Cyber Security - Executive Ladies Breakfast | Deloitte

Article

Cyber Security - Executive Ladies Breakfast

18 April 2017

We leven in een digitale wereld, met alle kansen en bedreigingen van dien. Hoe bescherm je je tegen die bedreigingen en hoe moet je reageren als je toch gehackt bent? Deze vragen stonden centraal tijdens de halfjaarlijkse bijeenkomst Executive Breakfast – Ladies Only op 18 april in Amersfoort.

Bonnie & Clyde: misdaad en technologie

Misdaad is van alle tijden, net als het gebruik van nieuwe technologieën om die misdaad te vergemakkelijken. De beruchte bankovervallers Bonnie & Clyde, die begin vorige eeuw actief waren in de US, gebruikten een vluchtauto – toen nog een noviteit - om aan hun achtervolgers te ontkomen. Pas nadat de plaatselijke sheriff en zijn personeel hun angst voor auto’s overwonnen en deze zelf gingen gebruiken, kon het illustere duo worden gepakt.

Boeven vangen met boeven

Dat de wereld in dat opzicht niets veranderd is, blijkt uit de aanpak van cybercriminaliteit. Hackers zijn de nieuwe overvallers, en om hen te vangen heb je andere hackers nodig. De keynote speakers van de ontbijtsessie, Jaya Baloo en Inge Philips-Bryan, kunnen daar als geen ander over vertellen. Jaya Baloo is Chief Information Security Officer bij KPN Telecom en won in 2015 de Cyber Security Executive of the Year award. Inge Philips-Bryan werkte onder meer bij de Nationale Politie en het ministerie van BZK en is sinds kort director bij Deloitte Risk Services.

Zero-days

Zo legt Baloo uit wat ‘zero-days’ zijn. “Zero-days zijn fouten in software die nog niet zijn ontdekt of verholpen door de ontwikkelaars. Jaarlijks gaat het om zo’n 150.000 zero-days. Ook als de fouten zijn ontdekt, kan het maanden duren voordat ze verholpen zijn. Hackers maken daar graag gebruik van om organisaties en individuen aan te vallen.”

Encryptie

Philips-Bryan wijst vervolgens op het belang van encryptie – het versleutelen van digitale communicatie. “De Nederlandse overheid neemt op dit punt een stevig standpunt in: alle digitale communicatie moet versleuteld zijn. Helaas maakt dat het oprollen van criminele netwerken een stuk moeilijker, dus wil de overheid graag een ‘achterdeurtje’ in bijvoorbeeld Whatsapp.” Baloo: “Achterdeurtjes die ook weer gebruikt worden door bijvoorbeeld de georganiseerde misdaad en door terroristen.”

Internet of Things

Hackers zijn vindingrijk. Zo werden ooit geldautomaten in onder meer Wit-Rusland gehackt via een link in een cv dat was gestuurd naar de HR-afdeling van een grote bank. Ook het Internet of Things (IoT) brengt risico’s met zich mee – naast natuurlijk heel veel gebruiksgemak. Zelfs broodroosters kunnen worden gehackt, waarna alle op internet aangesloten apparaten (dus ook telefoons en computers) in een woning kunnen worden overgenomen door hackers. In ernstige gevallen kan zelfs de elektriciteit in een hele regio worden platgelegd via één zo’n ‘entry point’.

Wat te doen

Er is geen eenduidige of eenvoudige oplossing voor het bestrijden van cybercrime, vertellen Philips-Bryan en Bayoo. De bedreigingen zullen niet stoppen en steeds andere vormen aannemen, want dat is nu eenmaal het businessmodel van criminele organisaties. Professionele paranoia is daarom belangrijk. Philips-Bryan: “Kijk goed wie er geautoriseerd zijn voor welke taken. Staan er namen op de lijst die je niet kent of waar je twijfels over hebt?” Baloo: “Er zijn talloze kleine dingen die we kunnen doen. Werk altijd de updates van je devices en apps bij. Gebruik een virusscanner. Maak online en offline backups. Als je offline werkt, kun je niet gehackt worden. Gebruik een password manager.”

Awareness

Philips-Bryan: “Je moet weten wat er beschermd moet worden, tegen wie en waarom, en wat er normaal gesproken speelt binnen de organisatie, zodat je afwijkingen eerder signaleert. Zorg ook dat er een organisatiecultuur is waarin mensen die afwijkingen durven melden. Ook belangrijk: outsource niet alle diensten. Encryptie moet je intern beheren. En leer niet alleen van je eigen fouten, maar ook van hacks bij anderen. Dat noemen we risk intelligence. Als het dan toch fout gaat: reageer snel en communiceer open met iedereen binnen de organisatie – en daarbuiten. Dan blijft de schade beperkt.”

Ervaringen uitwisselen

Tijdens de discussie met de zaal blijkt dat de meeste aanwezige vrouwelijke commissarissen en bestuurders zich afvragen in hoeverre er kennis over cybersecurity nodig is binnen de RvC en de RvB en hoe dit moet worden georganiseerd. Het meest verstandig is om één persoon aan te wijzen die functioneel verantwoordelijk is, maar binnen de hele organisatie awareness te creëren en te behouden. Bijvoorbeeld in de vorm van awarenesstrainingen die onder meer door Deloitte worden georganiseerd. Philips-Bryan: “Vul die trainingen eventueel aan met een masterclass voor de top van de organisatie.”

Veel te winnen

Verder is het nuttig om regelmatig cyberattacks te simuleren, zodat in echte noodsituaties iedereen binnen de organisatie weet wat er moet gebeuren en wie waarvoor verantwoordelijk is. Goed gescreende hackers zijn onder meer in dienst bij Deloitte, waar ook teams zijn die kunnen helpen bij en adviseren over crisismanagement. De belangrijkste conclusie is vooral: er valt veel te winnen met een goed doordacht cybersecuritybeleid. Een thema dat, voor zover het nog niet op de bestuursagenda staat, daar in deze tijd echt thuishoort. Ook bij kleinere organisaties. Zodat bedrijven zich vooral kunnen richten op de voordelen van innovatie en technologie.

Executive Ladies Breakfast: Cyber Security

Vond u dit nuttig?

Gerelateerde onderwerpen