branded content
branded content XTR branded content is de commerciële content op nrc.nl. De inhoud valt buiten de redactionele verantwoordelijkheid van NRC Media.
Petra Oldengarm: ‘In de toekomst zou meer centrale regie goed zijn.’
Petra Oldengarm: ‘In de toekomst zou meer centrale regie goed zijn.’ Yvette Wolterinck
Bedrijfsbescherming

‘Cybersecurity moet echt de volle aandacht krijgen’

Cybercrime as a service. Oftewel: cybercriminelen die in de krochten van het internet geavanceerde software en diensten aanbieden die nodig zijn voor een cyberaanval. Daar zijn zelfs de beste firewalls en virusscanners niet tegen opgewassen. Op het vlak van cybersecurity moet er bij veel bedrijven dus echt nog een tandje bij. Maar hoe? Petra Oldengarm, directeur van Cyberveilig Nederland, heeft een aantal suggesties.

„Vroeger schoten cybercriminelen met hagel. Maar we zien nu dat ze hun slachtoffers heel gericht uitkiezen en dat hun aanvallen steeds geavanceerder worden. Daarbij gaat het vaak om een samenwerking van meerdere criminele groepen. Voor bijvoorbeeld ransomware en serverruimte kunnen cybercriminelen op het dark web bij ‘betrouwbare’ partijen terecht. Het gaat daarbij om criminele organisaties die zeer professioneel te werk gaan en die zelfs een eigen helpdesk hebben waar hun (criminele) klanten de nodige ondersteuning kunnen krijgen. We noemen dit Cybercrime as a service. En dat is momenteel echt een groot probleem”, weet Oldengarm.

Aangifte doen

„Door die nieuwe aanpak van cybercriminelen lijkt de frequentie van het aantal ransomware-aanvallen af te nemen, maar zijn de bedragen die de aanvallers eisen wel veel hoger geworden. Dat hoor ik in ieder geval van onze leden. Maar ik moet ook eerlijk bekennen dat we de omvang van het probleem niet heel scherp in zicht hebben. Dat komt omdat veel bedrijven niet zo happig zijn om na een cyberaanval openheid van zaken te geven en aangifte te doen.”

Van elkaar leren

„Waarom die terughoudendheid? Dat komt omdat de getroffen bedrijven bang zijn voor reputatieschade”, vermoedt Oldengarm. „En als ik zie hoe media momenteel over datalekken en cyberaanvallen schrijven, vind ik dat niet eens zo gek. Als bedrijf word je namelijk nog vaak publiekelijk aan de schandpaal genageld. Dat moet dus anders. Eigenlijk zouden organisaties reputatieschade moeten oplopen als ze datalekken of cyberaanvallen niet publiek maken. Daar moeten we naar toe. Want dan kunnen bedrijven pas echt van elkaars ervaringen leren. En die kennis kunnen we dan weer gebruiken om samen innovatieve oplossingen te ontwikkelen die bedrijven meer bescherming bieden tegen cyberaanvallen.”

Goede ontwikkeling

„Het is inmiddels wel duidelijk dat cybersecurity echt de volle aandacht moet krijgen van de top van bedrijven. Daarbij is het lastig dat veel bestuurders niet in een digitale wereld zijn opgegroeid. Maar door het nieuws over grootschalige cyberaanvallen zijn zij zich nu vaak beter bewust van het gevaar van cybercrime. Het helpt ook dat er tegenwoordig in opleidingen voor toezichthouders vaker een module over cybersecurity is opgenomen. Grotere kans dus dat die toezichthouders daar vragen over gaan stellen en dat het in de toekomst een vast onderwerp wordt tijdens boardroomgesprekken. Dat zou een goede ontwikkeling zijn.”

Toekomstdroom

Wat volgens Oldengarm ook erg zou helpen: een beter inzicht in wat er in de praktijk allemaal op het vlak van cybercriminaliteit gebeurt. „Journalisten vragen mij regelmatig wat de harde feiten zijn. ‘Die zijn er niet’, moet ik dan altijd zeggen. Dus dat is toch wel een belangrijke wens: dat we als Cyberveilig Nederland een jaarlijks onderzoek laten uitvoeren naar het dreigingsbeeld binnen de private sector. Maar dat is heel kostbaar en bovendien een complexe opgave. Voorlopig is dat dus helaas nog een toekomstdroom.”

Meer aandacht voor detectie

Hoe groot de dreiging van cybercriminaliteit precies is, kan niemand op dit moment met zekerheid zeggen. Maar ondertussen is het overduidelijk dat het om een probleem gaat dat flink uit de hand is gelopen. Cybercrime heeft niet alleen een ontwrichtende werking op grote bedrijven en organisaties zelf, maar ook op de maatschappij. De grote vraag is dus welke stappen bedrijven kunnen zetten om te voorkomen dat zij slachtoffer van cybercriminelen worden. „Vooral op het vlak van detectie is er nog een grote slag te slaan”, benadrukt Oldengarm. „Hackers zitten vaak al maanden in een systeem van een bedrijf om daar de informatie te verzamelen die ze nodig hebben om met succes een aanval uit te voeren. Om dat te detecteren, moet er bij ongebruikelijk dataverkeer dus meteen een soort van alarm afgaan. Vervolgens moeten er ook snel cybersecurityspecialisten in actie komen om het lek te dichten, de schade te repareren en maatregelen te nemen om herhaling te voorkomen.”

Centrale regie graag!

Ondertussen zijn er ook grote bedrijven en organisaties die in hun leveringsketen afhankelijk zijn van toeleveranciers. Zij stellen steeds vaker eisen aan deze toeleveranciers op het vlak van cybersecurity. Op die manier wordt de druk dus opgevoerd. Er zijn inmiddels ook bedrijven, waaronder ASML en ABN AMRO, die hun cybersecurity-kennis actief met hun ketenpartners delen. Oldengarm vindt dat een positieve ontwikkeling, maar zet er wel een kanttekening bij: „Bij het delen van die kennis zou het goed zijn als er in de toekomst meer centrale regie komt zodat dit breder wordt toegepast. Ik zie daar een belangrijke taak voor de overheid weggelegd. Hoe eerder dit wordt opgepakt, hoe beter.”

Cyberveilig Nederland is dé brancheorganisatie die zich inzet voor het vergroten van kwaliteit en transparantie in de cybersecuritysector. Ze delen kennis en kunde op het gebied van cybersecurity en laten zien dat cybersecurity niet een risico is, maar juist een kans bij de ontwikkeling van nieuwe producten en diensten.

Ondernemen is vooruitkijken #meedenkers

ABN AMRO denkt graag met je mee. Met onze kennis en ervaring helpen wij jouw onderneming verder te brengen. Bijvoorbeeld over hoe je je met de laatste innovatieve oplossingen beter kunt wapenen tegen cybercrime. Zodat jouw bedrijf ook in de toekomst relevant blijft. Ontdek meer op www.abnamro.nl/innoveren

XTR branded content is de commerciële content op nrc.nl. De inhoud valt buiten de redactionele verantwoordelijkheid van NRC Media.