Cyberrisico’s: hoeveel risico bent u bereid te accepteren?
Cyberrisico’s: hoeveel risico bent u bereid te accepteren?
Zijn organisaties zich voldoende bewust van de risico’s binnen het cyberdomein? Uit de meest recente analyse van BDO over non-compliancerisico’s blijkt dat de publieke sector gemiddeld voor de helft van de organisaties kwetsbaar is voor cyberaanvallen. In de private sector is dit één op de drie organisaties. Tegelijkertijd geeft ongeveer de helft van alle organisaties aan sterk afhankelijk te zijn van digitale gegevensverwerking. Cybersecurityspecialist Robert van Vianen en fraudedeskundige Dick van Onzenoort van BDO delen hun inzichten over cyberdreigingen en de risicobereidheid van organisaties. "Te vaak leeft de gedachte: Dat overkomt ons niet.”
Robert: “Het is zorgwekkend dat organisaties aan de ene kant steeds afhankelijker worden van hun digitalisering en de beschikbaarheid en toegankelijkheid van hun data, maar zich aan de andere kant niet altijd bewust zijn van hun risico’s. De uitslag bevestigt het beeld dat we al jaren hebben en helaas ook zien in recente voorbeelden. Denk aan de cyberaanvallen op bedrijven zoals het moederbedrijf van Albert Heijn, Fontys Hogescholen, Mediamarkt en de Universiteit Maastricht. Maar ook kleinere organisaties en gemeenten blijven niet gespaard. Vaak heerst het idee dat ze geen interessant doelwit zijn, dat er ‘niets te halen valt’. Toch toont de realiteit iets anders: de kans op een cyberincident is 10%, en de gemiddelde schade bedraagt maar liefst € 340.000. Dat is een aanzienlijk bedrag dat veel organisaties niet zomaar kunnen dragen.”
Dick: “Fraude en cybercriminaliteit lijken soms ver van je bed, maar iedereen kent wel verhalen van bekenden of bedrijven in de omgeving die slachtoffer zijn geworden. Toch geloven veel organisaties dat het hen niet zal overkomen.”
Robert: “Totdat het een keer zo ver is... Een cyberaanval kan je hele bedrijfsvoering stilleggen. Het kan uren, soms zelfs dagen duren voordat je weer operationeel bent. En dan hebben we het nog niet eens over de situaties waarin back-ups niet blijken te werken. Ook bedrijven in de financiële sector of online dienstverlening lopen het risico compleet lamgelegd te worden. Maar ook creatieve sectoren zijn kwetsbaar. Stel je voor: jarenlang werk aan een film- of muziekproductie weg, zonder mogelijkheid om het te herstellen. Dat is desastreus.”
Dick: “Een beproefde methode, dat inschatten van kans en impact. Zo werkt een frauderisicoanalyse ook, waarbij deze inschattingen door het MT van een organisatie worden gedaan. En daarna? Maatregelen nemen?”
Robert: “Je kunt niet alles beveiligen, dus het gaat erom de belangrijkste dreigingen in beeld te krijgen. De volgende stap is om de bestaande beheersmaatregelen én de kwetsbaarheden in kaart te brengen. Zijn die maatregelen voldoende of moeten er aanpassingen plaatsvinden? En dan nog blijven er risico’s over, maar die moeten wel acceptabel zijn. Het is daarbij óók belangrijk om voorbereid te zijn op incidenten. Omdat je risico’s nooit volledig kunt uitsluiten, is een snelle en effectieve incident response cruciaal om schade te beperken en herstel te versnellen.”
Robert: “Inzicht is hier het sleutelwoord. Een organisatie — en zeker het bestuur — moet eerst bewust zijn van de potentiële bedreigingen. Gelukkig zijn er diverse normenkaders beschikbaar die helpen om cybersecurity op een hoog niveau te brengen. Het idee is om het potentiële indringers zo lastig mogelijk te maken, zodat ze hun pogingen staken en een eenvoudiger doelwit zoeken. De Europese wetgever heeft hierbij een belangrijke stap gezet met de NIS2-richtlijn. Deze regelgeving, verplicht voor een groot aantal bedrijven, helpt organisaties en hun toeleveranciers om het algehele cybersecurityniveau in kaart te brengen. Hoewel dit misschien als een administratieve last voelt, biedt het ook kansen. Het stelt organisaties in staat om ‘in control’ te komen. En dat is waar het uiteindelijk om gaat: inzicht krijgen in kwetsbaarheden en afhankelijkheden, en daar gericht actie op ondernemen."
Robert: “Het is zorgwekkend dat organisaties aan de ene kant steeds afhankelijker worden van hun digitalisering en de beschikbaarheid en toegankelijkheid van hun data, maar zich aan de andere kant niet altijd bewust zijn van hun risico’s. De uitslag bevestigt het beeld dat we al jaren hebben en helaas ook zien in recente voorbeelden. Denk aan de cyberaanvallen op bedrijven zoals het moederbedrijf van Albert Heijn, Fontys Hogescholen, Mediamarkt en de Universiteit Maastricht. Maar ook kleinere organisaties en gemeenten blijven niet gespaard. Vaak heerst het idee dat ze geen interessant doelwit zijn, dat er ‘niets te halen valt’. Toch toont de realiteit iets anders: de kans op een cyberincident is 10%, en de gemiddelde schade bedraagt maar liefst € 340.000. Dat is een aanzienlijk bedrag dat veel organisaties niet zomaar kunnen dragen.”
Dick: “Fraude en cybercriminaliteit lijken soms ver van je bed, maar iedereen kent wel verhalen van bekenden of bedrijven in de omgeving die slachtoffer zijn geworden. Toch geloven veel organisaties dat het hen niet zal overkomen.”
Robert: “Totdat het een keer zo ver is... Een cyberaanval kan je hele bedrijfsvoering stilleggen. Het kan uren, soms zelfs dagen duren voordat je weer operationeel bent. En dan hebben we het nog niet eens over de situaties waarin back-ups niet blijken te werken. Ook bedrijven in de financiële sector of online dienstverlening lopen het risico compleet lamgelegd te worden. Maar ook creatieve sectoren zijn kwetsbaar. Stel je voor: jarenlang werk aan een film- of muziekproductie weg, zonder mogelijkheid om het te herstellen. Dat is desastreus.”
BDO Forensics & Technology voert jaarlijks, in samenwerking met BDO Audit & Assurance, een uitgebreide onderzoek uit onder organisaties in zowel de publieke als private sector. Hierin wordt het bewustzijn rond fraude-, corruptie- en non-compliancerisico’s in kaart gebracht. In het laatste onderzoek, met bijdragen van bijna 700 private en 250 publieke organisaties, werd specifiek gevraagd naar hun perceptie van kwetsbaarheid voor cyberaanvallen. Ongeveer 50% van de publieke sectororganisaties noemde zichzelf kwetsbaar, terwijl dit in de private sector op 33% lag.
Hoe kan ik mijn organisatie beschermen tegen cybercriminaliteit?
Robert: “Cybercriminaliteit is een constante dreiging, 24 uur per dag, 7 dagen per week. De aard van de risico’s verandert voortdurend door nieuwe hackers, innovatieve software en ontdekte zwakheden in bestaande systemen. Het idee dat je je organisatie volledig kunt beveiligen tegen alle risico’s is een utopie. Wat wél kan, is inzicht krijgen in potentiële bedreigingen, en de kans en impact ervan zo goed mogelijk inschatten. Daarmee kun je je organisatie weerbaarder maken tegen de onvermijdelijke risico’s van vandaag en morgen. En juist omdat volledige bescherming onmogelijk is, is een goed doordachte incident response essentieel. Wanneer zich tóch onverhoopt een incident voordoet, bepaalt de snelheid en effectiviteit van je reactie in grote mate de uiteindelijke schade. Een organisatie die voorbereid is, met duidelijke procedures en verantwoordelijkheden, kan snel schakelen, impact beperken en het vertrouwen van klanten en stakeholders behouden. Incident response is daarmee geen sluitstuk, maar een integraal onderdeel van een robuuste cybersecuritystrategie.”Dick: “Een beproefde methode, dat inschatten van kans en impact. Zo werkt een frauderisicoanalyse ook, waarbij deze inschattingen door het MT van een organisatie worden gedaan. En daarna? Maatregelen nemen?”
Robert: “Je kunt niet alles beveiligen, dus het gaat erom de belangrijkste dreigingen in beeld te krijgen. De volgende stap is om de bestaande beheersmaatregelen én de kwetsbaarheden in kaart te brengen. Zijn die maatregelen voldoende of moeten er aanpassingen plaatsvinden? En dan nog blijven er risico’s over, maar die moeten wel acceptabel zijn. Het is daarbij óók belangrijk om voorbereid te zijn op incidenten. Omdat je risico’s nooit volledig kunt uitsluiten, is een snelle en effectieve incident response cruciaal om schade te beperken en herstel te versnellen.”
Welke cyberrisico’s zijn acceptabel?
Dick: “Jij noemt het acceptabele risico’s, dat klinkt ook als risicobereidheid: wat ben je bereid te accepteren, omdat je nu eenmaal niet alles kunt beveiligen? Dat zal per organisatie of misschien wel per bestuur, of beter gezegd per individu verschillen. Is daarvoor dan geen normering, in cyberland?”Robert: “Inzicht is hier het sleutelwoord. Een organisatie — en zeker het bestuur — moet eerst bewust zijn van de potentiële bedreigingen. Gelukkig zijn er diverse normenkaders beschikbaar die helpen om cybersecurity op een hoog niveau te brengen. Het idee is om het potentiële indringers zo lastig mogelijk te maken, zodat ze hun pogingen staken en een eenvoudiger doelwit zoeken. De Europese wetgever heeft hierbij een belangrijke stap gezet met de NIS2-richtlijn. Deze regelgeving, verplicht voor een groot aantal bedrijven, helpt organisaties en hun toeleveranciers om het algehele cybersecurityniveau in kaart te brengen. Hoewel dit misschien als een administratieve last voelt, biedt het ook kansen. Het stelt organisaties in staat om ‘in control’ te komen. En dat is waar het uiteindelijk om gaat: inzicht krijgen in kwetsbaarheden en afhankelijkheden, en daar gericht actie op ondernemen."
Hoe kan BDO helpen?
Wilt u meer weten over hoe u uw organisatie kunt beschermen tegen risico’s en bedreigingen? Bij BDO bieden we uitgebreide ondersteuning op het gebied van cybersecurity & Fraud Risk Management. Leer hoe u risico’s op fraude kunt identificeren, beheersen en voorkomen. Ontdek meer via Fraud Risk Management en op Cybersecurity en Privacy. Het volledige onderzoek is te downloaden via onderstaande button.
Download nu
