‘Gebruik cybersecurity om je als bedrijf te onderscheiden’

‘Als je bedrijf door een cyberaanval een week stilligt of als de producten of diensten die je levert niet veilig zijn, kan dit je vele klanten en miljoenen kosten. Vertrouwen is heel belangrijk in het bedrijfsleven. Het goed regelen van je cybersecurity in je bedrijf en in je producten en diensten is dus hetzelfde als proactief werken aan je merkreputatie’, stelt Angeli Hoekstra, partner cybersecurity & privacy bij PwC.

De dreigingen van cybersecurity voor bedrijven worden steeds complexer en breiden zich steeds verder uit. Ook worden er steeds meer geavanceerde technieken gebruikt. Hoekstra: ‘De ransomware-aanvallen door criminelen worden steeds verfijnder en gehaaider. Maar je ziet ook steeds meer zogeheten nationstate-attacks naast de ransomware, waarbij landen uit zijn op bijvoorbeeld intellectueel eigendom, maar ook om kritieke infrastructuur plat te leggen. Een andere dreiging houdt verband met nieuwe technologieën, zoals generative AI, waarbij phishingaanvallen naar een nog geavanceerder niveau getild worden, door bijvoorbeeld deepfake-technieken te gebruiken en automatische response te laten plaatsvinden.’

Volgens Jeroen van Kessel, partner en technologie-expert bij PwC, gaan cybercriminelen steeds gerichter te werk. ‘Ze kijken bijvoorbeeld op LinkedIn of er functiewisselingen op een afdeling zijn geweest. Dan heb je meer kans dat iemand erin trapt dan dat er blind een phishingmailtje naar medewerkers wordt gestuurd. Het is een heel winstgevende business en er zitten heel professionele ecosystemen achter. Criminelen die heel klantgericht acteren, met een hele klantenafdeling die bijvoorbeeld de klant (lees: het gegijzelde bedrijf) helpt het ransomwarebedrag te betalen.’

Meer bewustzijn bij CEO’s over goede cybersecurity

Volgens Van Kessel is achter de bestuurstafels het bewustzijn over een goede cybersecurity de afgelopen jaren flink toegenomen. ‘Dat blijkt uit de CEO Survey van PwC. Daaruit komt naar voren dat het door bestuurders als een belangrijk onderwerp wordt gezien. Bij de vraag ‘wat houdt je wakker ’s nachts?’, komt dit onderwerp veel prominenter op dan drie of vijf jaar geleden. Je ziet dus dat de afgelopen jaren de bestuurlijke betrokkenheid veel groter is. Het is voor bestuurders ook een echt strategisch onderwerp geworden. Meer strategisch tegenwoordig dan tactisch. Als bescherming voor je bedrijf, maar ook om vertrouwen richting de markt uit te stralen.’

‘Bedrijven hebben rond cyber verschillende uitdagingen en komen daarom met uiteenlopende vragen bij ons’, zegt Hoekstra. ‘Zoals: hoe de cyberfunctie gepositioneerd moet worden in de business, hoe kunnen we informatie beveiligen, een ransomware-aanval voorkomen, een cybercrisis managen of ervoor zorgen dat klanten en leveranciers beveiligde toegang hebben tot systemen? Maar ook, hoe meten we de impact van cyberrisico's en welke controlemaatregelen zijn er nodig om deze impact te verlagen?’

‘Ze komen ook met vragen over de regulering. Daar ga je dan een overallraamwerk voor opstellen. Voldoen aan de regulering, alhoewel een noodzaak, moet echter niet de einddoelstelling zijn. Het voornaamste doel is om ervoor te zorgen dat je klanten je producten of services kunnen vertrouwen en dat je die betrouwbaar kunt leveren. Als je hier voldoende security-controlemaatregelen voor hebt en de cyberrisico’s en impact managet, voldoe je voor een heel groot deel al aan de cybersecurity-eisen die specifieke reguleringen als NIS2, CRA en DORA vereisen. Het enige wat je hier dan over het algemeen nog aan moet toevoegen, is ervoor zorgen dat je een goede en snelle rapportagefunctie hebt die kan rapporteren aan de autoriteiten als je te maken hebt met een cyberaanval.’

Bedrijven moeten anders tegen cybersecurity aankijken

Volgens de PwC’ers moeten bedrijven anders tegen cybersecurity aankijken. Het wordt nu nog gezien als een kostenpost, maar ze vinden dat het eigenlijk meer moet worden gezien als een investering die op termijn klanten kan opleveren. Hoekstra: ‘Natuurlijk moet je ook aan de gevaren denken, maar ondernemingen moeten het meer zien als een kans. Als je als ondernemer je cybersecurity goed op orde hebt, komen de klanten naar jou toe en gaan ze niet naar je concurrent. Je creëert vertrouwen. Als je een toeleverancier bent voor een ander bedrijf en je hebt je cyberrisico’s niet onder controle, heeft dat impact op je klanten en ook op je eindklanten.’

‘Ook moet je niet alleen naar je bedrijfsprocessen kijken, maar zeker ook naar de producten die je produceert of diensten die je levert. Daarbij moet je de cybersecurity in die producten en diensten ook goed op orde hebben. Ik koop geen camera bijvoorbeeld, waarbij de cybersecurity niet goed geregeld is. Ik ben bang dat anderen daar dan misbruik van maken. Dit is natuurlijk van toepassing op alle apparaten die een technologiecomponent hebben die ze bestuurt, zoals medische apparatuur, de meeste componenten in vliegtuigen en treinen, stoplichten, auto’s en ga zo maar verder.’

Samenwerking met technologiepartners

Op het gebied van cybersecurity werkt PwC nauw samen met verschillende technologiepartners. ‘We hebben allianties met verschillende technologiebedrijven en kennen alle partijen. We kiezen hieruit een technologie die bij een bepaalde klant het beste past. Zo bevestigen we onze onafhankelijke positie’, stelt Van Kessel.

‘Maar we maken ook security-oplossingen, zoals applicaties om inzicht te geven in de risico’s en om security te verbeteren. Die implementeren we vervolgens bij bedrijven. We hebben de competenties in huis om de security te verbeteren in allerlei omgevingen’, vult Hoekstra aan.

Dit artikel is ook gepubliceerd op deondernemer.nl.