Return to site

 Transparantie over cyberveiligheid bij veel ondernemers nog een blinde vlek

 

 

Transparantie over cyberveiligheid bij veel ondernemers nog een blinde vlek

Bernold Nieuwesteeg 14 aug 17:00

Cyberrisico's zouden binnen bedrijven toch echt chefsache moeten zijn, schrijft Bernold Nieuwesteeg van de Erasmus Universiteit in Rotterdam.

Dierentuin Artis werd eind juni getroffen door een aanval met gijzelsoftware. Foto: ANP / Ramon van Flymen

Cyberaanvallen hebben steeds meer impact. Neem ransomware, dat recent Artis en eerder de Universiteit Maastricht lam legde. Artis betaalde niet en de Universiteit Maastricht kreeg haar losgeld zelfs met winst terug. Dat was een meevaller. Zowel Artis als de Universiteit Maastricht delen hun lessen. Helaas lijken zij daarin uniek.

De afgelopen vier jaar analyseerde ik met een team onderzoekers van de Erasmus Universiteit 300 jaarverslagen van beursgenoteerde ondernemingen. We onderzochten hoe transparant organisaties zijn over cybersecurity. Onze conclusie? Ondernemingen houden vaak de kaarten tegen de borst. Of ze melden een ratjetoe aan maatregelen met weinig nuttige informatie.

En dat terwijl iedereen het er wel over eens is dat cyberrisico chefsache zou moeten zijn. Organisaties zouden actief hun kennis moeten delen. Op dit moment vindt er geen gezonde uitwisseling van informatie tussen ondernemingen en externe stakeholders plaats. En zo komen bedrijven met slechte cyberveiligheid daar nog steeds mee weg.

‘Hoe kunnen we zorgen dat er minder geld verspild wordt aan zinloze cybersecuritymaatregelen die macro-economisch geen nut hebben?’

Sommigen zullen zeggen dat dit een beperkt probleem is. ‘Organisaties met slechte cybersecurity worden toch wel gehackt en dan zal men die bedrijven wel mijden,’ is dan vaak de gedachtegang. Dat is onjuist. Ten eerste kan het lang duren voordat suboptimale cyberveiligheid wordt afgestraft door hackers. En soms worden juist goed beveiligde bedrijven toch gehackt, zoals cyberbeveiliger Fox-IT een aantal jaar geleden.

Hoe weten investeerders nu waar ze aan toe zijn? Hoe weten leveranciers en afnemers of producten en diensten veilig zijn? En hoe kunnen we zorgen dat er minder geld verspild wordt aan zinloze cybersecuritymaatregelen (zoals ineffectieve awarenesstrainingen) die macro-economisch geen nut hebben?

De wetgever moet de hiervoor noodzakelijke transparantie bevorderen en harmoniseren. Vergelijk het met de enorme vlucht die duurzaamheidsverslaggeving heeft genomen. De Amerikaanse beurswaakhond SEC kondigde dit voorjaar een pakket maatregelen aan om bedrijven te verplichten informatie te verstrekken over hun cyberveiligheid, zoals incidenten, governance en risicobeheer. Ook de Nederlandse wetgever moet aan de slag met het harmoniseren van rapportageverplichtingen over cybersecurity. Investeerders hebben behoefte aan informatie omtrent de interne governance van cybersecurity, het cyberrisico en de afdekking ervan. De maatschappij heeft behoefte aan kennisdeling.

Maar spelen we de criminelen dan niet in de kaart? Nee, het gaat hier uiteraard niet om het publiceren van onopgeloste kwetsbaarheden in software, maar om het delen van best practices. Als ik vertel dat ik een dikke fietsketting heb aangeschaft die bestand is tegen een mobiele cirkelzaag, dan maak ik mijzelf ook niet kwetsbaar.

Binnenkort gaat de rijksoverheid de Nederlandse cybersecuritystrategie (NLCS) herijken. De strategie bepaalt de richting van het beleid voor de komende jaren. Ondernemingen zijn nu de dupe van het gebrek aan kennisdeling over cybersecuritymaatregelen. Zij zijn tegen hogere kosten minder cyberveilig. Producten en diensten worden duurder, en de concurrentiepositie van Nederland neemt af. Dus opstellers van de Nederlandse cybersecuritystrategie: pak nu nog de kans om de strategie aan te passen of regel het desnoods met een inlegvel, maar ga aan de slag met het thema externe transparantie.

Bernold Nieuwesteeg is directeur van het Centre for the Law & Economics of Cyber Security van de Erasmus Universiteit Rotterdam.

Lees het volledige artikel: https://fd.nl/opinie/1448310/transparantie-over-cyberveiligheid-bij-veel-ondernemers-nog-een-blinde-vlek-joh2cau0ZI8I