Ruim een derde (35 procent) van de ceo's van zeer grote Nederlandse ondernemingen zijn terughoudend met het doen van investeringen in cybersecurity. Zij denken dat het duurder is om een systeem van cybersecurity op te tuigen dan de mogelijke financiële impact van een cyberaanval.
Dit blijkt uit het onderzoek ‘Cyber-Resilient CEO’ dat Accenture heeft gedaan onder de hoogste bazen van bedrijven met een omzet van meer dan 1 miljard dollar. Bijna twee derde (64 procent) van de Nederlandse respondenten geeft toe dat hun organisaties cybersecurity niet integreren in hun bedrijfsstrategieën. 38 zegt dat cybersecurity slechts sporadisch aandacht krijgt.
Terwijl 92 procent het belang van cybersecurity erkent, maakt 64 procent van de Nederlandse ceo’s zich zorgen over hun vermogen om cyberdreigingen succesvol het hoofd te bieden. Volgens Accenture wijzen deze cijfers op een significant verschil tussen het besef van het belang van cybersecurity en het vertrouwen in de eigen verdediging.
Ernstig incident
Veel ceo’s geven toe dat hun benadering van cybersecurity eerder reactief dan proactief is, wat het risico op aanvallen en de kosten voor herstel verhoogt. Nicole van Det, ceo van Accenture Nederland merkt op dat cybersecurity vaak pas op bestuursniveau prioriteit krijgt na een ernstig incident.
Ook in andere landen heeft de ondernemingsleiding vrij weinig aandacht voor de veiligheid van de systemen. Wereldwijd ziet 91 procent cybersecurity als een technische kwestie die wordt overgelaten aan de ciso of cio. Slechts 15 procent besteedt hier regelmatig tijd aan tijdens vergaderingen. In Nederland is dit percentage (24 procent) iets hoger.
Tim Reijnders, security lead bij Accenture Nederland, beschouwt het rapport als een wake-up call voor ceo’s wereldwijd. ‘De cijfers tonen aan hoe belangrijk een proactieve cybersecuritystrategie is,’ meent hij.
Tja, het begint vervelend te worden maar we herhalen het nog maar eens: topbestuurders, waaronder CEO’s en burgemeesters zijn wel ‘responsible’ maar niet ‘accountable’. Slechts in zeer uitzonderlijke gevallen kunnen zij persoonlijk of gemeenschappelijk hoofdelijk aansprakelijk worden gesteld voor hun handelen en nalaten.
Sancties worden gewoon doorbelast aan de eigen organisatie en daarna aan klant en belastingbetaler.
Hoewel P.J. Westerhof geen ongelijk heeft met het delicate verschil tussen verantwoordelijk en aansprakelijk lees ik vooral dat er gedacht wordt dat het duurder is om een systeem van cybersecurity op te tuigen dan de mogelijke financiële impact van een cyberaanval. Communicatief spreken de cybersecurity specialisten niet de juiste taal waardoor een technische kwestie niet wordt vertaald naar een ‘call to action’ op basis van een businesscase.
Ik leerde ooit dat het risicomanagement in cybersecurity om de kansberekening en de impact gaat, Tim Reijnders heeft het over cijfers maar niet over bedragen want dat is de taal van business. Je kunt praten over een technische maatregel zoals de back-up maar C-level management wordt daar niet warm of koud van. Met de vraag wat stilstand als gevolg van een cyberaanval kost krijg je de interesse, ontwerp je back-up vanuit een visie van herstel want ransomware is een serieus risico met een grote impact.
Wat betreft het idee dat de financiële impact van het herstel na een cyberaanval minder kost dan de preventie is als Russische roulette, de juridische aansprakelijkheid van een verantwoordelijke voor de back-up is hierin de lege kamer als niet met regelmaat de sloepenrol getest wordt. Het was dan ook niet de burgemeester die wit wegtrok toen uit sloepenrol bleek dat 3 kritische diensten NIET hersteld konden worden na een ramp. Te goed van vertrouwen of toch maar een keer testen?