter. De waarde van geconsolideerde data levert immers steeds meer op voor criminelen.
Cybercrime of computercriminaliteit is een steeds vaker voorkomend misdrijf. De media staan bol van voorbeelden van cybercrime. Cybercrime is een breed begrip. Vaak gaat het om een variant van een delict dat ook in de analoge wereld heel gewoon is, zoals acquisitiefraude. Andere voorbeelden zijn het stelen van gegevens door ‘skimming’ of het stilleggen van bedrijf kritische processen door hackers.
Economische impact
Om de ernst van de zaak maar even aan te geven: Cyberaanvallen en het stilleggen van complete infrastructuren staan in de top 5 van het World Economic Forum van mondiale risico’s in termen van waarschijnlijkheid en impact. De impact kan zo immens zijn dat bronnen spreken van een ‘Cybergeddon’. De gevolgen van zo’n aanval zijn niet te overzien met onschatbare schade voor alle stakeholders. De laatste cijfers uit Amerika laten zien dat het aantal aanvallen is gegroeid met 14% jaar op jaar, dat 91% van de ondernemingen wel eens is aangevallen en dat organisaties 122 succesvolle aanvallen per week bereiken. 66% van de top financiële instellingen in Amerika gelooft dat cybercrime onbestuurbaar is.
De gemiddelde kosten van cybercrime van grote Amerikaanse ondernemingen bedragen $11,6 miljoen en de kosten voor de Amerikaanse economie zijn geschat op $500 miljard. President Obama ziet cybercrime als de meest kritische economische uitdaging. De directeur van de NSA refereert aan cybercrime als de grootste transfer van rijkdom in de geschiedenis.
Deze recente cijfers en uitspraken liegen er niet om. Het valt niet meer te ontkennen dat zich het laatste decennium een nieuw en reëel gevaar heeft aangediend. Deze negatieve zijde van de informatietechnologie kan bedrijfsprocessen stilleggen, hoge kosten veroorzaken en daarmee succesvol zaken doen in de weg staan. We zien echter dat veel ondernemingen zich nog te weinig bewust zijn van deze impact en risico’s. Onbewust onbekwaam handelen (lees: niets doen 'omdat dit ons toch niet zal overkomen') leidt tot schade die voorkomen kan worden. Maar wat kunnen ondernemingen er dan aan doen of nog beter doen. En wie is er voor verantwoordelijk? Wie zou je moeten je inschakelen als er toch wat gebeurt?
Voorkomen is beter dan genezen
Om het onderwerp cybersecurity op de agenda te zetten moet een relatie gelegd worden tussen risico/control, organisatie (cultuur en gedrag), besturing, techniek en IT recht. Ondernemingen wensen niet dat onbevoegden hun website kapen, rondneuzen in hun bedrijfsgegevens en daar misbruik van maken of zelfs bedrijfsprocessen al dan niet opzettelijk stilzetten. Om dit te voorkomen is het startpunt altijd dat een specifieke inventarisatie wordt verricht op de cybercrime-risico’s. Een brede blik met externe expertise is hierbij vaak wenselijk. Want waar het logisch is dat bedrijfsstilstand een groot risico is, wordt vaak vergeten dat bijvoorbeeld ook het dagelijkse medewerker gebruik een bedreiging voor organisaties kan betekenen. Organisaties willen voorkomen dat een medewerker bijvoorbeeld pornografische bestanden op zijn PC heeft of dat vanuit de organisatie dreigmails worden gezonden. Zij willen (ook juridisch) kunnen ingrijpen als iets dergelijks zich toch voordoet. En wat te denken van USB sticks die het systeem vanuit de externe omgeving kunnen vervuilen?
De eerste stap is dus bewustwording: met welke digitale gegevens wordt gewerkt? Hoe vertrouwelijk zijn deze gegevens? Hoe erg vindt mijn organisatie het als deze gegevens op straat liggen of worden misbruikt? Waarom zouden hackers juist aan onze deur voorbij gaan? Een logische stap na de identificatie van de risico’s en het vaststellen van de mate waarin die waarschijnlijk en significant zijn, is het inrichten van beheersingsmaatregelen. Daarbij moet niet slechts worden gedacht aan technische middelen zoals firewalls, virusscanners of het niet langer hosten van vitale processen in de cloud. Uiteraard moet ook sprake zijn van een beproefde incidentprocedure.
Daarnaast moeten medewerkers voldoende getraind worden in het omgaan met bedreigingen, zodat er voldoende bewustzijn is voor het signaleren van risicovolle situaties en voldoende kennis van hoe daar in praktijk mee om te gaan. Om te bezien of een en ander naar behoren is ingericht, kan een penetratietest worden uitgevoerd, waarbij de welwillendheid van uw medewerkers ook op de proef wordt gesteld.
Wat vaak wordt vergeten, en dat kan niet met een penetratietest worden opgemerkt, is het afdekken van de juridische aansprakelijkheid ten opzichte van derden, zoals afnemers, opdrachtgevers en leveranciers.
Verdeling van verantwoordelijkheden binnen de onderneming
In grote ondernemingen valt alles dat met digitale beveiliging te maken heeft onder de verantwoordelijkheid van de Chief Security Officer of de Chief Information Security Officer. Als gevolg van de toename van complexiteit, risico’s en impact zal deze functie steeds meer zijn plaats gaan vinden in organisaties. Over vijf jaar zal informatiebeleid een vast onderdeel uitmaken van de risico- en integriteitsparagraaf van menig jaarverslag. Op dit moment zal bij de gemiddelde onderneming het nog onder verantwoording van de CFO vallen. De vraag die iedere CFO zich zou moeten stellen is of hij/zij in aanloop naar de juiste beveiligingssystemen over voldoende kennis beschikt om de juiste beslissingen te nemen op dit terrein.
In de IT Governance van de organisatie worden de taken, bevoegdheden en verantwoordelijkheden van de informatieorganisatie georganiseerd en belegd. Informatiebeveiliging is hier onderdeel van. Hierin zijn ook de overlegstructuren en controls geïmplementeerd. Een toets op ervaring en competenties van verantwoordelijken is belangrijk om er van verzekerd te zijn dat medewerkers voldoende competent zijn om hun taken voldoende uit te voeren en de juiste cruciale beslissingen te nemen. Het inrichten van voldoende controls met de juiste ‘checks en balances’ is van vitaal belang om ‘in control’ te zijn en te blijven. Continue monitoring, zowel extern als intern, hoort hier ook bij om ervoor te zorgen dat de onderneming veilig blijft en is voorbereid op de toekomst die bestaat uit onvoorziene aanvallen en inbraken.
Helemaal dichttimmeren is helaas niet mogelijk. Er zal altijd een restrisico zijn. Bovendien zijn er de onbekende risico’s die pas blijken als ze tot uiting komen. Maar in het zoveel mogelijk voorkomen ligt wel een grote verantwoordelijkheid. Al was het maar dat aansprakelijkstellingen gemakkelijker kunnen worden gepareerd als kan worden gewezen op een afgewogen cybersecurity beleid. Hierop anticiperen begint al met de algemene voorwaarden die worden gehanteerd, maar bij bijzondere samenwerkingen zal verdergaande clausulering aandacht behoeven.
De rol van de overheid en meldingsplicht
Ook de overheid is zich steeds meer bewust van het belang van een goede bescherming van informatie en gegevens en van een effectieve bestrijding van cybercrime. Een groot deel, maar nog niet alles, van wat onder cybercrime wordt verstaan is al strafbaar gesteld. Cybercrime vindt vaak ongemerkt plaats omdat manipulatie van gegevens zich buiten het (directe) zicht van de rechthebbende afspeelt. De pakkans wordt daarnaast gehinderd doordat cybercrime zich niets aantrekt van grenzen (vanuit Rusland kan even gemakkelijk worden gehackt als vanuit Tietjerkstradeel) en het vaak om grote hoeveelheden gegevens gaat. Meer nog dan bij 'klassiek' gepleegde misdrijven is de overheid afhankelijk van de bereidheid van slachtoffers om misstanden bij de overheid te melden.
Omdat datalekken in onze informatiemaatschappij dermate grote gevolgen kunnen hebben, zowel in ontwrichtende zin als in schade omvang, legt de overheid meldingsplicht op aan private partijen. Op grond van diverse wetten kennen financiële instellingen, energienetbeheerders, zorgaanbieders en aanbieders van openbare elektronische communicatienetwerken in bepaalde omstandigheden al een meldingsplicht. Er ligt een wetsvoorstel dat vitale sectoren (energie, drinkwater, overheid, banken havenbedrijf, luchtverkeersleiding en dergelijke) in sommige gevallen verplicht inbreuken op hun informatiesystemen te melden, ook als het niet om persoonsgegevens gaat.
Het wetsvoorstel 'meldplicht datalekken' verplicht elke 'verantwoordelijke' die persoonsgegevens verwerkt een inbreuk op beveiligingsmaatregelen te melden waarvan redelijkerwijs kan worden aangenomen dat deze leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens. Een overzicht van (ook niet meldenswaardige) inbreuken moet bewaard worden. Elk gegeven dat een geïdentificeerde of identificeerbare persoon betreft is een persoonsgegeven. Niet alleen de gegevens van uw werknemers, maar ook die van uw klanten of leveranciers. Elke handeling die met betrekking tot een persoonsgegeven wordt verricht (opslaan, opvragen, wijzigen, gebruiken, doorzenden, verspreiden en dergelijke) valt al onder 'verwerken'. U bent dus de 'verantwoordelijke' met betrekking tot deze gegevens. In sommige gevallen moeten datalekken volgens dit voorstel ook aan de betrokkenen (de werknemers, de klanten, de leveranciers) gemeld worden.
Op Europees niveau wordt een richtlijn voorbereid inzake netwerk- en informatiebeveiliging, die bepaalde minimum beveiligingsniveaus en meldplichten zal gaan voorschrijven.
Naar proactief cybersecurity
Bewustwording van de cyberrisico's binnen uw organisatie gaat niet vanzelf. Protocollen kunnen uitkomst bieden. Datzelfde geldt voor een goede inventarisatie van de aanwezige (soorten van) gegevens en de specifieke risico's die de aard van uw organisatie wellicht meebrengt.
Indien medewerkers betrokken zijn bij misbruik van uw gegevens, dan wilt u slagvaardig kunnen optreden en onderzoeken. Een privacyreglement kan daarbij helpen, evenals een clausule in een arbeidscontract. Disciplinaire maatregelen kunnen noodzakelijk zijn. Indien een incident wordt veroorzaakt door nalatigheid van een contractspartij, is het prettig dat het betreffende overeenkomst de mogelijkheid biedt de kosten daarvan op die contractspartij te verhalen of die contractspartij te verplichten documenten en gegevens te verstrekken die nodig zijn om de gegevens en de daders te achterhalen.
Kortom, onze informatiemaatschappij mag dan een zegen zijn, er is ook reden om proactief te worden, bewustwording te creëren en de risico’s ervan zo veel mogelijk te beheersen. De informatieketting is immers net zo sterk als haar zwakste schakel. Denk in benefits. Een goed georganiseerde informatiebeveiliging levert de onderneming een strategisch voordeel op!
Een artikel van Erik Janse (partner bij ConQuaestor), Peter Schimmel (partner bij Grant Thornton) en Rob van der Hoeven (partner bij advocatenkantoor Nauta Dutilh).