Cyberrisico als kans

CYBERCRIMESPECIALIST DELOITTE: 'MANAGERS CREËREN ZELF HUN CYBERRISICO’S'

Beter management van cyberrisico's leidt tot meer innovatie in een organisatie, aldus Deloitte-partner Roel van Rijsewijk.

Van Rijsewijk is auteur van het boek 'Cyberrisico's voor managers'. In het dagelijkse leven geeft hij leiding aan het Cyberrisk team bij Deloitte. Van Rijsewijk wil met zijn publicatie de manager inzicht verschaffen in de werkelijke risico's van cybercrime. Wat kan een organisatie doen tegen cybercrime? En wanneer doe je als management genoeg om het probleem te tacklen?

Wat is de belangrijkste boodschap van je boek?
'In vrijwel elke strategie voor groei en waardecreatie speelt digitale technologie een dominante rol. Organisaties worstelen echter met het digtale dilemma: wat digitale technologie zo waardevol maakt, open en verbonden, maakt het tegelijk ook kwetsbaar voor aanvallen van buitenaf. Wat ik wil uitleggen aan bestuurders, ondernemers en managers is dat je niet hoeft te kiezen maar dat je het digitale dilemma kan oplossen. Dat je met vertrouwen open, verbonden en dus kwetsbaar kunt zijn dankzij weerbaarheid tegen cyberrisico’s'.

Wat wil je de lezers/managers van Nederland meegeven?
'Nog vaak is informatiebeveiliging een rem op innovatie, de vrije stroom van informatie en empowerment van mensen. De security functie heeft dan een negatieve opdracht: ‘voorkom dat het fout gaat'. Het gevolg daarvan is dat iedereen zich gaat indekken; risico’s worden vermeden en de organisatie wordt vastgezet'.

En dat is nu precies wat je niet wilt in tijden van exponentiële veranderingen gedreven door informatie-technologie. Je wil de organisatie juist los zetten; open, verbonden, agile en adaptief. Een organisatie die om kan gaan met veel onzekerheid en dus met veel risico. Dan moet je accepteren dat het af en toe fout gaat. Maar dat is niet erg, want van fouten leer je. Vergelijk het weerbaarheid van het menselijk lichaam. Je kan jezelf thuis opsluiten en isoleren van andere mensen om te voorkomen dat je ziek wordt. Maar je wil juist naar buiten en verbinden met anderen dus het virus komt binnen. Weerbaarheid wil zeggen dat het virus wordt geïsoleerd en opgeruimd voordat het veel schade kan aanrichten. Wellicht wordt je af en toe verkouden maar dat hoort erbij. En elke keer dat je een beetje ziek wordt dan ben je weer meer weerbaar geworden.

Hoe erg is het als managers cyberrisico vooral zien als een IT-probleem?
'Ik denk dat elke manager ondertussen heus wel snapt dat het ook zijn probleem is. Als de IT systemen uitvallen of de data ligt op straat dan heeft niet alleen IT een probleem. De tijden dat managers zich niet bewust waren van cyber risico’s is voorbij.
Voor het boek heb ik veel interviews gedaan met ceo’s, cfo’s, coo’s en managers van allerlei bedrijven over de hele wereld. Het bleek dat het probleem bij al deze managers op de agenda staat. Het is ook vrij intuïtief. Iedereen snapt dat de organisatie volledig afhankelijk is geworden van technologie en dat gaat alleen maar toenemen. Men ziet ook dat deze technologie steeds meer open en verbonden wordt en dus steeds kwetsbaarder voor aanvallen van buitenaf. En bijna dagelijks is er wel weer een nieuwe hack in het nieuws dus men is er zich ook heel bewust van dat de bedreigingen alleen maar toenemen.

Waar managers ontzettend mee worstelen is de oplossing. Dat er iets moet gebeuren snapt iedereen maar wat dan precies en vooral wanneer is het genoeg is lastig om over te beslissen. Nog vaak wordt de oplossing dan maar gedelegeerd naar de specialist, een IT-er inderdaad, met als opdracht: ‘zorg ervoor dat het niet fout gaat en het mag niet teveel kosten”. En dat leidt dan tot indekken en risicomijdend gedrag zoals hierboven beschreven; de organisatie wordt vastgezet en innovatie vertraagd. En dat is dan wel weer het probleem van de manager.

Wat managers moeten gaan begrijpen is dat cyberrisico’s door hunzelf worden gecreëerd. Door voortdurende innovatie, het meer waarde willen halen uit data en door empowerment van mensen met krachtige informatietechnologie creëer je cyberrisico’s. Of andersom geredeneerd; hoe beter je bent in het managen van cyber risico’s hoe meer je kan innoveren, hoe meer waarde je kan halen uit data en hoe meer empowerment je de organisatie kan inbrengen. Alleen de managers en ondernemers van de organisatie zouden moeten bepalen hoeveel risico men bereid is te nemen, dat moet je niet aan IT overlaten.

Dat zijn strategische beslissingen. Dit boek is bedoeld niet-technische bestuurders, ondernemers en managers om ze hierbij te helpen. Het is niet de bedoeling om van iedereen een cyber risico expert te maken. Het is bedoeld om in ieder geval voldoende begrip te krijgen van het probleem en de beste oplossingsrichting. Voldoende begrip waardoor beslissers in staat zijn met de specialisten hier zinnige gesprekken over te hebben en goed onderbouwde besluiten te kunnen nemen over de juiste strategie, aanpak en budget om cyber risico’s effectief te kunnen beheersen, passend bij de strategie en risicobereidheid van de organisatie'.

Hoe zet je, kort gezegd, risico's om in kansen?
'Voor sommige organisaties, zoals telco’s en technologiebedrijven, is dat evident. Ze kunnen security leveren aan hun klanten als toegevoegde waarde. In sommige sectoren is het wachten op het bedrijf dat het lef heeft om het probleem op te pikken en er toegevoegde waarde uit te halen. Maar voor alle organisaties kan het een kans zijn omdat effectief cyber risico management waarde creatie door informatietechnologie mogelijk maakt. Dus met goed cyber risico management stel je de organisatie in staat meer en sneller te innoveren, meer waarde halen uit data en meer empowerment in de organisatie te brengen'.

Er is veel te doen over cyberrisico's. Waarin wijkt jouw boek af van alle waarschuwingen van anderen (vaak belanghebbende IT-partijen)?
'Bijna elke dialoog over cyberrisico gaat over de bedreigingen en wat er mis kan gaan. Het is voor een consultant of IT partij ook heel verleidelijk om iedereen heel bang te maken. Dan hoop je dat ze uit angst je services afnemen.
Nou is dat denk ik geen goede strategie. Iedereen is zich ondertussen bewust van het probleem dus niemand zit te wachten op een buitenstaander die verteld hoe groot het probleem is. Bovendien is angst een slechte raadgever; het leidt tot een minimale, compliance gedreven aanpak. Ik heb geleerd dat er een enorme behoefte bestaat aan een ander, meer strategisch verhaal over cyberrisico.Cyberrisico als kans'.

Hoe kunnen cyberrisico's motiverend zijn?
'Naast het feit dat het kansen biedt voor de organisatie is het natuurlijk ook allemaal heel spannend. Je probeert de organisatie te beschermen tegen een intelligente actor, een hacker, die telkens weer nieuwe dingen bedenkt. Het is boeiend je in de tegenstander te verdiepen om daarop te kunnen anticiperen.

Cyberrisico management is eigenlijk een professionele teamsport op Champions League niveau; de organisatie moet kloppen, je hebt talent nodig, je moet hard trainen, leren improviseren, teaming, strategie, tactiek, techniek, anticiperen op een goed georganiseerde tegenstander, veel stress en je hebt soms wat geluk nodig'...

Wat kies jij: het wonder of de ramp?
Wie met de fiets naar de bioscoop gaat loopt de kans dat zijn fiets gestolen wordt. Maar moet hij de film daarom laten schieten? Roel van Rijsewijk, schrijver van het boek ‘Cyberrisico als kans’ vindt dat bedrijven zich wat minder door de gevaren van technologie moeten laten leiden.

De droom: een boek
‘Ja, dat was het zeker. Ik geloof ook in de kracht van storytelling. Ik werd binnen Deloitte met een duur woord senior fellow van het Centre for the Edge dat zich bezighoudt met de ontwikkeling van exponentiële technologie en wat deze betekenen voor organisaties. Ik richt me op cyber security. Mij is gevraagd een wereldwijde visie te ontwikkelen op dit gebied. Daarop ben ik op het hoogste niveau met klanten over de hele wereld gaan praten; wat leeft er, waar lopen hun mensen tegenaan? Ik had al snel genoeg stof voor een boek.’

De angst: weg ermee
‘Dat is wel de insteek. We leven in een tijdperk van een totale transformatie. Alles verandert en alles wordt gedreven door technologie. En elke technologische ontwikkeling is een wonder én een ramp. Open en verbonden systemen en de vrije stroom aan informatie leidt tot risico’s voor aanvallen van buitenaf. Nu heeft die angst een functie maar het moet niet de overhand hebben. Die angst wordt bij managers en bestuurders gebracht door met name de media, die begrijpelijkerwijs hun focus leggen op grote rampen. Ik vecht er voor om het om te draaien, om de waarde van technologie op de eerste plaats te zetten. Angst zorgt ervoor dat mensen zich gaan indekken. CEO’s en de security afdelingen doen alles om maar niet ‘betrapt’ te worden op nalatigheid. Zij moeten kunnen aantonen dat ze alles gedaan hebben aan veiligheid. Alle juiste vinkjes zijn gezet, alle audits hebben ze doorstaan, ze zijn aan alle kanten gecertificeerd. Daar los je geen problemen mee op, daarmee pleit je jezelf alleen maar mee vrij.’

CEO’s en de security afdelingen doen alles om maar niet ‘betrapt’ te worden op nalatigheid.

Alles verandert: niets is zeker
‘Absoluut. Ondernemen is risico nemen en als jij meer risico durft te nemen dan je buurman, creëer je ook meer waarde. Je kunt alles wel onder controle willen hebben, maar grip heb je nooit, en zeker nu niet. Alles verandert en niemand weet welke kant het opgaat, ook Google en Apple niet. We moeten leren omgaan met die totale onzekerheid. Dus onderneem, maak fouten, ga onderuit maar sta weer op. Je kunt niet voorkomen dat er af en toe wat mis gaat. En van uitglijders of aanvallen op je systeem leer je weer en word je beter.’

Een voorbeeld: zo kan het ook
‘PayPal is een mooi voorbeeld. Ik heb de security officer gesproken. PayPal werkt zoals bekend met een betalingssysteem waarbij je alleen maar een username en password hoeft in te tikken. Ik heb gezegd dat dit een waardeloze beveiliging is, zo lek als een mandje met al die makkelijk te raden wachtwoorden. Dat weten we, zei de beste man, en daarom investeren ze veel in security analytics, we hebben daar eigen technologie voor ontwikkeld en tevens de beste mensen ter wereld in huis waardoor we als geen ander in staat zijn om verdachte transacties te onderscheppen voordat ze gedaan zijn. Soms gaat het mis, maar het verlies houden ze op een acceptabel niveau omdat ze zo goed zijn.’

Tot slot: kwetsbaarheid is een kracht
‘Helemaal waar. De Nachtwacht is het meest kostbare kunstbezit dat we hebben. Dat kun je in een kluis zetten, achter slot en grendel, zo veilig als wat, maar dan is het niets waard. Het wordt pas veel waard als het in een open ruimte staat en iedereen er bij kan. Maar je moet het wel beveiligen met camera’s, detectoren en suppoosten die goed getraind zijn. Kwetsbaarheid is echt een kracht, als je maar weerbaar bent. Daar zou de focus op moeten liggen.”

NRCQ, 26 mei 2016

Roel van Rijsewijk: ‘Durf bij cyberrisico kwetsbaar te zijn’

Roel van Rijsewijk is een verteller, die ondernemers en bestuurders in Cyberrisico als kans verleidt om niet bang te zijn voor de risico’s van het internet en om de organisatie niet dicht te timmeren met beveiligingsmaatregelen.

U was tot een jaar geleden cyber risk manager bij Deloitte, maar schrijft er nu pas een boek over. Hoe zit dat?
Ik was één van de leiders van het cyber team in Nederland, maar ik onderzoek nu hoe je exponentiële ontwikkelingen in de technologie kunt vertalen in business.

Hoe onderzoekt u dat?
In het afgelopen jaar heb ik tientallen interviews gehouden met CEO’s, CIO’s, CFO’s en CISO’s van private en publieke organisaties over de hele wereld. Uit al die gesprekken in de boardrooms is een soort positioneringsverhaal voor Deloitte voortgekomen. Ik dacht: ik heb er zo veel van geleerd – daar kan ik een boek over schrijven. En dat heb ik dus gedaan.

Is het boek met name bedoeld voor de bestuurskamers?
Het is een strategisch verhaal, een boek voor beslissers, die willen weten waarin ze moeten investeren. Maar het is ook bedoeld voor iedereen die geïnteresseerd is. Zo kunnen experts uit het boek halen hoe ze het aan leken kunnen uitleggen.

Waarom moeten bestuurders en managers het lezen?
Er wordt heel veel angst gezaaid en angst is een slechte raadgever. Er bestaat behoefte aan een inspirerend verhaal: Cyberrisico als kans.

Kwam Deloitte onlangs niet naar buiten met de alarmerende boodschap dat cyber crime Nederland jaarlijks 10 miljard kost?
Haha, ja. Daar heb ik ook aan mee geschreven. Maar dat is geen bangmakerij, want die 10 miljard is maar een fractie van wat de nieuwe technologieën opleveren. Ik zei voordat het onderzoek begon nog: misschien wordt de conclusie wel dat we te weinig risico nemen.

Zegt u: te weinig?
Ja. Alle organisaties zijn het doelwit van hackers en je kunt je nooit 100% beveiligen tegen cyber risico’s. Als je wilt meegaan met de technologische ontwikkelingen moet je accepteren dat het fout gaat. Maar wees wel weerbaar. Ik vergelijk het met het menselijk lichaam. Als je thuis blijft zitten, zal jou zeker niets gebeuren. Maar als je contact wilt hebben met andere mensen is er het risico dat je een virus oploopt. Je wordt dan af en toe verkouden of ligt een dag ziek op bed. Maar als het goed is werkt je immuunsysteem en bouw je door de ziekte weerstand op.

Dus we moeten meer naar buiten?
Als je de ontwikkelingen wilt volgen en open wilt communiceren met consumenten en burgers wel, ja. Een bureaucratische organisatie is heel robuust, maar kan niet omgaan met onzekerheden. Grote, gevestigde organisaties kijken jaloers naar startups die adaptief zijn, snel schakelen en de controle loslaten.

De controle loslaten - zeiden ze dat in de boardrooms?
Ja. voor creativiteit moet je medewerkers vertrouwen geven, dan nemen zij meer verantwoordelijkheid. Daardoor wordt je wel kwetsbaarder en zal het een keer misgaan, maar daar leer je van. Dat is dat bedrag van 10 miljard. Make your mistakes small fast and cheap. Dus probeer de schade wel te beperken.

U schrijft: je moet zo sterk, flexibel en weerbaar zijn als een ballerina…
Als je de organisatie een harnas aantrekt, klinkt dat heel veilig. Maar je kunt je niet snel omdraaien en als je van het paard afvalt, lig je weerloos op de grond. Een ballerina is kwetsbaar, maar ook heel wendbaar en sterk.

Wat kun je als ballerina uitrichten tegen hackers?
Het zijn niet allemaal geharde criminelen. Je hebt white hats, grey hats en black hats. De eerste groep bestaat uit hackers die op zoek gaan naar kwetsbaarheden en die organisaties beschermen tegen aanvallen van de black hats, de bad guys, de criminelen die stelen of schade aanrichten. Bij Deloitte zijn er zeventig tot tachtig mensen die hacken in opdracht van organisaties. De grey hats vormen vermoedelijk de grootste groep en zitten in een grijs gebied, dat een hellend vlak is. Ze opereren zonder toestemming, maar hebben niet per se kwade bedoelingen. Hoewel het slachtoffer het gewoon kan ervaren als vandalisme.

Om de vijand te bestrijden, moet je die begrijpen schrijft u.
Een mooi voorbeeld daarvan is generaal buiten dienst Dick Berlijn. Hij was commandant der strijdkrachten en tegenwoordig cyber risico-adviseur bij Deloitte. In een paneldiscussie vroegen ze hem eens of we Edward Snowden moeten zien als held of vijand. Berlijn antwoordde: ‘Als we het zelfreinigend vermogen van de samenleving als vijand gaan bestempelen dan zijn we ten dode opgeschreven.’ Ik vind dat een prachtig voorbeeld van een generaal die werkt vanuit een goed begrip van de andere kant.

Wat moet ik concreet doen als generaal van een onderneming of publieke organisatie?
In de eerste plaats zorgen voor overzicht. Grote organisaties hebben een bijna onoplosbaar probleem. De grote financiële instellingen weten bijvoorbeeld niet eens wat voor IT zij hebben. Eigenlijk zouden zij alle troep moeten weggooien en opnieuw moeten beginnen. MKB’ers hebben geen geld om een speciaal veiligheidscentrum in te richten, maar zijn klein genoeg om te kunnen monitoren of er iets vreemds gebeurt. Die hoeven niet de monitoring service van Symantec te kopen. Dat is voor hen ook veel te duur. maar ze moeten wel waakzaam zijn.

Werkt beveiliging echt niet?
In de zorgsector zijn er allerlei beveiligingsrisico’s bij nieuwe apparatuur en instrumenten. Instellingen willen de verantwoordelijkheid daarvoor zoveel mogelijk leggen bij de producenten en leveranciers. De producten moeten voldoen aan lange waslijsten van beveiligingseisen. Zij zullen op hun beurt contractueel willen vastleggen waar hun verantwoordelijkheid eindigt en die van de zorginstellingen begint. Dit leidt tot een compliance gedreven aanpak, waarbij cyberrisico’s een bedreiging zijn en innovatie wordt afgeremd. Cyberrisico’s worden hierbij alleen gezien als iets dat geld kost en eigenlijk niets oplevert.

Wanneer leveren cyber risico’s wel iets op? Met andere woorden: wat is de kans?
Wat managers moeten begrijpen is dat ze zelf cyberrisico creëren door voortdurende innovatie, de vrije stroom van informatie en door empowerment van hun mensen met krachtige informatietechnologie. Als je nu heel goed bent in het beheersen van cyber risico’s, dan kun je meer en sneller innoveren, meer waarde halen uit data en meer empowerment de organisatie inbrengen. Als je de medische technologie als voorbeeld neemt: de organisatie die snapt dat je door effectief cyber risicomanagement meer innovatieve medische technologie kunt realiseren, wordt de grote winnaar.

Wat is uw advies?
Durf kwetsbaar te zijn. Het gaat een keer mis, maar daar leer je van. Kwetsbaarheid is een kracht.

Natuurlijk moet je als organisatie letten op de security van jouw IT. Maar betekent dat ook dat je vol angst wekelijks een audit moet laten doen? Natuurlijk niet, integendeel. Er valt winst te halen uit de risico’s die het informatietijdperk met zich meebrengt, betoogt Roel van Rijsewijk in zijn boek Cyberrisico als kans.

Steeds vaker verschijnen er boeken over cybersecurity. Vaak zijn dat vrij technische boeken over dreigingen, risico’s en te nemen maatregelen, bedoeld voor IT-ers en mensen werkzaam in security. Roel van Rijsewijk heeft een boek geschreven dat duidelijk anders is. Hij breekt met de traditionele benadering en stelt een paradigmaverandering in informatiebeveiliging toe en presenteert daartoe een ander, strategische verhaal over cyberrisiciomanagement.

Het boek is bedoeld voor managers, bestuurders en ondernemers. Zij zijn vaak leek op gebied van cybersecurity maar moeten wel besluiten nemen over strategie, aanpak en middelen. In het boek Cyberrisico als kans. Strategisch cyberrisicomanagement in het informatietijdperk(Roel van Rijsewijk & Boom uitgevers Amsterdam, 2016) leren zij cyberrisico’s te plaatsen in de context van internet en de informatiesamenleving, en om verantwoorde, onderbouwde besluiten te nemen om de onvermijdelijke risico’s het hoofd te bieden. 

Het boek is gebaseerd op de overtuiging dat hedendaagse organisaties die gebruik maken van digitale technologie altijd kwetsbaar zullen zijn voor aanvallen van buitenaf. De vraag is niet meer of je gehackt wordt maar wanneer. Organisaties moeten  maatregelen nemen om zichzelf, hun medewerkers, klanten en data daar zo goed mogelijk tegen te beschermen. Van Rijsewijk toont overtuigend aan dat het voorkomen van alle incidenten echter een illusie is; 100% veiligheid bestaat niet en te veel nadruk op beveiliging zal de organisatie vast zetten en gesloten maken. De uitdaging is om dit te accepteren en te kiezen voor een andere strategie. Ook managers moeten daarin hun verantwoordelijkheid nemen. Dit boek brengt de essentie daarvan overzichtelijk in kaart.

Het boek leest gemakkelijk weg. Van Rijsewijk is op zijn best als hij voorbeelden geeft zoals de geschiedenislessen over morsecode, Deep Blue en de Ottomanen. Casussen als Apple, de film The interview, PayPal en KPN laten zien hoe kwetsbaar organisaties zijn en hoe groot de gevolgen qua kosten en reputatieschade kunnen zijn en hoe een effectieve strategie er uit kan zien.

Van Rijsewijk staat een cybermanagementstrategie voor gericht op weerbaarheid, dat wil zeggen: Veilig, waakzaam en veerkrachtig. Dit levert een organisatie op met voldoende veerkracht om van fouten te leren, waar gevolgen van cyberaanvallen binnen acceptabele perken kunnen worden gehouden en waar de organisatie na een aanval, herstelt naar een hoger niveau. Het boek eindigt met concrete handvatten daarvoor. Verrassend genoeg blijken er daarbij belangrijke overeenkomsten te zijn tussen musea, teams in de Champions League, de wereld van een gevechtspiloot, en de wereld van cybersecuritymanagement.

Het boek is zeker niet bedoeld als instructie voor informatiebeveiliging en cybersecurity. Wel raakt de lezer en passant vertrouwd met vakjargon zoals hyperconnectiviteit, encryptie, phishing, script kiddies, hackers en hacktivisten, SIEM-systemen, SOC, threat intelligence, SOC, beveiligingskampioenen en hunters, security monitoring, responsible disclosure beleid, threat playbooks, red teaming, zwartezwaan-gebeurtenissen en drinkplaats-tactieken. Hij krijgt zo voldoende achtergrond en informatie om een serieuze dialoog te kunnen voeren met echte specialisten.

De schrijver is erin geslaagd om een complex vakgebied in 130 pagina’s toegankelijk te maken, en dat op een lichtvoetige wijze die leken aan zal spreken. Hij reikt enkele praktische handvatten aan om de cybersecurity hanteerbaar te maken. Het boek had wat uitgebreider mogen zijn over manieren van organiseren, organisatiecultuur en de nieuwe rol voor security-specialisten. Ook ontbreekt de link naar integrale beveiliging en hoe organisaties deze verandering van paradigma kunnen gaan maken. Maar misschien komt dat in een volgend boek. Dit smaakt in ieder geval naar meer.

Maaike van Walstijn, organisatieadviseur & veranderaar in het veiligheidsdomein