16 APR, 2015 • Actueel
Als een ondernemer zijn beveiliging laat versloffen
Bedrijven worden jaarlijks beroofd van 9 miljard euro, maar de achterdeur blijft open. ‘Internet security controleren is corvee, maar het moet absoluut’, zegt oud ABN AMRO-topman Gerard Hartsink. Nagenoeg elk bedrijf heeft een potentieel beveiligingsprobleem.
Drie van de vier computersystemen in Nederland zijn lek, maakte het Amerikaanse beveiligingsbedrijf Venafi vorige week bekend. Daaronder die van vijftien (van de 22) Nederlandse ondernemingen die op de lijst van het Amerikaanse zakenblad Forbes voorkomen. De aanpak van cybercrime wordt door bedrijven echt onderschat, zegt voormalig ABN AMRO-directeur-generaal Gerard Hartsink. ‘Internet security controleren is jaarlijks corvee. Vervelend, maar het moet absoluut.’
Stel, je bent aan het onderhandelen over een nieuw contract en plotseling biedt de tegenpartij precies de ondergrens tot waar jíj wilt gaan. Vrijwel tot op de euro. Het overkwam een Europees bedrijf waarvan het computersysteem was gehackt en de bedrijfsinformatie was doorverkocht. Cybercriminelen gebruiken gestolen bedrijfsinformatie ook steeds meer om beurskoersen te beïnvloeden. Bijvoorbeeld door informatie over voorgenomen overnames, of kwartaal- of jaarcijfers naar buiten te brengen. Al met al kost deze digitale roof de Nederlandse economie jaarlijks veel geld. Zo’n 9 miljard euro berekende internetbeveiligingsbedrijf McAfee twee jaar geleden al. Ofwel 1,5 procent van het BNP. En dan is schade door identiteitsroof en andere vormen van cybercriminaliteit nog niet eens meegerekend.
Elk bedrijf is kwetsbaar
‘Je moet er van uitgaan dat je systeem kwetsbaar is’, zegt Hartsink. Hij leidde voor de International Chamber of Commerce een werkgroep die praktische richtlijnen opstelde voor bedrijven voor het controleren van de digitale sloten op hun digitale deuren. Die richtlijnen zijn vandaag gepresenteerd tijdens de vierde wereldconferentie over internetveiligheid in Den Haag. ‘Er komen steeds meer koppelingen tussen interne en externe netwerken en apparaten als smartphones en tablets’, waarschuwt Hartsink. ‘Straks praat je kind via zijn smartphone met de koelkast of er nog frisdrank in zit. Wil je dan nog wel trade secrets over het net bespreken? Dat moet je als bedrijf beseffen als je laptops meegeeft aan werknemers of als je klanten en leveranciers toegang geeft tot je netwerk. Dat maakt je kwetsbaar. Vraag het de banken, die worden aan de lopende band belaagd. Nederland staat in de top van de risicolanden. Dat is ook logisch, we zijn een van de meest internetvriendelijke landen.’
Maar kennelijk zit dat nog niet helemaal tussen de oren. Driekwart van de Nederlandse ondernemingen weet niet wat ze precies moeten doen om informatie over nieuwe technologieën en andere strategische informatie te beschermen, stelden onderzoekers van consultancy- en accountantsbedrijf KPMG onlangs vast. Al beseffen ze wel dat de maatregelen die worden genomen om informatie te beschermen niet in verhouding staan tot de risico’s die worden gelopen. Hartsink herkent dat wel. ‘Je kunt er niet van uitgaan dat board members kritische vragen stellen over de staat van cybersecurity. Hun kennis van de techniek is onvoldoende. Zelf heb ik dat ook ervaren in andere boards. Maar een raad van commissarissen moet dergelijke kritische vragen wél stellen, ook al is er een chief risk officer. Minstens één keer per jaar moet een bedrijf alle punten op onze checklist afgaan, vind ik.’
MKB loopt risico
Hartsink maakt zich vooral zorgen over mkb-bedrijven, de grootste groep in de Nederlandse economie. ‘Kleine ondernemers moeten alles zelf doen. Ze hebben 25 prioriteiten om de schoorsteen te laten roken en daar moet deze ook nog eens bij. Ik kan me voorstellen dat ze daar minder aandacht voor hebben. Maar hun kassaterminal zit aan het internet, ze communiceren met hun boekhouder via het internet, de belasting gaat via internet, ze hebben een webshop of ze kopen via internet. In die hele keten hoeft maar één lek te zitten. Misschien wordt er 30.000 euro verspeeld, maar voor een kleine ondernemer is dat veel geld. En wat als je klantenadministratie overhoop wordt gehaald. Ik ken voorbeelden van dergelijk concurrentje-pesten.’
Het is geen toeval dat uitgerekend de International Chamber of Commerce (ICC) komt met een internationale guide met checklist. ‘ICC is praktisch en per definitie internationaal’, zegt Hartsink. ‘Europol heeft de guide al gezien en was enthousiast. Hun ervaring is dat de overheid dit niet alleen kan oplossen.’ Hij wappert met een document. ‘Hier, de Nationale Cybersecurity Strategie van het kabinet. Nátionaal, de titel zegt het al. Een cyber attack houdt niet op bij de grens, maar nationale overheden denken per definitie binnen de grens. Bij Europol hebben ze daar overigens een oplossing voor gevonden. Ze hebben een afgevaardigde van elke EU-lidstaat plus een Amerikaan, een Rus en een Japanner, zodat er altijd iemand is van de juiste jurisdictie als criminelen de grens over gaan.’
Zelf in actie komen
Hartsink voorziet dat steeds meer partijen gaan wijzen op de eigen verantwoordelijkheid van internetgebruikers, waartoe ook bedrijven behoren. ‘Banken hebben al als stelregel dat schade bij internetbankieren niet wordt vergoed als de klant zijn beveiliging heeft verwaarloosd. Ik verwacht dat de verzekeringswereld zich meer met de gevolgen van cybercrime gaat bezighouden en bij schade vraagt: ‘Broeder, wat heb je er zelf tegen gedaan?’ In toenemende mate wijzen accountants ook op deze problemen. KPMG is daar bijvoorbeeld heel actief mee. Nagenoeg elk bedrijf heeft een potentieel probleem.’
Maar elke hackpoging meteen maar openbaar maken, zoals de Nederlandse politiek wil, vindt Hartsink geen oplossing. ‘Wil je alle vertrouwelijke informatie tussen security officers delen? Ook met landen waar soms de bronnen zitten? Internet kent geen grenzen. Je kunt mensen ook wijzer maken dan nodig is.’
In 2014 werd een van de grootste softwarelekken uit de geschiedenis blootgelegd. In het ontwerp van het zogenaamde OpenSSL-protocol zat een programmeerfout, waardoor hackers een open achterdeur hadden in miljoenen computersystemen. Een SSL-certificaat zorgt er voor dat de datastroom tussen de bezoeker en de website niet leesbaar is voor anderen. Een groene adresbalk, de bedrijfsnaam in de adresbalk, de ‘s’ achter http en het slotje in de browser maken duidelijk dat de website is beveiligd met een SSL-certificaat. Toen het lek, dat Heartbleed is gedoopt, werd ontdekt, is wereldwijd alarm geslagen. Het Nederlandse Nationaal Cyber Security Center vond het probleem groot genoeg om niet alleen advies te geven, maar om ook een speciale fact sheet uit te brengen. Het Amerikaanse bedrijf Venafi onderzocht in hoeverre een jaar na dato de fout was hersteld. Wereldwijd blijkt een meerderheid van de systemen de achterdeur nog gewoon open te hebben, aldus de Amerikanen.
ICC Nederland nam in 2014 het initiatief voor een om ondernemers en bestuurders voorzetten te geven voor het controleren van hun digitale veiligheid. Cybercrime is een van de belangrijkste aandachtspunten van ICC Nederland. Onder Nederlands voorzitterschap (Gerard Hartsink) werd de Cyber Security Guide ontwikkeld binnen de mondiale ICC Task Force on Security. Hartsink werd geadviseerd door internationale ICT-bedrijven en door zo’n 350 ICC-leden uit de hele wereld. De gids biedt concrete richtlijnen en een checklist die helpen cyberrisico’s te identificeren en aan te pakken. Verder geeft de gids handvatten om een cybersecurity-strategie te formuleren, waarin management en werknemers hun rol kennen. De digitale editie van de Cyber Security Guide for Business is kosteloos te downloaden. De gids is vandaag gelanceerd tijdens de Global Conference on Cyber Space in Den Haag en in nog eens negentig landen door de lokale ICC-kantoren.
Gerard Hartsink was directeur-generaal van ABN AMRO, bestuurslid van SWIFT (netwerk van (centrale) banken), voorzitter van het European Payments Council en bestuursvoorzitter nu adviseur bij CLS Bank International, een op wereldniveau opererend betalingsinstituut voor valutatransacties. Hij is nu voorzitter van de Global Legal Entity Identifier Foundation die voor de Financial Stability Board (een G20-organisatie) de unieke identificatie van juridische entiteiten bij financiële transacties moet realiseren. Onlangs zat Hartsink de werkgroep van de International Chamber of Commerce voor die praktische richtlijnen opstelde voor bedrijven voor het controleren van de digitale sloten op hun digitale deuren.
Handig: de wekelijkse Forum-alert
Meld je aan voor de nieuwsbrief en ontvang de gratis updates.