Cybercrime te lijf vanuit glazen huisjes

door: Anja van Balen , Eric Zwaart

De publieke sector wordt steeds vaker en harder getroffen door de gevolgen van cyber-onveiligheid. Van gestolen examens door pc-hacks en gemeentelijke datalekken tot ransomware-aanvallen op ziekenhuizen. Niet alleen kostbaar en schadelijk voor uw reputatie, maar ook uitermate vervelend voor het publiek. Patiëntendossiers zouden nooit op straat mogen liggen, studenten zouden nooit hun vakantie hoeven te cancelen vanwege digitale examenfraude. Sector bankers Public Anja van Balen en Eric Zwaart vertellen wat er volgens hen nodig is om publieke organisaties weerbaarder en dus veiliger te maken.

Het digitale boevenpad

‘De georganiseerde criminaliteit gaat mee met haar tijd en kiest steeds vaker het digitale boevenpad’, aldus Eric Zwaart. ‘Met als gevolg dat de maatschappelijke kosten van cybercrime gigantisch zijn. Jaarlijks ruim tien miljard volgens berekeningen van Deloitte, alleen al in Nederland. Ook binnen het bankwezen zien we deze verschuiving. Overvallen op kantoren en geldtransporten zijn echt iets van vroeger. Onze beveiliging is momenteel vooral gericht op de systemen. De digitale kluis om het zo maar te zeggen. Op het moment dat je je als organisatie niet wapent tegen digitale aanvallen van buitenaf, loop je tegenwoordig serieuze risico’s. De grootste: verstoring van de operationele continuïteit. Een lamgeslagen bedrijf is natuurlijk het laatste wat je wilt als bestuurder.

Profiteren van digitalisering

Als maatschappij komen we steeds dieper in cyberspace terecht. De mogelijkheden zijn er en consumenten verwachten op alle vlakken digitale oplossingen. Maar hoe zit het met de beveiliging van deze digitale revolutie? Anja van Balen: ‘Digitale dataoverdracht in de zorg gaat een grotere rol spelen. Een goede ontwikkeling voor de patiënt, want de kwaliteit van de zorg verbetert hierdoor. Van medische kennisgroei tot videoconsults met patiënten: de hele sector zal profiteren van digitalisering. Maar dan is het wel extreem belangrijk dat gegevensbeveiliging wordt gewaarborgd. Niet alleen technologisch, maar ook in het gedrag van – de vele – mensen die betrokken zijn bij de zorgketens.’

Eric Zwaart: ‘In onze ogen is er binnen de publieke sector nog te weinig urgentiebesef voor cyber-veiligheid. Niet alleen op strategisch en tactisch niveau, maar ook in de cultuur van de medewerkers. Heel tricky, want de bedreiging is reëel. Cybercriminelen zijn meester in het opsporen van zwakke plekken in de beveiliging. Daarnaast werkt ­­in hun voordeel dat ze zich niets aantrekken van wet- en regelgeving, in tegenstelling tot organisaties.

De publieke sector heeft nog een grote hindernis: zij en hun bestuurders staan in glazen huisjes. Daarmee bedoel ik dat de hele maatschappij over bestuurlijke schouders meekijkt. Zie dan maar eens snel met passende antwoorden te komen op steeds veranderende dreigingsvraagstukken. En al lukt dat wel, dan is het feit dat IT-, risk- en hr-functies decentraal zijn georganiseerd de volgende hindernis. Omgaan met de complexiteit van cyberveiligheid vraagt om tijd en capaciteit. Twee ingrediënten die meestal schaars zijn bij de uitvoerders van publieke taken.’
Anja van Balen beaamt dit beeld: ‘De publieke sector heeft ten opzichte van corporate bedrijven echt een handicap . Eisen kunnen op landelijk/centraal niveau worden vastgelegd, maar de uitvoering is belegd bij de gemeenten of individuele organisaties. De uitvoerders hebben elk hun eigen IT-systeem met een lokale staf, die eigenlijk te klein zijn om een landelijk vraagstuk aan te kunnen. Ondertussen wordt het landelijke bestuur aangekeken op fouten die lokaal worden gemaakt.’

Focus op zorg, niet op cyber

Anja van Balen ziet in de zorg nog twee belangrijke remmende factoren voor volwassen databeveiliging: ‘De eerste is het feit dat zorginstellingen het grootste deel van hun budget besteden aan de primaire zorgtaak. Ondersteunende functies als IT en compliance, met databeveiliging in hun portefeuille, moeten het met minder euro’s doen. De andere factor is de verlammende angst binnen de zorg voor datalekken. Terecht, want de boetes hiervoor zijn hoog. Databeveiliging wordt daardoor een duivels dilemma: Word je als zorginstelling een netwerkorganisatie, met het risico op een datalek? Of handhaaf je de bestaande werkwijze, maar met een volledige focus op dataveiligheid? En schuif je dan de wens van de maatschappij om zorg dichterbij de burger te brengen nog even voor je uit?’

Zwaart: ‘In alle sectoren spelen veiligheidsissues. Alleen in de publieke sector zullen op termijn ook politieke motieven een rol gaan spelen, zoals bij de hack van het Britse parlement.’ Van Balen: ‘Ik denk dat de motieven van cybercriminelen overal hetzelfde zijn. Die zijn heel plat, namelijk geld verdienen. Kijk maar naar de ransomware-aanvallen van afgelopen jaar. Maar ik sluit niet uit dat cyberrisico’s veranderen. Zorginstellingen zouden nu al moeten nadenken over hoe om te gaan met digitale bedrijfsspionage en cyberterrorisme waardoor het primaire proces tijdelijk stil kan komen te liggen. Geautomatiseerde en gerobotiseerde processen – van bricks naar clicks dus – zijn straks een steeds grotere kostenpost. Daarom is het belangrijk de focus te verbreden, en naast zorgverbetering ook naar beveiliging te kijken.

Advies

ABN AMRO adviseert organisaties altijd om in actie te komen tegen cyberdreiging. Een paar adviezen van Zwaart en Van Balen:

  • Laat je hacken Door white hat hackers, welteverstaan. Dit zijn hackers met zuivere bedoelingen, die je tonen waar de zwakke plekken in je beveiliging zitten. Ze laten je bijvoorbeeld zien hoe eenvoudig je een slecht gekozen wachtwoord kraakt.
  • Leer van andere sectoren Commerciële sectoren zijn vaak al iets verder. Welke systemen en processen gebruiken zij voor beveiligde data-overdracht? Durf over muren heen te kijken.
  • Profiteer van verander-momentum Technologische mogelijkheden geven ruimte voor nieuwe producten en diensten die vaak ‘from scratch’ gebouwd worden. Maak dan gelijk van de gelegenheid gebruik om privacy en veiligheid mee te nemen in je productontwikkeling.

Meer weten?

Op 7 november organiseert ABN AMRO een event rond het thema cyber security binnen onderwijs, overheid en gezondheidszorg. Wilt u erbij zijn? Meld u dan hier aan.