De toenemende digitalisering biedt niet alleen kansen voor ondernemingen, maar ook aan cybercriminelen die data van anderen gebruiken voor eigen gewin. Wat is de rol van de cfo in het beschermen van de eigen organisatie tegen cyberaanvallen?
Tekst: Sjors Rodenburg
Die vraag stond centraal tijdens de derde editie van The Financial Agenda over het digitale bedrijf, een besloten ontbijtbijeenkomst voor cfo’s, georganiseerd door Het Financieele Dagblad in samenwerking met Deutsche Bank. Want of je nu fregatten bouwt of ingrediënten levert aan bakkerijen: een bedrijfsgeheim wil je met niemand delen.
Cybercrime op één
‘Hackschandaal Yahoo veel omvangrijker’. ‘Digitale goudmijn van Amerikaanse beurswaakhond gehackt’. ‘Equifax zwaar onderuit op de beurs na geruchtmakende hack’. ‘Datalekken doen aandelenkoers kelderen’. Alleen al in de maand september publiceerde het FD bijna twintig artikelen over cybercriminaliteit.
Het toont wel aan hoe urgent het thema is. Alle cfo’s aan tafel waren het dan ook unaniem eens over het belang van het onderwerp. En over de actieve rol die een cfo hierin kan spelen. ‘Cybercrime staat bij ons in de boardroom op plek één’, vertelde een financieel directeur. ‘Het raakt niet alleen onze IT, maar de core van ons bedrijf. We moeten dit optimaal voor elkaar hebben.’
Mens zwakste schakel
Zoals wel vaker is ook hier de mens de zwakste schakel. Veel bedrijven aan tafel sturen hun personeel dan ook regelmatig op cursus. En dat is hard nodig, bevestigde een financieel bestuurder, die eraan toe voegde zelf ook wel eens in een phishing mail te zijn getrapt. ‘Bij ons bleek de helft van het personeel neppe mails te openen. Daar heb ik écht van geleerd. Het is belangrijk om zulke trainingen te blijven herhalen.’
Een andere cfo, die al jaren structureel met het onderwerp bezig is en bij een bedrijf werkt dat naar eigen zeggen dag en nacht wordt aangevallen van over de hele wereld, bekende zelf ook wel eens slachtoffer geweest te zijn van een hack. Hij verbaast zich nog steeds over de vindingrijkheid van de hackers. Zo had hij te maken met keurige nepsollicitant, van wie de meegestuurde sollicitatiebrief een virus bevatte. ‘Ik verwacht veel, maar dit niet.’
Niet geheimzinnig doen
Naast de menselijke factor is het van belang dat systemen technisch op orde zijn. Om die reden schakelen veel bedrijven ethische hackers in om hun IT-infrastructuur door te lichten. Zo vertelde een van de cfo’s aan tafel verschillende penetratietesten uit te voeren om te zien hoe goed ze eigenlijk beschermd waren. ‘Het zag er allemaal keurig uit, maar twee weken later werden we toch gehackt.’ De oorzaak: verouderde ICT die meeverhuisde met en net overgenomen bedrijf. ‘Gelukkig viel de schade mee’, voegde hij er snel aan toe.
En is die schade er wel, dan is het belangrijk om daar vooral niet te geheimzinnig over te doen, oordeelde een ervaringsdeskundige. ‘Cyberzaken komen uiteindelijk toch altijd naar buiten’, wist hij. ‘De buitenwereld is veel vergevingsgezinder dan je denkt. Daarom moet je actief naar buiten communiceren. Je moet bij wijze van spreken het persbericht al klaar hebben liggen.’
Rol van de overheid
Terwijl de Britse overheid de ambitie heeft om het meest veilige land te worden en daarom miljarden investeert om cybercrime tegen te gaan, moeten we het in Nederland met een paar honderd miljoen doen. Veel geld natuurlijk, maar een druppel op een gloeiende plaats als je uitgaat van het belang van een veilig ondernemersklimaat voor Nederland, oordeelden de cfo’s aan tafel. Ter vergelijking: grote multinationals spenderen een veelvoud van dit bedrag aan cybersecurity.
Alleen voor kleine en middelgrote bedrijven is dit onhaalbaar. Een mkb’er is relatief gezien twee keer zoveel kwijt aan een adequate cyberbeveiliging, becijferde adviesbureau Deloitte eerder. Juist daarom pleitten steeds meer mensen voor actieve overheidsbemoeienis. Ook aan tafel werd hier positief op gereageerd. ‘Bedrijven hoeven bij brand niet zelf te blussen, want binnen no-time staat de brandweer voor de deur’, stelde een cfo. ‘Dat heb je op cybercriminaliteit niet. En dat is eigenlijk wel vreemd.’