Cybersecurity wordt een steeds belangrijker thema, het aantal incidenten en de impact ervan is de afgelopen jaren steeds verder toegenomen. John Hermans, partner bij KPMG IT Advisory, ziet dat het voor bedrijven moeilijk is om de juiste aanpak te kiezen en dit soort criminaliteit adequaat te bestrijden. De aanpak van cybercrime is in het algemeen erg versnipperd, waardoor er aan het eind van de streep onvoldoende aandacht is voor het uiteindelijke risico voor de organisatie. Uiteindelijk blijkt ook de onvoorspelbaarheid van cybercrime een groot risico.
Bedrijven lijken steeds meer bewust te worden van de risico’s van cybercrime. Desondanks gaat slechts 20 procent in op de dreigingen. Vanwaar deze discrepantie?
‘Interessant is dat aan de ene kant mensen niet willen dat gegevens publiek naar buiten komen. Dat doen ze pas als ze het allemaal goed in het slotje hebben. Het delen van kennis, informatie en interne dreigingen op het gebied van cybersecurity zie je wel gebeuren in de gesloten kring, maar richting het publiek zijn de meeste organisaties daar toch wel terughoudend in. Van een jaarverslag verwacht ik meer. Vooral vanwege de mate van digitalisering die organisaties doorvoeren, dus er zit gewoon een zeker risico. Je kunt het gewoon als een strategisch risico benoemen en dan hoef je naar mijn mening helemaal bang te zijn dat je mensen uitnodigt om te gaan proberen hoe veilig zo’n organisatie nou eigenlijk is.’
De diepgang waarmee de bedrijven over dit soort risico’s rapporteren wordt bovendien steeds kleiner. Zorgelijk?
‘Natuurlijk is het zorgelijk dat organisaties minder melding maken in jaarverslag en steeds minder bespreken. Aan de andere kant heb je de mate waarin boardmembers tegenwoordig geïnformeerd zijn. Als ik dat vergelijk met drie jaar geleden is dat gewoon ontzettend gegroeid. Die discrepantie is voor mij dan ook onverklaarbaar.’
Uit onderzoek van KPMG blijkt dat het bestuur steeds meer verantwoordelijk wordt. Nemen de bestuursleden ook hun verantwoordelijkheid?
‘Je ziet dat het onderwerp steeds meer op de agenda van het bestuur komt. Drie jaar geleden was dat een onderwerp wat niet op de tafel kwam. Het was een onderwerp wat men veel te technisch vond en niet begreep. Je ziet dat de discussie over cybersecurity veel meer plaatsvindt. Ik zie in de praktijk dat de accountability steeds meer naar de businesskant gaat. Dat is een heel goede zaak.’
Waarom is dat een goede zaak?
‘Volgens mij moet je iemand verantwoordelijk maken voor het afvangen van strategisch risico’s. Omdat het zo strategisch is, moet het op bestuursniveau. Het bestuurslid is over het algemeen beter geïnformeerd, accountability voor dit soort thema’s richting bestuur wordt geheven in plaats van de IT-kant, wat vroeger het geval was. Het is gewoon een strategisch risico, wat een bepaalde impact kan hebben op de toekomst van je bedrijf.’
Is cybercrime momenteel de grootste dreiging voor bedrijven?
‘Als je in de quartaire sector actief bent, zijn er grotere dreigingen dan cyber. Er zijn zeker dreigingen die net zo belangrijk zijn. Cyberrisico zul je moeten behandelen als risicomanagement. Het is namelijk ook weer niet zo dat de wereld stilstaat zonder cybersecurity. Zo erg is het ook weer niet. Iedere bestuurder andere risico’s die net zo belangrijk zijn voor het bedrijf. Het is wel zo dat het een steeds prominentere rol inneemt. Je ziet steeds meer discussie. Het begrip groeit en er is ook meer gevoel van de impact van cybercrime. Als je dit thema al langere tijd adresseert, zal cybercrime beheersbaarder zijn.’
Is het dan het meest onvoorspelbare risico?
‘Cybercrime is inderdaad een van de onvoorspelbare risico’s voor organisaties, dus waarom komt het niet gewoon in het jaarverslag? Waarom worden incidenten maar mondjesmaat gemeld? In het kader van cybersecurity zijn we de weerman van de jaren 50. Als je wilde weten wat het weer wordt, keek je naar buiten. Met de nattevingerwijze peilde je of het ging regenen. Je ziet door het ontbreken van data rondom incidenten dat de onvoorspelbaarheid er nog in zit. Je ziet dat het heel erg aan het verbeteren is met heel veel research. Er wordt veel meer historische data opgebouwd en er komt een tijd dat cybercrime minder onvoorspelbaar zal zijn. Want cybercrime heeft juist een heel hoog onvoorspelbaar karakter. Ik ben 49 jaar, rijd auto, heb een drukke baan. Een verzekeraar zou perfect kunnen berekenen wat precies de kans is dat ik slachtoffer word van een verkeersongeluk, omdat we zoveel actuele data hebben. Door actuele data te verzamelen kunnen we ook meer voorspelen. Als jij in die sector zit, in dat land, met dat product. Dan kunnen we de likelihood berekenen waarmee je met cybercrime te maken krijgt. Momenteel is dat heel moeilijk.’
