Uit recente krantenkoppen met betrekking tot geopolitieke spanningen en cyberveiligheid blijkt dat onze wereld instabieler is geworden en alsmaar complexer wordt. Is het risico om concurrentievoordeel te verliezen groter dan het risico op een rampzalig cyberincident? En dan heb ik het nog niet eens over het coronavirus, dat een extra dimensie geeft. Deze blog is voor de coronacrisis geschreven, vandaar.
In de afgelopen maanden zijn verschillende actoren actiever worden in het openlijk ondersteunen van cyberaanvallen. Kwaadwillenden hebben gemakkelijk toegang tot potentieel verlammende technologie en loopt de vitale infrastructuur steeds meer gevaar. Denk aan de potentiële chaos en verwoesting die zou worden ontketend door aanvallen op energienetwerken, luchtverkeersleiding, gezondheidszorg en financiële systemen, om slechts enkele gebieden van de vitale infrastructuur te noemen. Hoe gaan we om met deze nieuwe realiteit?
Ik realiseer me dat het een moeilijk argument is om te maken, maar een van de beste manieren om deze meer uitdagende omgeving aan te pakken, is ‘vertragen’. De meeste bedrijfsleiders willen dat niet horen vanwege het snelle tempo van technologische innovatie en de angst dat achterblijven kan betekenen dat ze hun voorsprong op de concurrentie verliezen.
Maar denk eens aan een andere manier: is het risico om concurrentievoordeel te verliezen groter dan het risico op een rampzalige cybersecurity-gebeurtenis?
Vooruitgang niet stoppen
Als ik suggereer dat organisaties en overheden vertragen, pleit ik er niet voor dat we de vooruitgang moeten stoppen. Integendeel, ik stel voor dat we de tijd nemen om een goede risicobeoordeling uit te voeren voordat we de toekomst tegemoet gaan met technologische innovaties die vitale infrastructuur op een nog groter risico level zouden kunnen brengen. Samen zullen we er allemaal baat bij hebben als we ernaar streven om verstandiger en zorgvuldiger te zijn in hoe we verder gaan, de stappen te nemen om risico’s te beperken door robuustere cyberbeveiligingsmaatregelen in te bouwen en de potentiële bedreigingen te analyseren wanneer we beslissingen nemen over kritieke technologie.
Een voorbeeld hiervan is het evalueren van aanbieders van 5G-netwerken door overheden. Nemen deze overheden hun besluiten strikt op basis van kosten? Helaas kom ik dat nog regelmatig tegen. Willen de overheden alleen met particuliere bedrijven werken? Zijn ze zorgvuldig met volledige implicaties voor de vitale infrastructuur? Terughoudendheid en de tijd nemen om de risico’s in te schatten is een verstandige beslissing, die in de toekomst mogelijk veel issues kan voorkomen.
De uitrol van 5G-netwerken en iot (internet of things)-apparaten zijn duidelijke voorbeelden van de noodzaak om een voorafgaande risicobeoordeling uit te voeren. Als de netwerken/iot-apparaten eenmaal actief zijn, kan het te laat zijn. Volgens een onderzoeksrapport zal het aantal iot-apparaten in 2020 meer dan 38 miljard (!) bedragen. Ik vrees dat er te veel apparaten worden geïnstalleerd zonder dat de organisaties het risico op cyberveiligheid goed hebben beoordeeld. Veel iot-apparaten zijn diep geïntegreerd in cruciale infrastructuur en vergroten ze het potentiële aanvalsoppervlak voor kwaadwillenden aanzienlijk. Wanneer je iot implementeert, is beveiliging – niet snelheid – het belangrijkste element.
Het idee om te vertragen in een snel veranderende wereld kan contra-intuïtief zijn voor bedrijfs- en regeringsleiders die er constant aan worden herinnerd dat snelheid een concurrentie-differentiaal is. Cybersecurityleiders zijn eraan gewend om met deze push-pull tussen snelheid en veiligheid om te gaan. Op een recente ciso-top werd deelnemers gevraagd hun grootste uitdaging voor 2020 te definiëren. De nummer één-reactie, aangehaald door bijna veertig procent van de deelnemers, was ‘bijhouden van bedrijfstransformatie’.
Cyberbewuster worden
Ik pleit er niet voor dat we de transformatie moeten stoppen of het potentieel ervan moeten beperken, maar ik wil alleen benadrukken dat we allemaal cyberbewuster moeten worden. Toen ik zelf ciso was, hadden wij in het bedrijf een team van ongeveer zestig ontwikkelaars en ze moesten om de twee weken iets produceren. Aanvankelijk beschouwden ze cybersecurity als een potentiële belemmering voor hun ‘sprint’, maar na een intensieve begeleiding, pen-test trainingen en security projecten tijdens een hackaton, beseften ze dat ze nog steeds snel konden gaan, en ook op een veilige manier. We hebben hen ervan overtuigd dat beveiliging nooit vertragend mag zijn – het moet altijd een enabler zijn.
Laten we geen onnodige risico’s nemen voor onze vitale infrastructuur maar ook niet vergeten dat cybersecurity niet eenvoudig is. Als er iets kwaadaardigs in onze omgeving komt, moeten we dit snel kunnen detecteren. We moeten niet alleen bescherming hebben, we moeten ook snel opsporing en herstel uitvoeren. Maar wanneer we ervoor kiezen om dingen te vertragen, zelfs een beetje, is dat om ervoor te zorgen dat we voldoende aandacht hebben besteed aan belangrijke kwesties, zoals:
- Hoeveel controle geven we op bij het bouwen en beheren van een vitale infrastructuur? Kan een buitenlandse overheid die infrastructuur overnemen en, zo ja, welke bescherming kunnen we nemen om dat risico te beperken?
- Ontwerpen we beveiliging in onze omgeving, met name met innovaties zoals de iot en 5G? Wanneer deze netwerken en apparaten operationeel zijn, zijn ze beveiligd? Als je beveiliging moet uitvoeren nadat deze actief zijn, levert dit extra potentiële problemen en risico’s op die veel moeilijker en duurder zijn om aan te pakken nadat een cybersecurity-evenement heeft plaatsgevonden.
- Wat voor een soort testen moeten we uitvoeren om risico’s te beperken? De meeste organisaties en overheden doen geen grootschalige cyberveiligheidsoefeningen om zich voor te bereiden op een aanval op de vitale infrastructuur. Vooral overheden zouden grote testscenario’s moeten overwegen. Ze zijn misschien duur, maar niet zo duur als de kosten van een echte ramp. Denk aan deze tests zoals verzekeringen: je betaalt voor iets waarvan je hoopt het nooit te hoeven gebruiken.
In de toekomst zullen de echte leiders en pioniers niet degenen zijn die het snelst kunnen gaan, maar degenen die het beste hun taak uitvoeren door zich aan te passen aan een meer beladen en complexe cybersecurity-omgeving.