Cyber resilience in het jaarverslag?



Vergelijkbare documenten
Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen?

Geen digitalisering zonder digitale veiligheid

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Voorkom digitale inbraak met een Security Operations Center

Wat is de Cyberdreiging in Nederland?

Cybersecuritybeeld Nederland

Security manager van de toekomst. Bent u klaar voor de convergentie?

Handreiking cybersecurity voor de bestuurder

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus n EA DEN HAAG

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

Digitale Veiligheid 3.0

Meldplicht datalekken

Borging van continuïteit in het veiligheidsdomein

Publiek-private partnerships voor een sterke cybersecurity

De Next Practice. Wilbert Teunissen Management Consultant Informatiemanagement

Bestuurlijke Netwerkkaarten Crisisbeheersing

Security Starts With Awareness

ALLIANZ CYBERVERZEKERING

Nationale crisisbeheersing en CIMIC. Prof. dr. Rob de Wijk Directeur HCSS en HSD Hoogleraar IB Leiden

Risico s kennen, weerbaarheid. vergroten

etouradres Postbus EA Den Haag Directie Democratie en Burgerschap oorzitter van de Tweede Kamer der Staten-Generaal

HANDREIKING CYBERSECURITY VOOR DE BESTUURDER

Digitale Veiligheid 3.0

Cybersecurity: hoe wordt het behapbaar?

CYBER SECURITY MONITORING

Titeldia Marijn van Schoote

SCRUM en Agile IT ontwikkeling en de impact op governance

Cyber Security: hoe verder?


IB RAPPORTAGE. Contactcenter Logius

Tweede Kamer der Staten-Generaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

De Nationaal Coördinator Terrorismebestrijding en Veiligheid

Realiseren van strategie met impact. BeBright aanpak voor strategie ontwikkeling. Oktober 2015

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

HANDREIKING CYBERSECURITY VOOR DE BESTUURDER

5 CRUCIALE COMPETENTIES VOOR EEN DUURZAAM HRM/L&D DIMITRI MAENHOUDT

DE AFDELING STRATEGIE MANAGEMENT VAN STRATEGIE NAAR EXECUTIE STRATAEGOS.COM

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Informatiebeveiliging voor gemeenten: een helder stappenplan

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

DIGITALE VEILIGHEIDSCHECK MKB

Changing Crisis Challenges: Cyber Crisis Management

Digitale Veiligheid 3.0

CYBERSECURITY HEALTH CHECK - MIDDELGROTE BEDRIJVEN -

Cyber Security: Sluit de achterdeuren! Hoe kwetsbaaris de BV Nederland?

High Performance Organisaties: de inside-out gedachte als basis voor tevreden klanten en een goede reputatie. High Performance Organisaties

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

TIC 1. Trends in Continuity. BCM Academy

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE

Eerste ervaringen: werken met RRO s. Indrukken vanuit een helicopterview

Functioneel Beheer middag 2016

Strategisch Risicomanagement

Slimmer Onderwijs 2020; Een kijkje in de toekomst

Stappenplan naar GDPR compliance

Intro ISO. Finance. Wie zijn wij? Producten. Programma

Stichting Innovatief Onderwijs Nederland

Business Continuity Management

Security Management Trendonderzoek. Chloë Hezemans

Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

De toegevoegde waarde van fysieke beveiliging. Over Thimo Keizer

HOOGTEPUNTEN MILJOENENNOTA

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

CYBER WEERBAARHEIDSCENTRUM BRAINPORT voor de hightech maakindustrie in Nederland

Tweede Kamer der Staten-Generaal

Drie raden balans tussen strategie en toezicht. WissemaGroup

Bestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 21 Telecommunicatie & cybersecurity

DE CIO VAN DE TOEKOMST

AANSPRAKELIJKHEID ONDERBREKING ACTIVITEITEN CYBER CRIMINALITEIT EIGEN SCHADE EN KOSTEN OPTIE : RECHTSBIJSTAND

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Stappenplan naar GDPR compliance

Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Risicomanagement Ons overkomt het niet. Walther Ploos van Amstel Amsterdam, Juni 2011

Is er een standaard oplossing voor Cyber Security?

Transcriptie:

Cyber resilience in het jaarverslag? Geen digitale transformatie zonder digitale veiligheid 51

Welke stappen zijn nodig om de digitale veiligheid bij organisaties te waarborgen? Highlights Cyber resilience is een randvoorwaarde voor digitale transformatie. De continuïteit en reputatie van de organisatie staan namelijk op het spel. Daarom is cyber resilience een aangelegenheid voor de Raad van Bestuur. Maatregelen zijn niet alleen technologisch, maar juist multidisciplinair. Stakeholders verwachten meer transparantie. Cyber resilience is een randvoorwaarde geworden voor de continuïteit en bescherming van de reputatie van organisaties. Meer transparantie is nodig om het vertrouwen te behouden. De recente cyberincidenten, of het nu gaat om (opzettelijke) cyberaanvallen of ongelukken, maken duidelijk dat cyber resilience (digitale veiligheid of veerkracht, zie tevens alinea Wat is cyber resilience? ) een randvoorwaarde is voor omgevingen die in belangrijke mate afhankelijk zijn van ICT. Dat geldt zeker voor organisaties in de vitale infrastructuur, zoals banken, energiebedrijven, olie en gas, zorg, transport en (andere) multinationals. De Diginotar-affaire is een goed voorbeeld. Een geconstateerd lek in het rekencentrum van Diginotar in Beverwijk, zorgde ervoor dat ondernemers in, zeg, Harderwijk hun btw-aangifte niet konden doen bij de belastingdienst. Die laatste gebruikte daar namelijk digitale certificaten van Diginotar voor. De in het voorbeeld geschetste onderlinge digitale verbondenheid (we leven in een hyperconnected world! ) van organisaties versterkt ook het beeld dat cyber resilience noodzakelijk is én de eigen verantwoordelijkheid niet stopt bij de voordeur. Het is een gemeenschappelijke verantwoordelijkheid. Waarom? We profiteren immers allemaal van de voordelen van de digitale transformatie om ons heen, voordelen die meestal veel groter zijn dan de kosten en de risico s die eraan verbonden zijn. Net als in de gewone maatschappij, moeten we ook in de digitale wereld leren begrijpen wat de risico s zijn. 1 Wat is digitale transformatie? 2 Met digitale transformatie bedoelen we de toepassing van digitale technologie in allerlei aspecten van de maatschappij. Door digitale transformatie (en dus het gebruik van digitale middelen) zijn nieuwe types van innovatie en creativiteit mogelijk, waardoor digitalisering meer toevoegt dan het verbeteren en efficiënter maken van bestaande werkwijzen. Wat is cyber resilience? In dit artikel gebruiken we in plaats van het begrip cybersecurity met opzet de term cyber resilience en als Nederlands synoniem gebruiken we digitale veiligheid (voor beide). We doen dat, omdat de term cyber resilience ten eerste een minder technologische connotatie heeft. Cyber spreekt al een breder publiek aan dan ICT- of computersecurity, maar klinkt nog steeds vooral naar (technische) beperkingen in de toepassing van digitale technologie. Ten tweede brengen we met de term cyber resilience tot uitdrukking dat het gaat om de veerkracht die een organisatie zou moeten hebben om na een cyberaanval of onopzettelijk incident, de schade te beperken en zo snel mogelijk weer terug te veren naar een min of meer normale bedrijfsvoering. Een cyberincident is namelijk niet volledig te voorkomen en een gerichte cyberaanval heeft een hoge kans van slagen bij vrijwel alle organisaties. Assume you have been breached, is het motto. 1 Neelie Kroes, Hacken en lekken, column in het Financieele Dagblad, 20 oktober 2012. 2 Zie ook: http://www.capgemini-consulting.com/transform/digitaltransformation/ 52 Trends in Veiligheid 2013

Cyber resilience is geen zaak voor ICT alleen De risico s die de meeste organisaties lopen door cyberincidenten hebben rechtstreeks impact op belangrijke zaken als de continuïteit van processen, privacy van onze klanten en de bescherming van het intellectueel eigendom. Door de huidige nadruk in de maatschappelijke discussie over cybersecurity als technologisch onderwerp, blijft onderbelicht dat het een business-issue is. Het verdient echter de volle aandacht van het topmanagement én een vaste plek in het strategisch risicomanagement. Figuur 1: Cyber resilience in het jaarverslag? kwetsbaarheden dreigingen maatregelen Strategisch risicomanagement Controls (maatregelen) Assets (belangen) Inwinnen Threats (bedreigingen) Digitalisering Technologie innovatie Marktontwikkelingen De publieke opinie lijkt dit te ondersteunen voor een aantal vitale sectoren, gezien het Trends in Veiligheid onderzoek 2012 van Capgemini, uitgevoerd door TNS NIPO. Zowel op de vraag: Als een overheidsorganisatie getroffen wordt door uitval van haar ICT-systemen, wat is dan volgens u de impact op de maatschappij? als op de vraag: Als een nutsbedrijf (drink-waterbedrijf bijvoorbeeld) getroffen wordt door uitval van ICT-systemen, wat is dan volgens u de impact op de maatschappij?, antwoordt meer dan 80% van de respondenten, dat dit een grote of zeer grote impact heeft. De sense of urgency is bij het grote publiek klaarblijkelijk aanwezig. Cyber resilience in strategisch risicomanagement Bij strategisch risicomanagement gaat het om de driehoek assets (belangen), threats (bedreigingen) en controls (maatregelen). Een dreigingsanalyse, gerelateerd aan de kritische belangen van een organisatie, voedt de mate waarin maatregelen ter bescherming van die kritische belangen moeten worden genomen. Dit geldt overigens mutatis mutandis ook op nationaal en internationaal niveau. Inpassing van cyberrisico s in het strategisch risicomanagement laat zien dat het topmanagement digitale dreigingen daadwerkelijk onderkent als risico voor de kernbelangen van de organisatie. Hieronder noemen we drie voorbeelden. Ten eerste (bescherming van) klantgegevens, zoals persoonsgegevens van bancaire klanten, patiënten, of kinderen die aan de zorg van een instelling zijn toevertrouwd. Het lekken van dergelijke gegevens of alleen al de schijn dat dit gebeurd is of had kunnen gebeuren, heeft een negatieve uitwerking op de reputatie van de organisatie. De hack van een server van Het Groene Hart Ziekenhuis in oktober 2012 en de daarop volgende (negatieve) publiciteit en kamervragen illustreren dit belang. Ten tweede continuïteit en integriteit van processen (niet alleen administratieve processen, maar juist ook fysieke processen in bijvoorbeeld de chemie of luchtvaart waar industriële controle systemen (ICS) voor monitoring en sturing moeten zorgen). De cyberaanval op Aramco in Saoedi Arabië laat zien, dat het uitschakelen van 30.000 kantoorcomputers een zeer grote impact heeft op de bedrijfsvoering. Jeffrey Carr is duidelijk over wat de CEO moet doen in zo n geval: the correct course of action for not only Aramco s CEO but every CEO is to focus on being able to absorb an Als een overheidsorganisatie getroffen wordt door uitval van haar ICTsystemen, wat is dan volgens u de impact op de maatschappij? Als een nutsbedrijf (drinkwaterbedrijf bijvoorbeeld) getroffen wordt door uitval van ICT-systemen, wat is dan volgens u de impact op de maatschappij? 53

attack and not have it affect its critical operations. 3 Ten derde het beschermen van het intellectueel eigendom, zoals in de farmacie of een hightech onderneming, maar ook de overheid als het bijvoorbeeld gaat om internationale onderhandelingsinformatie. Overheids- of bedrijfsspionage langs digitale weg is al jaren een zorg van de AIVD. 4 Gevallen als de Night Dragon operatie laten zien hoe kwetsbaar industriële ondernemingen kunnen zijn. 5 In Night Dragon werden met gerichte cyberaanvallen gegevens buit gemaakt bij multinationals uit de olieen gas sector. Met de assets in het achterhoofd kijken we vervolgens naar de dreigingen. Het algemene dreigingsbeeld voor Nederland, al dan niet aangevuld met eigen cyber threat intelligence van de organisatie, én een vertaling naar de eigen organisatie (welke belangen, kwetsbaarheden, algemene dreigingen, innovaties, marktontwikkelingen enzovoort) geven outside-in aan welk dreigingsprofiel de organisatie heeft. In zijn presentatie The threats out there op The Grand Conference 2012, schetste Mikko Hypponen daders, motieven, uithoudingsvermogen en cybercapaciteiten als factoren die van belang zijn. Uiteindelijk constateerde hij dat hacktivisten, cybercriminelen en staten de belangrijkste actoren zijn om rekening mee te houden. Tot slot zijn er maatregelen nodig om onderkende risico s te mitigeren. Twee trends zijn hierin zichtbaar: Ten eerste groeit de overtuiging dat de focus op (technologische) preventie niet voldoende is. Het versterken van de digitale veerkracht betekent ook dat detectie, respons en herstel geregeld moeten zijn. Ten tweede zien we, dat andere The Grand Conference Op 16 oktober 2012 vond de eerste The Grand Conference plaats in Amsterdam, als outreach van de EU-US Working Group on Cyber Security and Cyber Crime en georganiseerd door CPNI.NL. Meer dan 150 functionarissen uit de vitale infrastructuur en cybersecurity uit Europa, de VS en Japan bezochten deze conferentie, die de vooruitgang van learning by doing naar leading by doing in cyber resilience faciliteerde. The Grand Conference 2012 deed dit door presentaties van onder andere Neelie Kroes, Rod Beckstrom, Harry van Dorenmalen en Mikko Hypponen met meer dan genoeg voer voor gedachten, masterclasses, discussies met peers en de gelegenheid om door het ondertekenen van de World Economic Forum Principles on Cyber Resilience daadwerkelijk leiderschap te tonen. TNO, KPN en Alliander deden dat dan ook en meer zullen volgen. The Grand Conference 2013 zal nog een stap verder gaan in het slaan van bruggen tussen verschillende disciplines, om cyberresilience nog verder in te bedden in de normale bedrijfsvoering van organisaties uit de vitale infrastructuur. disciplines dan ICT zich voorzichtig aan bewust beginnen te worden van het belang van cyber resilience en van het belang van hun eigen discipline in het versterken van cyber resilience. Een paar voorbeelden om dit te illustreren: - Communicatie: kan bijdragen in (onder andere) versterken van bewustwording, crisiscommunicatie en reputatiemanagement. - Juridische zaken: expert op het gebied van aansprakelijkheid en intellectueel eigendom. - Strategie: geen plannen voor digitale transformatie zonder oog voor digitale veiligheid. - Het primaire proces, zeker in ICSomgevingen waar operationele technologie (OT) en ICT naar elkaar toe groeien: integreren van de benadering veiligheid als safety met veiligheid als security. 3 http://jeffreycarr.blogspot.nl/2012/08/lessons-for-ceos-from-saudi-aramco.html#!/2012/08/lessons-for-ceos-from-saudi-aramco.html. 4 Zie o.m. AIVD, Kwetsbaarheidsanalyse Spionage, 2010. Idem NCSC, Cybersecuritybeeld Nederland 2012, 2012. 5 http://www.bloomberg.com/news/2011-02-24/exxon-shell-bp-said-to-have-been-hacked-through-chinese-internet-servers.html, 54 Trends in Veiligheid 2013

Stakeholders verwachten meer transparantie Volgens een recent redactiestuk van het NRC zijn cyberdreigingen rechtstreeks van belang voor de beurswaarde van een organisatie. Het op straat terechtkomen van vertrouwelijke informatie kan bijvoorbeeld tot verlies aan beurswaarde en maatregelen van toezichthouders leiden. Wie zich slecht beveiligt, heeft ook een slecht verhaal naar de buitenwereld, is de conclusie. Belangrijke stakeholders zullen meer transparantie willen zien over de wijze waarop bedrijven en andere vitale organisaties omgaan met vertrouwelijke gegevens en/of het waarborgen van de continuïteit van gedigitaliseerde bedrijfsprocessen. Kortom, de vragen die op de bestuurstafel en in de aandeelhoudersvergadering thuishoren zijn die naar de risico s en het overzicht op de kritische belangen die in de lucht moeten blijven. Cyber resilience moet wat ons betreft een onderdeel zijn van de jaarverslaggeving, net zoals duurzaamheid dat is geworden. Ook dit is in de afgelopen jaren uitgegroeid van hype tot hygiënefactor. Deze transparantie is belangrijk om het vertrouwen van de buitenwereld te versterken en intern de inspanningen die nodig zijn om dat vertrouwen waar te maken te ondersteunen en te stimuleren. Twee vliegen in één klap! Hoe maak je een organisatie meer cyber resilient? Langs digitale weg kunnen kwaadwillenden schade aan een organisatie brengen, door inbreuk te doen op zaken die de reputatie en/ of continuïteit van de organisatie raken. Bijvoorbeeld door het stelen of veranderen van (persoons- en bedrijfs-)gegevens, de operationele processen te verstoren of zaken die financiële positie van een organisatie raken. Juist daarom verdient het onderwerp een plek op de agenda van het strategisch management. Maar waar staat een organisatie op het gebied van cybersecurity/ cyber resilience en wat is de concrete verbeterstrategie waarop het management zich moet richten? Hiervoor heeft Capgemini een Cyber Security scan ontwikkeld. Deze bestaat uit een analyse die circa zes weken duurt en geeft een organisatie inzicht in de belangrijkste waarden, bedreigingen en risico s op het gebied van cybersecurity en cyber resilience. Via een proces waarin sleutelspelers uit de organisatie een belangrijke rol hebben, levert de scan in korte tijd meer inzicht op waar de organisatie nu staat, waar maatregelen op moeten worden genomen en een concrete verbeteragenda om de weerbaarheid en wendbaarheid van organisaties te vergroten. Tevens draagt de Cyber Security scan bij aan een hogere bewustwording van de digitale veiligheid in de organisatie. Over de auteurs Annemarie Zielstra MES is Director International Relations Cyber Resilience bij TNO, Drs. Tjarda Krabbendam-Hersman en Mr. Patrick de Graaf zijn management consultant bij Capgemini Consulting op het gebied van openbare orde en veiligheid. Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via @GraafPde, @tjhers en annemarie.zielstra@tno.nl 55

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback