Cyberaanvallen richten een verwoesting aan in organisaties over de hele wereld. Het brengt het bedrijfsleven inmiddels op meer dan vijf biljoen dollar aan 'onkosten'.
In 2021 werden records verbrijzeld wat betreft het losgeld dat werd betaald als gevolg van ransomware. Kleine bedrijven zijn ook kwetsbaar: bijna twee derde gaat failliet binnen zes maanden na een aanval. Regeringen hebben ook te lijden gehad onder inbreuken, waaronder de SolarWinds-hack die afkomstig was van de Russische inlichtingendienst, en de Iraanse cyberaanval waarbij kiezersdatabases zijn gekraakt en desinformatie is verspreid over de verkiezingen van 2020.
Ook dichterbij zijn voorbeelden van cybercriminaliteit en serieuze dreiging voor het Nederlandse bedrijfsleven. Zo was De Mandemakers Groep, met meer dan tweehonderd filialen door heel Nederland, eind juni 2021 slachtoffer van een ransomware-aanval, waarbij een groot deel van de it-systemen werden geblokkeerd. In oktober 2021 werd industrieconcern VDL Groep zwaar getroffen door een cyberaanval, waarbij alle 105 (ook internationale) bedrijven die onder VDL Groep vallen, omvielen. Pas een maand na de aanval waren alle 105 werkmaatschappijen weer volledig in bedrijf.
Cyberweerbaarheid
En toch, ondanks de urgentie, zegt twee derde van de chief information security officers (ciso’s) dat hun bedrijven niet zijn voorbereid op cyberaanvallen.
Net zoals de aanpak van de pandemie is verschoven van volledige preventie naar het beheersen van de onvermijdelijke gevolgen van de ziekte, moeten we de internationale houding ten opzichte van cyberbeveiliging opnieuw tegen het licht houden. Het is tijd voor een alomvattende strategie voor cyberweerbaarheid, en niet enkel cyberbeveiliging. Cyberweerbaarheid is het anticiperen op, beschermen tegen, weerstaan van en herstellen van aanvallen op cybergebaseerde diensten. Dit gaat verder dan conventionele cyberbeveiliging; het legt de nadruk op continuïteit en herstel. Want aanvallers zullen uiteindelijk onze verdediging doorbreken.
Cyberincidenten hebben gevolgen voor de hele samenleving; ze zorgen voor onzekerheid in de samenleving, bij overheden en in markten. Om aanvallers op afstand te houden en de schade die zij aanrichten te beperken, moeten de publieke en de private sector daarom samen kiezen voor een alomvattende aanpak voor zowel verdediging tegen als herstel na cyberaanvallen.
Regering-Biden
In de VS kondigde de regering-Biden afgelopen zomer aan dat zij met een aantal grote bedrijven, waaronder Google, Microsoft en IBM, gaat samenwerken om een nieuw kader op te zetten voor de verbetering van de cyberbeveiliging in de toeleveringsketen voor technologie. Ook in Nederland is het investeren in cyberweerbaarheid van groot belang, vooral met het oog op de huidige geopolitieke situatie. 2022 moet daarom het jaar worden waarin we een economie-brede strategie voor cyberweerbaarheid ten uitvoer gaan brengen. Onderdeel daarvan is een consistente serie cyberweerbaarheidsbeginselen om de economie en cruciale instellingen voor te bereiden op aanvallen.
Tijd is van essentieel belang, aangezien de wereld in een razend tempo digitale transformaties doormaakt. Dit schept nieuwe kansen en nieuwe risico’s, en organisaties moeten hun toezeggingen inzake cyberweerbaarheid nakomen om de ontwikkelingen bij te kunnen blijven. Ondertussen groeien nieuwe technologieën zoals ai, blockchain en internet of things in een hoog tempo. Dit biedt cyberaanvallers meer toegangspunten tot ons leven en vergroot wat cyberexperts het aanvalsoppervlak noemen.
Talent
Een van de grootste middelen die we hebben in de strijd tegen cyberrisico’s is het gemakkelijkst over het hoofd te zien: menselijk talent. Jen Easterly, directeur van de Cybersecurity and Information Security Association (CISA), zegt dat investeren in menselijk kapitaal ‘het belangrijkste is dat we kunnen doen’ om cyberdreigingen aan te pakken. En toch zegt meer dan de helft van de bedrijfsleiders dat hun organisaties cybervaardigheden tekortkomen en miljoenen cyberbeveiligingsbanen onvervuld blijven.
We moeten beseffen dat prioriteit geven aan cyberweerbaarheid niet betekent dat we te voorzichtig zijn of dat we opeens allerlei activiteiten stop moeten zetten. Integendeel, het opbouwen van cyberweerbaarheid stelt leiders in staat slimme risico’s te nemen en hun uiteindelijke doelstellingen proactief na te streven. Cyberweerbaarheid legt ons geen beperkingen op; het geeft ons de vrijheid om het cruciale werk te doen dat er ligt.
De wereld verandert snel, en we maken er allemaal deel van uit. 2022 moet het jaar worden waarin het bedrijfsleven en beleidsmakers collectief de cyberweerbaarheidsbeginselen omarmen en onze economie en democratische instellingen voorbereiden te overleven en te gedijen te midden van alle dreigingen.
(Auteur Kris Lovejoy is head security and resiliency bij Kyndry; met dank aan Rik Chorus, country practice leader cyber security & resiliency bij Kyndryl.)
Cyberweerbaarheid gaat in de eerste plaats om de veerkracht en daarin gaat het om inzichtelijkheid en afhankelijkheid in de (toeleverings)ketens want als je geen plan B hebt dan ben je kwetsbaar. En ja, de ontwrichting van allerlei processen is relatief eenvoudig doordat we te afhankelijk zijn geworden van een digitale infrastructuur die kwetsbaar is voor aanvallen. Opmerkelijk hierin is de opmerking over democratische instellingen want juist hierdoor worden we tot digitale loketten gedwongen terwijl ouderwets stemmen met een potlood veel moeilijker te ontwrichten is.
Oja, de vrijheid van handelen is nogal relatief als we kijken naar de dwang vanuit de overheid om processen te digitaliseren want hierdoor kunnen ze makkelijker meekijken. En toezeggingen vanuit de overheid zijn nogal bedenkelijk als we kijken naar de eenzijdige contractbreuk uit belang van de schatkist. Want de samenwerking van Biden met Big Tech is gewoon ouderwets Amerikaans imperialisme als we als Europa onze souvereiniteit in de beveiliging verliezen door afhankelijkheid van bedrijven. Het geen geld, geen Zwitsers verhaal aangaande plan B betekent dus vooral investeren in eigen oplossingen.