PKF Wallast stelt (IT-)kroonjuwelen veilig
Het aantal cyberincidenten is sinds de uitbraak van corona verdrievoudigd (!). En het aantal groeit nog steeds enorm, ziet Björn Roskott, Partner IT Audit & Risk Advisory bij PKF Wallast. Hij adviseert bedrijven over de beveiliging van hun datasystemen. De belangrijkste les? Zie cyber als een bedrijfsrisico.
11 april 2023 | minuten lezen
“Wat valt er bij mij nou te halen?”, Björn hoort het van allerlei ondernemers die hij spreekt over informatiebeveiliging. Maar cybercriminelen richten zich allang niet meer alleen op banken en multinationals. Ook de zzp’er uit de polder loopt risico. ‘De meest voorkomende cyberaanval is nog altijd ransomware’, weet Björn. ‘Daarbij raakt een computer geïnfecteerd doordat de gebruiker op een onveilige link klikt. De criminele organisaties die daarachter zitten schieten met hagel en kijken wat lukt, wie er hapt. Het maakt ze daarbij niets uit welk type organisatie je hebt.’
Doordat thuiswerken gebruikelijk is en systemen steeds verder aan elkaar gekoppeld worden, wordt het risico op én de impact van een cyberaanval steeds groter. Een cyberincident kost de gemiddelde mkb’er zo’n 250.000 euro! Dat zijn kosten voor herstel van de IT-omgeving, het inhuren van specialisten en een groot deel zit in de omzet die een ondernemer misloopt. ‘Wie afhankelijk is van een website voor verkoop mist natuurlijk omzet als de hele website platligt. Een deel daarvan wordt misschien uitgesteld, maar een ander deel zien ze nooit meer terug. Klanten lopen naar de concurrent en van de voorraden klopt niets meer.’
Dus stoppen met hybride werken en weer met pen en papier aan de slag? ‘Zeker niet’, lacht Björn. ‘De digitalisering zal alleen maar verder toenemen. We willen over de hele wereld kunnen werken en in allerlei verschillende samenwerkingsvormen. Neem een bouwonderneming, die werkt tegenwoordig met andere bouwpartners samen in een digitale omgeving waarin alle informatie over het project staat. Dat is alleen maar fantastisch! Maar het wordt voor organisaties steeds urgenter om de risico’s goed in kaart te brengen en de juiste maatregelen te treffen.’
Risicoanalyse
PFK Wallast adviseert klanten bij alle fasen van een onderneming zoals oprichting, financiering, internationale expansie of duurzaamheid. ‘We bespreken de thema’s en risico’s die relevant zijn voor een ondernemer; informatiebeveiliging hoort daar als vanzelfsprekend bij.’ Björn en zijn collega-IT-specialisten adviseren organisaties hierover op basis van een vierstappenplan. De eerste stap is inventariseren welke informatie en processen cruciaal zijn voor het voortbestaan van de organisatie. ‘Als het hart van het productieproces het niet meer doet, dan ligt de hele organisatie plat. Wij noemen dat de digitale kroonjuwelen van de onderneming; die moeten koste wat kost beveiligd worden.’
Als er goed zicht is op de “kroonjuwelen” is het tijd voor een risicoanalyse: nagaan wat er echt góed mis kan gaan en hoe de organisatie dit kan voorkomen. Belangrijk hierbij is om een cyberaanval niet als IT-risico te bestempelen, maar als een risico voor de gehele bedrijfsvoering. ‘Als een organisatie gijzelsoftware om de oren krijgt, dan is de IT-afdeling wel heel druk, maar de gevolgen zijn zichtbaar in het hele bedrijf. Als bijvoorbeeld een transportbedrijf alle klantgegevens kwijt is, weten de chauffeurs niet meer waar ze naartoe moeten rijden. Als een ondernemer goed snapt welke risico’s hij loopt, dan voelt het logisch om er passende maatregelen tegenover te zetten, en daarin te investeren.’
Brandoefening
En dan: testen! Net als een brandoefening, kan een organisatie ook een cyberoefening doen. ‘Elke week een back-up maken is mooi, maar als nooit wordt getest of die back-up ook teruggezet kan worden, heeft het weinig zin. Voordat een organisatie alles weer in de lucht heeft, zitten ze – bij wijze van spreken – bij de rechtbank voor hun faillissement. We adviseren bedrijven om een keer een hersteltest te doen om te leren wat er ingewikkeld is aan het proces. Zo ontdekken ze bijvoorbeeld dat de reserve-contactenlijst versleuteld is en ze hier ook niet bij kunnen. Door dat te weten, kun je het anders inrichten en zorgen dat je er wél bij kunt als het echt nodig is.’
Last but not least: het borgen van de maatregelen in continue verbetering. ‘Binnen organisaties is het vaak gebruikelijk dat ze in allerlei managementtools verbetercyclussen hebben, maar bij cyber doen ze dat niet. Wij adviseren om periodiek na te gaan of de risico’s die zijn geïnventariseerd nog kloppen en of de maatregelen die zijn getroffen nog daadwerkelijk helpend zijn.’
Hoe hoog de urgentie ook is, IT-veiligheid is één van de moeilijkste onderwerpen om op de agenda te krijgen, ervaart Björn. ‘We doen een beetje zendingswerk’, zegt hij met een knipoog. ‘Onze missie? Bedrijven laten inzien dát ze risico’s lopen. Het belangrijkste is om duidelijk te maken dat het een om een risico in de bedrijfsvoering gaat en het niet alleen zaak is van de IT-afdeling. Als organisaties dat beseffen, zijn ze vaak bereid om te investeren in de IT-veiligheid.’