Eerder dit jaar getuigde Andrew Witty, CEO van UnitedHealth Group, voor het Amerikaanse Congres over een cyberaanval in februari op dochteronderneming Change Healthcare, die naar schatting een derde van de Amerikanen trof en maandenlang de verwerking van claims, betalingen aan aanbieders, aanvragen voor voorafgaande toestemming en geschiktheidscontroles verstoorde. Het incident was opmerkelijk omdat, hoewel cybersecurityinbreuken gemeengoed zijn geworden, een CEO die op het hoogste regeringsniveau beveiligingsvragen moet beantwoorden, een zeldzaamheid is, meldt Cybersecurity Dive.
Maar daar gaat verandering in komen, omdat het risico van dergelijke hacks is veranderd - vooral wanneer persoonlijke en gezondheidsinformatie wordt gecompromitteerd. ,,Cybersecurity is tegenwoordig véél belangrijker geworden dan pak 'm beet tien jaar geleden,'' stelt Kevin Dunn, voormalig SVP bij NCC Group en momenteel senior manager ProServe Security bij Amazon Web Services (AWS). ,,CEO's kunnen niet langer de cybersecurityplannen op een ander afschuiven. Wanneer grote incidenten plaatsvinden, riskeren ze immers ontslag, gedwongen aftreden, rechtszaken met aandeelhouders of zelfs aanklachten van de Amerikaanse beurswaakhond SEC (Securities and Exchange Commission).
Het verschil tussen cybersecurity vroeger en nu is de potentiële bedreiging voor de algehele bedrijfsvoering én de individuele reputatie van mensen op C-level niveau
Wie is verantwoordelijk?
,,De rol van de CEO is niet echt veranderd als het gaat om cybersecurity, maar het belang van betrokkenheid en op de hoogte zijn van de risico's is wel op zijn of haar bordje terechtgekomen," aldus Trevor Horwitz, CISO en oprichter van Trustnet. ,,Tien jaar geleden werd cybersecurity gezien als een IT- en compliance-kwestie. Als er iets verkeerd ging, werd de impact niet altijd op de juiste waarde geschat. De rol van de CEO was om tijdens het incident beslissingen op hoog niveau te nemen. Maar de verantwoordelijkheid lag feitelijk nergens."
,,Het verschil tussen cybersecurity vroeger en nu is de potentiële bedreiging voor de algehele bedrijfsvoering én de individuele reputatie van mensen op C-level," vervolgt Horwitz. ,,CEO's zijn belast met het integreren van cybersecurity in de algehele bedrijfsstrategie en moeten zorgen dat ze cybersecurity afstemmen met de belangrijkste bedrijfsdoelen."
Doen ze dat niet, dan riskeert de dagelijkse leiding niet alleen een torenhoge boete voor het bedrijf, maar mogelijk ook hoofdelijke aansprakelijkheid. ,,De bekende excuses gaan het dan niet meer redden," voegt Dunn toe. ,,In het geval van UnitedHealth probeerde Witty de schuld van de hack bij de overname van een bedrijf te leggen. Dit bedrijf, Change Healthcare, werd geïntegreerd in UnitedHealth, maar bleek de digitale beveiliging niet op orde te hebben. Uiteindelijk hebben hackers via een eenvoudige weg toegang gekregen tot gevoelige informatie: Change Healthcare had geen multifactorauthenticatie ingeschakeld. Die opmerking en het feit dat het bedrijf erkende dat ze 22 miljoen dollar in Bitcoin als losgeld hebben betaald, vielen niet goed bij het Amerikaanse Congres."
Een simpel 'het spijt me' is bij een cybersecurity-hack niet meer goed genoeg. Er moet nu eenmaal iemand verantwoordelijk worden gehouden
Kritieke infrastructuur
,,Deze hack had kunnen worden gestopt wanneer men zich had verdiept in de basisregels rond cybersecurity," merkte senator Ron Wyden op tijdens een hoorzitting in de Senaatcommissie voor Financiën. Collega-senator John Barrasso wees erop dat zelfs een klein plattelandsziekenhuis in zijn thuisstaat Wyoming tegenwoordig multifactorauthenticatie heeft. Nog los van de gênante dagen voor Witty in het beklaagdenbankje bij het Congres, kunnen dergelijke hacks mogelijk ook veel serieuzere gevolgen hebben.
,,CEO's moeten verantwoording afleggen aan de SEC," zegt Katell Thielemann, VP analist bij Gartner Distinguished. ,,Dit betekent dat ze verantwoordelijk zijn voor het beschermen van aandeelhouders of, in het geval het bedrijf deel uitmaakt van de kritieke infrastructuur, zelfs het hele land. De overheid heeft heel duidelijk gemaakt dat een simpel 'het spijt me' bij een cybersecurityhack niet meer goed genoeg is. De impact op de nationale veiligheid en de economische welvaart is gewoonweg te groot geworden. Wanneer kritieke infrastructuur wegvalt, komen we al heel snel in problematische situaties terecht. En er moet nu eenmaal iemand verantwoordelijk worden gehouden."
Waar CEO's op moeten letten
Volgens Thielemann zijn er in de toekomst mogelijk veel strengere juridische gevolgen bij spraakmakende beveiligingsincidenten. ,,Dan kun je denken aan rechtszaken door aandeelhouders, maar ook aan aanklachten van de SEC. Dat gebeurde recent nog met de CISO van een ander bedrijf, genaamd SolarWinds. Nadat zij met een hack te maken kregen. De CISO heeft een flinke boete gekregen. De CEO blijft daar vooralsnog buiten schot, maar wordt momenteel wel onderzocht. Het is niet aan de CEO's om ineens experts op het gebied van cybersecurity te worden, maar het is wel hun taak om de organisatie voor te bereiden en weerbaar te maken op digitaal vlak."
,,CEO's moeten een rol spelen in de algehele cybersecuritystrategie," meent Horwitz. ,,Dat begint bijvoorbeeld al bij het toezicht houden op de ontwikkeling en implementatie van risicobeperkingen, incidentresponsplannen en herstelplannen. Wanneer er zich onverhoopt een hack voordoet, moeten CEO's meer betrokken zijn bij de exacte details en kunnen aantonen dat ze vervolgens de juiste beslissingen nemen. En het niet wegstoppen, maar eerlijk en helder openheid van zaken geven."
,,Wanneer er een hack plaatsvindt, zijn CEO's nu veel meer betrokken bij de details, het activeren van incidentresponsplannen, het nemen van beslissingen, communicatie met belangrijke belanghebbenden en het informeren van het bestuur. Dat betekent dat ze zich in het belang van cybersecurity moeten verdiepen voordat een hack zich voordoet. Weet je als CEO nog maar weinig van digitale veiligheid? Dan is het wellicht hoog tijd voor een opfriscursus."
Stop met wegkijken voor cyberdreigingen, maar inventariseer en reduceer de risico's
Erik Biemans, cybersecurity-expert: ,,Je komt er in deze tijd niet meer mee weg om als CEO geen kennis te hebben van de cybersecuritymaatregelen binnen je bedrijf. Het is essentieel geworden voor je bedrijfsvoering, en op C-level hoort het echt één van de topprioriteiten te zijn. Dat is helaas nog niet overal het geval, en dat brengt grote risico's met zich mee die ook serieuze gevolgen kunnen hebben voor de organisatie waar je voor werkt, maar ook persoonlijk. Het betalen van losgeld by ransomware is één onderdeel, maar denk ook aan wat het kost als je je verouderde beveiliging na een hack ineens naar een acceptabel niveau moet brengen en je bedrijf dagen of zelfs weken plat ligt. En dan is er nog de potentiële reputatieschade die je loopt wanneer klantgegevens worden gestolen."
Biemans vervolgt: ,,De enige manier om cybersecurity de aandacht te geven die het verdient is door het een essentieel onderdeel van je bedrijfsvoering te maken. Gelukkig zien we dat het in Nederland tegenwoordig wel meer aandacht krijgt dan een aantal jaar geleden. Waar je vroeger een IT-manager had die cybersecurity er eigenlijk 'bij' deed, zie je inmiddels bij veel organisaties dat ze hier een team omheen hebben gebouwd, inclusief een Chief Information Security Officer (CISO) die de digitale beveiliging van de organisatie als kerntaak heeft. Maar het aanstellen van zo'n expert pleit je als CEO zeker niet vrij. Als bestuurder van het bedrijf is het altijd jouw verantwoordelijkheid om hier ook goed van op de hoogte te zijn."
,,Cybersecurity is voor elk bedrijf anders en je ziet ook dat er verschillende gradaties van volwassenheid binnen organisaties zijn. Een bedrijf als ASML investeert miljoenen in digitale veiligheid en weerbaarheid, omdat zij echt bedrijfsgevoelige informatie hebben waarbij het pure noodzaak is dat veilig te stellen en uit handen van kwaadwillende hackers of de concurrent te houden. Helaas zijn er ook nog veel andere organisaties waar cybersecurity zich tot het 'bare minimum' beperkt. Ze voldoen aan de minimale vereisten en vinken af wat gedaan moet worden, maar daar laten ze het dan ook bij. Dat is zonde, want als je het managen van cybersecurity-risico's een continu proces maakt ben je als organisatie een stuk beter voorbereid op de dreigingen van de toekomst."
,,Het Europese, en daarmee ook het Nederlandse, bedrijfsleven is momenteel druk bezig om zich voor te bereiden op de Network and Information Security 2-richtlijn, de NIS2," zegt Biemans. ,,Deze Europese richtlijn gaat een stuk verder dan wat men bijvoorbeeld in de Verenigde Staten doet en komt met een verplichte zorgplicht, meldplicht en ook toezicht op hoe het gesteld is met cybersecurity bij grote bedrijven. Het NCSC, het Nationaal Cyber Security Centrum, gaat hier in Nederland een grote rol in krijgen. De NIS2 gaat vanaf begin 2025 voor veel grote bedrijven in Nederland gelden, maar ook voor mkb-bedrijven in bepaalde sectoren met minimaal vijftig werknemers of een jaaromzet van meer dan tien miljoen euro", aldus de cybersecurity-expert.
Biemans: ,,Maar daar blijft het niet bij, want om compliant te zijn zullen de grote bedrijven ook meer gaan eisen van hun toeleveranciers, zodat het in de praktijk voor veel meer bedrijven gaat gelden. Daar ben ik eigenlijk best blij mee, want ik heb een tijd bij een Incident Response Team rond cybersecurity gezeten en zag in veel gevallen dat de problemen rond digitale veiligheid vaak begonnen bij toeleveranciers die niet goed omgingen met de inloggegevens die zij bij hun opdrachgevers hadden."
,,Eén van de andere zaken die belangrijk is om te weten is dat onder NIS2 er ook sprake is van bestuurdersaansprakelijkheid bij ondeugdelijke cybersecurity," stelt Biemans. ,,Dat kan oplopen tot twee procent van de wereldwijde jaaromzet van het bedrijf. Of tot tien miljoen euro, afhankelijk van welk van de twee opties het hoogst is. Die boete komt niet alleen voor rekening van het bedrijf, maar kan ook hoofdelijk aan C-level-personeel worden uitgedeeld. En bedenk dan ook eens hoe aandeelhouders reageren op een CEO die de zaakjes niet op orde heeft en als gevolg daarvan verantwoordelijk is voor dalende koersen. Die kan zijn biezen pakken. De directie moet zich realiseren dat zij de risico's dragen die ondernemingen aangaan en daar valt cybersecurity ook onder. Stop met wegkijken voor cyberdreigingen, maar inventariseer en reduceer de risico's. Dat is echt een absolute must."
Bron: Cybersecurity Dive/Kader: Alex Vos
In onze wekelijkse nieuwsbrief vind je het beste van BusinessWise die week. Abonneer je gratis en blijf altijd op de hoogte!
