‘De vraag is niet of maar wanneer uw bedrijf zal aangevallen worden’

Het recente voorval van ransomware bij brouwerij Duvel Moortgat is nogmaals een wake-up call om cybersecurity hoog op de agenda te plaatsen. Met Cindy Smeulders en Talitha Papelard van Northwave gingen we dieper in op het thema tijdens een masterclass op CFO Day. What’s in it voor de CFO?

Het moet je maar overkomen… en toch gebeuren pogingen om bedrijven te hacken aan de lopende band. Cindy Smeulders werkt sinds begin dit jaar bij cybersecurity-specialist Northwave. Met haar ruime ervaring bij onder meer de Belgische politie en de Belgische militaire inlichtingendienst weet ze dat voor cybercriminelen elk bedrijf een potentiële bron van inkomsten is.

Cindy Smeulders

Cindy wijst erop dat CFO’s (bijna) altijd betrokken worden tijdens cyberaanvallen en dat ze zo meebeslissen over de eerste stappen. Want wat doe je: medewerkers naar huis sturen? Onderhandelen met cybercriminelen? Betalen? De stekkers uittrekken? In-house afhandelen of met een externe partner werken? Cindy heeft het al snel over het belang voor de CFO om ervoor te zorgen dat de verantwoordelijkheid voor informatiebeveiliging breed gedragen wordt in de organisatie, omdat het bedrijf tijdens een aanval diverse vormen van schade kan oplopen:

• Reputatieschade: komen de klanten nog terug eens ze weten dat je bedrijf gehackt werd? Mogelijks gaan ze het risico spreiden onder andere providers.
• Financiële schade: omzetverlies door bijvoorbeeld de stop van het productieproces of door klanten die bij de concurrentie gaan, maar ook de kostprijs voor het afhandelen van het incident zelf, het losgeld, mogelijke boetes.
• Mentale schade: niet elke onderneming, board member of werknemer komt dit mentaal te boven. Er zijn bijvoorbeeld IT-ers die na het afhandelen van een incident weken of maanden out zijn.

Rust in de chaos brengen

Cindy legt uit dat er in een cyberaanval over het algemeen drie parallelle fasen zijn, ‘in, through en out’:

• Tijdens de ‘in’ fase gaan actoren binnendringen in een van de systemen via zwakke paswoorden, misbruik maken van een kwetsbaarheid in een systeem, of via phishing gebruikersnamen en paswoorden bekomen of malware installeren.
• Tijdens de ‘through’ fase zien we dat hackers persistentie bekomen, lateraal gaan bewegen in het netwerk om toegang te krijgen tot alle systemen en admin-rechten bemachtigen om zo volledige controle over de infrastructuur te krijgen.
• De ‘out’ fase zijn de laatste activiteiten die de actor uitvoert om leverage te krijgen om het bedrijf af te persen. Denk aan: waardevolle data verzamelen, back-ups vernietigen en alle systemen versleutelen (encryptie).

“Hoe vroeger in het proces u de aanval kan detecteren en ingrijpen, hoe vroeger u het kan stoppen, hoe korter de duur en de impact op uw bedrijf zal zijn,” zegt Cindy. “Daarom is het belangrijk rust in de chaos te brengen. Bij Northwave zijn we daarin gespecialiseerd: we interageren met uw verschillende teams en contacteren de cybercriminelen. Om de onderneming zo snel mogelijk terug operationeel te krijgen, zijn twee stappen cruciaal: ten eerste de meest kritische diensten zo snel mogelijk terug online brengen, ten tweede het gat dichten waarlangs de aanvallers zijn binnengedrongen.”

Zet uw sensoren aan het werk

Talitha Papelard, nóg een bekendheid binnen het cybersecurity-domein en General Manager voor de Benelux bij Northwave, benadrukt dat een CFO niet hoeft wakker te liggen van cyberaanvallen: “Een CFO hoeft er niet alleen voor te staan. Het is wel belangrijk dat men de nodige sensoren aanzet: zowel op het vlak van systemen als op het vlak van mensen. Een van de belangrijkste factoren voor een effectieve cyberveiligheid is een degelijke meldcultuur binnen het bedrijf. Hoe meer kans er is dat de mensen iets melden, hoe sneller men kan ingrijpen. Je kan uiteraard niet alles voorkomen, maar je kan er wel mee voor zorgen dat alles snel weer business as usual wordt.”

Talitha Papelard

Talitha benadrukt het huiswerk dat elke organisatie moet doen om cyberaanvallen te helpen voorkomen, of om ze snel te kunnen aanpakken. Waar zitten de risico’s? Waar ligt de kwetsbaarheid? “Als men dat in kaart kan brengen, staat men al ver want de grip op cybersecurity begint bij het bedrijf zelf. Ik pleit ook voor een rapporteringslijn tussen de board en de persoon die de verantwoordelijkheid voor cybersecurity op zich neemt”, besluit ze.

CFO’s aan het werk

De aanwezige CFO’s werden tijdens de masterclass opgedeeld in groepjes om volgende vragen en stellingen te bespreken:

• Hoe is bij u in de organisatie de verantwoordelijkheid voor cybersecurity georganiseerd?
• Stelling: bij een cyberincident weten wij precies hoe te handelen. Eens of oneens?
• Stelling: een incident (hoe klein ook) zal bij ons in de organisatie altijd direct gemeld worden. Eens of oneens?
• Wat is het eerste dat u morgen zou doen om de informatiebeveiliging verder te verbeteren?

We vingen gesprekken op over bedrijven waar de verantwoordelijkheid nog grotendeels bij IT ligt; over cybersecurity-training aangepast aan het risico waaraan medewerkers worden blootgesteld; over het regelmatig werken met hackers om up-to-date te blijven over de recentste hackingtechnieken; en over policies om zowel voor fysieke als voor digitale veiligheid te zorgen. Er zijn ook bedrijven met bonussystemen waar meldingen in verwerkt zitten, en o wee: we hoorden dat paswoorden nog al te vaak gedeeld worden.

De eindverantwoordelijkheid ligt bij iedereen 

Tijdens de debriefing komen volgende krachtlijnen aan bod:

• Men is het erover eens dat de betrokkenheid van medewerkers bij cyberveiligheid en een incentivering voor meldingen belangrijk zijn om cyberaanvallen te helpen indijken. Men moet ook zowel binnen als buiten het bedrijf kijken naar cyberrisico.

• Over het nut van verzekeringen tegen cyberrisico zijn er gemengde gevoelens. Talitha raadt aan een verzekering zeker in overweging te nemen als dit financieel haalbaar is, omdat het een voortraject inhoudt en men dus al ergens staat als er zich plots een incident voordoet.
• Andere technieken om risico’s te beperken, zijn: het simuleren van aanvallen in al dan niet aangekondigde oefeningen, het aanwerven van hackers om hiaten in de systemen of onder de medewerkers te detecteren, het organiseren van trainingen voor bestuurders om vertrouwd te raken met het onderwerp en het bewustzijn van de urgentie ervan te vergroten.

Lopen we in België achter op Nederland op het vlak van cyberveiligheid?

“In België wordt nog te veel gekeken naar de IT-afdeling als er iets gebeurt, terwijl IT slechts een partner is”, aldus Talitha. “Misschien is er nog niet genoeg openheid over het onderwerp. Het zou goed zijn om transparanter te zijn over de beveiligingsmaatregelen, en dat op een positieve manier. In België merk ik ook nog te vaak dat men denkt: ‘ons zal het niet overkomen’. U moet wel echt uw basiszaken op orde hebben want als een hacker bij de buren niet binnenraakt, dan is de kans groot dat hij het bij u probeert.”

Drie tips voor de CFO 

• Kijk wie er binnen uw organisatie verantwoordelijk is voor cybersecurity en zorg dat er een rapportagelijn is richting C-level, zodat u als CFO goed inzicht heeft in hoe u ervoor staat. IT is een belangrijke partner, maar het moet een breed gedragen verantwoordelijkheid zijn.
• Zorg dat alle medewerkers weten hoe en waar ze security-incidenten kunnen melden. Belangrijk daarbij is een meldcultuur, waarbij iedereen zich veilig voelt en ook fouten mag maken. Daarmee voorkomt u erger.
• Onderzoek of uw organisatie weerbaar genoeg is en in staat om een aanval snel te detecteren en ook juist te kunnen reageren. Zorg dat de organisatie dit regelmatig oefent.

Cindy eindigde de masterclass met een kwinkslag: “Schrijf plannen maar test ze vooral in de praktijk. En zet uw plannen niet alleen op uw PC.”

Northwave was partner van de CFO Day 2024.