Inspiratie

Slechte IT-beveiliging zorgt voor slechte business

Het goede nieuws: wereldwijd profiteren Scandinavische landen het meest van de mogelijkheden van digitalisering. Het slechte: ze liggen ver achter op andere delen van de wereld als het gaat om het in de hand houden van de risico’s.

De term information technology, of IT, is voor het eerst gebruikt in een artikel in het tijdschrift Harvard Business Review uit 1958. Onder de kop “Management in the 1980s” vertelden de onderzoekers Harold J. Leavitt en Thomas L. Whisler met grote ogen over een opkomende techniek. Een veld dat volgens hen het potentieel had om revolutionair te zijn.

Het is interessant om te lezen. Niet omdat het artikel af en toe aandoenlijk naïef is (de auteurs stelden zich voor hoe het management van ondernemingen in de toekomst besluiten zouden nemen met behulp van computerspellen), maar omdat de hele digitaliseringsreis die de wereld de afgelopen decennia heeft afgelegd messcherp werd voorspeld.

Als je nu deze 63 jaar oude visie opzoekt, zie je ook iets verontrustends. Namelijk dat ons collectieve begrip van het IT-vakgebied zich sindsdien niet zo veel ontwikkeld lijkt te hebben. We zijn nog steeds bezeten van het onmiddellijke zakelijke nut van de techniek.

44%

vindt dat er te weinig wordt geïnvesteerd in IT-beveiliging.

– Volgens enquêtes van onderzoeksbureau Radar.

Goede digitalisering - slechte cyberbeveiliging

Onze visie op IT en digitaliseringsprojecten als een transformerende, haast magische kracht heeft natuurlijk enorme waarde gecreëerd. Dit heeft de weg vrijgemaakt voor een ontwikkeling waarmee de Scandinavische landen digitaal voorop zijn gaan lopen.

Neem Zweden bijvoorbeeld. Volgens de jaarlijkse vergelijking Network Readiness Index van Portulans Institute maakt dit land het beste ter wereld gebruik van de mogelijkheden van digitalisering. Volgens metingen van het analysebureau Radar hebben Zweedse bedrijven vorig jaar ruim 20 miljard euro in IT geïnvesteerd. Tegelijkertijd blijkt uit hun onderzoeken dat investeringen in digitalisering tegenwoordig de belangrijkste strategische prioriteit voor IT zijn.

Maar je hoeft alleen maar een blik te werpen op een ander lijstje om in te zien dat die snelle ontwikkeling een prijs heeft. In de Global Cyber Security Index van de Internationale Telecommunicatie-unie worden de landen gerankt die het verst zijn met cyberbeveiliging. Daar staat Zweden pas op de 26e plek. Tegelijkertijd blijkt uit de enquêtes van Radar dat 44 procent van de Zweedse besluitnemers binnen de IT vindt dat er te weinig wordt geïnvesteerd in dat gebied.

Portret van Dennie Karlsson, Group CISO, Dustin

Cyberbeveiliging en digitale ontwikkeling zijn in onze ogen twee dingen die tegenover elkaar staan.

Dennie Karlsson, Group CISO bij Dustin.

Zo’n slechte IT-beveiliging gaat veel geld kosten

Een vergelijkbare kloof tussen digitale ontwikkeling en achterblijvende cyberbeveiliging is in heel Scandinavië te zien. Er is groot ingezet op initiatieven die hebben geleid tot digitale winst op korte termijn, maar niet zoveel op digitale beveiliging voor de lange termijn.

Door deze kloof bestaat nu het gevaar dat een negatieve ontwikkeling wordt ingezet.
– Door dat verschil worden we nu blootgesteld aan een grotere beveiligingsrisico’s. We moeten de kwetsbaarheid die de digitalisering met zich meebrengt niet onderschatten. Anders zullen de kosten de baten uiteindelijk overschrijden, ongeacht de fantastische digitale functies die we creëren, zegt Dennie Karlsson, Group CISO (Chief Information Security Officer) bij Dustin.

Hiermee bedoelt hij dat de huidige visie heeft geleid tot digitale ontwikkelingen die in het begin heel goed werkten. Maar nu we steeds meer waarde digitaal maken, worden onze samenlevingen ook kwetsbaarder.

– De reden dat we ons in deze situatie bevinden, komt denk ik doordat we cyberbeveiliging en digitale ontwikkeling niet als even vanzelfsprekende onderdelen van de digitalisering zien, maar als twee dingen die tegen over elkaar staan. Dat perspectief moeten we veranderen.

Portret van Freddie Rinderud, Senior advisor, Radar.

Hoe afhankelijker we worden van digitale hulpmiddelen voor een functionerende samenleving, hoe meer er op het spel staat.

Freddie Rinderud, senior adviseur bij Radar.

Een prijs plakken op veiligheid is lastig

Een andere belangrijke verklaring voor deze situatie zijn de kosten. Het is gewoon te moeilijk om een prijs op de ontwikkeling te plakken.

– De laatste jaren hebben we opvallende cyberaanvallen gezien op onder andere Gunnebo, Maersk, Synsam en Coop. Zweedse luchthavens moesten het vliegverkeer stoppen omdat de systemen ‘niet werken’. Ondanks al deze tekenen zien we de ernst niet in. We zijn niet in staat om onze blik naar binnen te richten om te kijken welke digitale bedrijfsrisico’s wij zelf hebben.

– Er heerst een breed onvermogen in de samenleving om in te zien wat deze opeenhoping van digitale risico’s betekent, waardoor we er niet op een serieuze manier mee om kunnen gaan, zegt Freddie Rinderud, senior adviseur bij analysebureau Radar.

Hij vindt dat de situatie met elk jaar problematischer wordt.
– De discrepantie tussen het vermogen van cybercriminelen om ons aan te vallen en ons vermogen om ons te beschermen wordt alleen maar groter en groter. Hoe afhankelijker we worden van digitale hulpmiddelen voor een functionerende samenleving, hoe meer er op het spel staat. Daarvan zijn wij als samenleving nog niet helemaal doordrongen.

IT-beveiliging en bedrijf zijn hetzelfde

De analytici van Radar krijgen bijval van andere experts. Zij denken dat de gebrekkige cyberbeveiliging veroorzaakt wordt door een fundamenteel misverstand van wat IT is. Veel bedrijven leven nog in de ouderwetse veronderstelling dat het een afzonderlijke discipline is.

– Bij alle menselijke activiteit hebben we vandaag de dag op één of andere manier de steun van IT nodig. Daardoor is het digitale risico net zo aanwezig als alle andere risico’s, waar je ook mee bezig bent.

– Alle bedrijven weten hoe je economische risico’s meeneemt in het maken van strategische besluiten. Wat veel mensen nog steeds niet begrijpen is de mate waarin wij blootgesteld worden aan digitale risico’s – en hoe die op hun beurt van invloed zijn op het bedrijf, zegt Mats Hultgren, die leidinggeeft aan het Cybersecurity Incident Response Team van IT-beveiligingsbedrijf Truesec.

Het bedrijf en de IT-afdeling spreken verschillende talen

Veel mensen die verantwoordelijk zijn voor de IT-beveiliging vinden het lastig om investeringen in IT beveiliging te motiveren. Het is voor hen niet eenvoudig om de risico’s uit te leggen op een manier waar het bedrijf iets mee kan. Dat beschrijft Radar in het nieuwe rapport 'Från IT-säkerhet till digital affärsrisk' (Van IT-beveiliging naar digitaal bedrijfsrisico).

Portret van Mats Hultgren, Head of Cybersecurity Incident Response Team, Truesec.

Wat veel mensen niet begrijpen is de mate waarin we worden blootgesteld aan digitale risico’s en hoe die van invloed zijn op het bedrijf.

Mats Hultgren, Head of Cybersecurity Incident Response Team bij Truesec.

De bedrijven beschrijven op hun beurt dat ze niet precies begrijpen wat de IT experts proberen te zeggen.
– De reden dat we in deze situatie terecht zijn gekomen, is dat de IT afdeling historisch gezien vaak als eigen organisatie heeft gewerkt. Vanuit het management wordt IT gezien als iets unieks en bijzonders, met eigen spelregels. Hier voelden IT-experts zich lange tijd goed bij, misschien omdat het dankbaar is om eigen spelregels te hebben, zegt Freddie Rinderud en vervolgt:

– Binnen de IT werken we met specifieke kaders die nooit ergens anders worden gebruikt. Als directie gaan we met IT om alsof het iets is dat los staat van het bedrijf. Dat is niet zo. Om voorop te blijven lopen – en de groter wordende gaten in onze digitale verdediging te dichten – zijn nieuwe perspectieven nodig.

– De huidige directies zien vaak de verwachte opbrengsten van digitalisering. Datzelfde moet gebeuren op het vlak van beveiliging. We moeten security-experts middelen geven waarmee ze kunnen aantonen wat het effect is wanneer niet wordt geïnvesteerd in cyberbeveiliging. Er zijn nu bijzonder weinig CIO’s of CISO’s die dit goed kunnen uitleggen.

Close-up van een mobiel op de ene helft en een man met een hoodie waarvan je het gezicht niet kunt zien, op de andere helft.

We moeten beveiliging middelen geven waarmee het mogelijk is om de effecten aan te tonen wanneer niet wordt geïnvesteerd in cyberbeveiliging.

Freddie Rinderud, senior adviseur bij Radar.

Middelen voor het rekenen met digitale bedrijfsrisico’s

Het rapport van Radar, Radar lanceert mogelijk zo’n middel. Een nieuw model om te berekenen wat een digitaal bedrijfsrisico eigenlijk kost. Het combineert traditionele investeringsberekeningen voor bijvoorbeeld financiële risico’s met de meer technische beschrijvingen van risico door IT.

– We moeten een gemeenschappelijk begrip kweken dat beveiliging en zakendoen met elkaar samenhangen, anders bereiken we nooit een hogere digitale ontwikkeling. Beveiliging moet op een andere manier aanwezig zijn wanneer het bestuur strategische besluiten neemt. Het moet niet alleen een controlefunctie zijn, maar een aanjager, zegt Dennie Karlsson.

Bij Radar hopen ze dat het model gaat werken als een soort gemeenschappelijke taal waardoor IT en directie echt met elkaar kunnen communiceren. Want pas als we de risico’s van de digitalisering begrijpen, kunnen we het serieus hebben over de mogelijkheden.

– Wanneer je tegenwoordig als bestuur je CISO of CIO bij je roept om uit te leggen welke risico’s het hoofd moeten worden geboden, volgt een beschrijving van de werkelijkheid die gebaseerd is op een IT-kader. Daar kan het bestuur niet zoveel mee. Zij willen weten wat het voor financiële risico’s met zich meebrengt. Met ons model laten we zien hoe je kunt uitgaan van een traditioneel kader, maar het zo ontwikkelt dat het ook kan omgaan met digitale bedrijfsrisico’s, zegt Freddie Rinderud.

CISO moet zakelijk denken

De verantwoordelijkheid voor overbrugging van de kloof in de dialoog ligt niet alleen bij het bestuur van een bedrijf. De verantwoordelijkheid is net zo groot voor de IT afdeling, misschien nog wel groter. Zij moeten beter worden in uitleggen.

– Veel mensen zien het bedrijf en de beveiliging niet als twee puzzelstukjes die bij elkaar horen, maar als twee ‘stromen’ waarbij je kunt investeren in één van beide. We moeten een balans gaan vinden waarbij je een digitale verdediging opbouwt en tegelijk plannen smeedt om een nieuw marktaandeel te veroveren. Die dingen hangen namelijk met elkaar samen.

We moeten een balans zien te vinden waarbij je een digitale verdediging kunt opbouwen en tegelijk plant om een nieuw marktaandeel te veroveren. Die dingen hangen met elkaar samen.

Dennie Karlsson, Group CISO bij Dustin.

– Je CISO moet zakelijker gaan denken, terwijl het bedrijf moet begrijpen dat investeringen in digitale initiatieven waarschijnlijk meer kosten dan je eerst dacht, zegt Dennie Karlsson van Dustin.

Tussen 2 en 4 miljoen euro. Dat zijn volgens de schattingen van experts de gemiddelde kosten voor een bedrijf dat slachtoffer wordt van een geslaagde cyberaanval. Precies hoeveel een aanval kost, hangt echter af van wie je bent en wat voor bedrijf je hebt.

– Bij een bouwbedrijf met vijf medewerkers is er geen digitaal risico dat zo veel zou kunnen kosten als 2 miljoen euro. Een groter bedrijf heeft op zijn beurt geen digitaal risico dat zo weinig zou kunnen kosten als 2 miljoen euro, zegt Freddie Rinderud.

Thuiskantoor met computer en monitor.

Digitale risico’s op basis van de juiste analyse

We hebben niet alleen nieuwe hulpmiddelen nodig om dure aanvallen te vermijden. De hulpmiddelen zijn ook nodig zodat we het aanwezige risico gemakkelijker accepteren. Dat leidt namelijk tot beter zakendoen.

– Dat is de manier waarop we bij het gegeven komen dat veel bedrijven IT-beveiliging zien als een rem op digitale investeringen. Met een goede basis voor de besluitvorming kunnen we rekenen met digitale bedrijfsrisico’s en bepalen of ze het waard zijn om te accepteren. Daarmee kunnen we in sommige gevallen projecten uitvoeren die anders als te riskant zouden zijn afgedaan. Op deze manier werken bedrijven al met andere soorten risico’s en het is hoog tijd dat we digitale bedrijfsrisico’s op dezelfde manier gaan zien, zegt Freddie Rinderud.

Op deze manier werken bedrijven al met andere soorten risico’s en het is hoog tijd dat we digitale bedrijfsrisico’s op dezelfde manier gaan zien.

Freddie Rinderud, senior adviseur bij Radar.

Als je dat niet doet, maakt het niet uit of je de beste ter wereld blijft in digitalisering. De opeenhoping van bedrijfsrisico’s zal je uiteindelijk tegenhouden.

– We moeten snel blijven digitaliseren. Dit soort initiatieven zijn goed, maar we kunnen het niet ongecontroleerd doen. We moeten het aandurven om digitale bedrijfsrisico’s te nemen, maar dan wel gebaseerd op echte analyses.

Tekst: Jakob Svärd

14 januari 2022

Tags