Renze Munnik: Voor cyber risk moet de deur altijd dicht

Renze Munnik: Voor cyber risk moet de deur altijd dicht

Risk Management Technology
Renze Munnik_980x600.jpg

Door Renze Munnik, Risk Management Consultant bij Probability & Partners

Ooit was cyberrisico nog iets waar alleen bepaalde bedrijven in specifieke situaties zich druk om hoefden te maken. Maar de laatste jaren is het een veel breder zorgpunt geworden. Het thema wordt nog vaak per incident bekeken. Maar daar kom je echt niet meer mee weg. De deur moet echt altijd dicht zitten.

De oorlog in Oekraïne heeft de aandacht voor het cyberrisico weer aangewakkerd. Telkens als er een ‘incident’ is, ontwaakt men even uit de slaap. Men wordt opgeschrikt en wordt zich weer even bewust van het gevaar.

Tot het weer rustig is (of lijkt). Dan ebt de aandacht weer weg. Maar die tijd lijkt nu toch echt wel voorbij te moeten zijn. Cyber risk is niet iets tijdelijks. Al word je niet iedere dag aangevallen, je kunt niet pas actie ondernemen op het moment dat het zich voordoet.

Voorzorg en bewegingsvrijheid

Voor veel risico’s kun je voorzorgsmaatregelen nemen om voorbereid te zijn voor wanneer het risico zich werkelijk voor gaat doen. Je installeert de deur, maar doet hem nog niet dicht. Met de deur open heb je zelf meer bewegingsvrijheid. Je wordt minder beperkt. En als het risico zich voor lijkt te gaan doen, dan doe je de deur dicht.

Zo hebben we bijvoorbeeld een waterkering. Die deur staat (letterlijk) open. Dat geeft bewegingsruimte voor ons en voor de natuur. Maar op het moment dat het water te veel gaat stijgen, dan doen we de deur (de waterkering) dicht. Meestal zie je dat vooraf aankomen, en misschien zie je dat er een beetje water is overstroomd, maar het is dan nog geen groot probleem. Dan worden we wel beperkt in onze bewegingsruimte. Maar zodra de situatie het weer toelaat, doen we de deur weer open.

Voor beleggen geldt iets soortgelijks. Je hebt veel ruimte om je te bewegen en risico te nemen. Maar in sommige situaties wil je de deur toch wat verder dicht doen (de-risken). Je kan het aardig voorspellen en wellicht dat je een klein beetje van je rendement mist doordat je de deur toch iets te laat dicht doet. Tot de situatie weer meer toelaat.

Als het zich voordoet ben je te laat

Maar bij cyber security werkt dat niet zo. Vergelijk het met je voordeur. Je laat hem niet openstaan tot de situatie erom vraagt hem dicht te doen. Zodra die inbreker binnen staat, ben je te laat met de deur dicht doen. Er is niet ‘een beetje ingebroken’. Het is geen waterstand, het is geen markt. Je kunt niet aan zien komen dat het fout zal gaan. Die inbreker is er of is er niet.

En zo is het met cyberaanvallen ook. Zodra jouw systeem is gegijzeld, heeft het weinig zin meer om de deur dicht te doen, behalve om nog erger of herhaling te voorkomen. Als je systeem plat ligt heeft het geen zin meer de deur dicht te doen. Als iemand je privacygevoelige gegevens heeft gestolen, ben je te laat. Als jouw systemen zijn gebruikt bij een aanval op een ander, ben je te laat. De deur moet altijd dicht zitten. En ja, dat beperkt inderdaad je bewegingsruimte ten opzichte van wat je nu bent gewend.

Niemand is meer veilig

De laatste laren worden de aanvallen steeds minder voorspelbaar. Wie eerst nog helemaal niet als doel werd gezien, blijkt nu toch het slachtoffer van aanvallen te worden. En als je zelf niet aangevallen wordt, dan word je tegenwoordig mogelijk zelf ingezet bij een aanval op iemand anders, zonder dat je dat zelf door hebt (ze gebruiken jouw apparatuur om iemand anders aan te vallen).

Jij hoeft niet iemand iets aangedaan te hebben om doelwit te worden. Jij hoeft geen onderdeel te zijn van de vitale infrastructuur om doelwit te worden. De grenzen zijn verlegd. En het zijn niet meer de hobbyisten die ’s avonds op hun zolderkamer een aanval opzetten. Het zijn professionele criminelen. Het zijn gespecialiseerde bedrijven. Het zijn regimes die een ander beeld hebben van hoe je met vrijheden omgaat dan wij in het westen gewend zijn.

Neem nu dus actie

Je ontkomt er niet meer aan om als organisatie het cyberrisico serieus te nemen. Ook voor al de personen en organisaties die tot nu toe konden onderbouwen waarom het in hun geval niet relevant was. Die tijd is voorbij. En je kunt de deur niet open laten staan tot er iets gebeurt. De deur moet altijd dicht.

Daarom is het belangrijk om nu goed inzichtelijk te krijgen hoe goed de deur die je hebt eigenlijk is. Is die wel echt bestand tegen de huidige omstandigheden? Welke technische maatregelen heb je genomen? Welke procesafspraken en procedures heb je gemaakt? Hoe bewust en voorzichtig zijn alle collega’s? En hoe vaak en hoe diepgaand laat je controleren of dit alles ook werkelijk zo werkt als je had bedacht?

Criminelen (en soortgelijke regimes) worden steeds slimmer. Dus jarenlang hetzelfde slot blijven gebruiken is niet voldoende. En ook als je veel hebt uitbesteed is dit nog steeds jouw taak om te doorgronden.

Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.