BAROMETER
HOUD DE CIJFERS VEILIG! Cyberaanvallen kunnen de continuïteit van de business sterk in het gedrang brengen of kunnen data compromitteren. Cyberveiligheid moet dus hoog op de agenda van de CFO staan.
CFO MAGAZINE #205 23
23 CFO MAGAZINE #205
KOEN MACHILSEN & ERIK AERTS CYBERSECURITY EN PRIVACY SPECIALIST & INFORMATION SECURITY SPECIALIST BIJ EY
CYBERVEILIGHEID IS EEN SLEUTELELEMENT IN DE DIGITALE INNOVATIE Digitalisering, automatisering, robotisering, … het zijn woorden die organisaties – en CFO’s – steeds vaker in de mond nemen. Deze zijn dan ook essentieel om ‘futureproof’ te worden, om te innoveren, om te groeien. Maar met deze vooruitgang horen uiteraard ook heel wat nieuwe uitdagingen. Cyberveiligheid is daar één van… M AÏTÉ HO LVO ET | JE RRY DE BRIE
LEES DIT ARTIKEL INDIEN U WILT WETEN: • Waarom cybersecurity steeds crucialer wordt voor organisaties • Hoe u een sterk cybersecuritybeleid uitbouwt • Hoe u de belangrijkste risico’s in kaart brengt
ERIK AERTS heeft een achtergrond in IT en is sterk technisch onderlegd in applicatieontwikkeling. Vandaag is hij Information Security Specialist bij EY. KOEN MACHILSEN werkt al bijna tien jaar bij EY. Hij is verantwoordelijk voor cybersecurity en privacy. Hij heeft een achtergrond in IT security operations en managed services. Hun team levert adviesverlening rond cybersecurity en privacy voor de niet-financiële sector. Ze zijn met 19 en willen op korte termijn groeien naar 25.
Elk bedrijf is een potentieel slachtoffer geworden. Koen Machilsen: “Veel bedrijven digitaliseren hun kernprocessen en brengt cybersecurity risico’s in het hart van hun business.” Dit maakt dat organisaties inherent een doelwit geworden zijn. Uiteraard is niet elke organisatie een mikpunt, maar zeker wel onbedoeld slachtoffer. Elke organisatie moet dus
met cyberveiligheid bezig zijn. Een cyberaanval vormt namelijk een enorm risico voor bedrijven waarvan de impact gigantisch kan zijn. Bovendien komt het steeds vaker voor. Cyberveiligheid kunnen we dus best een hoeksteen voor digitale innovatie noemen. RISICO’S & GEVOLGEN 65,63% van de respondenten van de CFO Barometer rond cyberveiligheid stelden in het verleden al een cyberaanval op hun systemen vast. 90% verhoogde permanent de opvolging van cyberveiligheid in hun organisatie als gevolg hiervan. Een cyberaanval meemaken is uiteraard niet prettig... Maar wat zijn nu de concrete risico’s en de gevolgen? Erik Aerts stelt dat het eerst en vooral essentieel is de risico’s in kaart te brengen. “Cruciaal is natuurlijk het identificeren van de risico’s. Zijn er kwetsbaarheden? Werden er in het verleden al verdachte zaken of data lekken geconstateerd? Voor organisaties is het essentieel om te weten wat de risico’s zijn, hoe frequent ze voorkomen en daarbijhorend: welke kost is er verbonden aan de risico’s?” We zetten een aantal van de meest cruciale risico’s op een rijtje om een beeld te geven: “Een eerste belangrijk risico is de continuïteit. Als je digitalisering doorvoert in de kernprocessen van de organisatie of de finance afdeling, kan een cyberaanval een grote impact hebben op de continuïteit van de dienstverlening.”
Een ander risico is wanneer een organisatie geen duidelijke aanpak heeft om om te gaan met een cyberincident. De kans dat een cyberincident zich voordoet, bestaat altijd, hoe goed de cyberveiligheid ook is. De resultaten van de CFO Barometer tonen aan dat de meerderheid van de respondenten geen procedures en richtlijnen heeft in het geval van een cyberincident. We komen hierop terug. “Een derde risico is het bewustzijn onder de medewerkers. Organisaties moeten hun werknemers bewust maken van de gevaren. De meeste breaches vinden vandaag namelijk nog steeds de oorzaak bij social engineering of phishing.” Medewerkers klikken vaak, zonder beter te weten, op een phishingmail en laten zo een hacker binnen. Firewalls bieden vandaag onvoldoende bescherming. Het is dus cruciaal om in te zetten op een goede beveiliging, maar medewerkers ook goed in te lichten over alle potentiële gevaren. Gelukkig blijkt uit de CFO Barometer dat bedrijven en CFO’s sterk inzetten op het creëren van awareness onder de medewerkers. Alle respondenten geven aan dit te doen. 80% van de respondenten geeft zelfs aan opleiding voor de medewerkers van de financiële afdeling inzake cybersecurity en cyberattacks aan te bieden. Het niet goed indekken tegen deze risico’s kan dus grote gevolgen hebben voor bedrijven. Erik Aerts: “Een hack kan financieel zware gevolgen hebben, maar kan ook een impact hebben op 25 CFO MAGAZINE #205
KOEN MACHILSEN: 12,5%
21,88%
JA 65% 65,63%
“Veel bedrijven digitaliseren hun kernprocessen en brengt cybersecurity risico’s in het hard van hun business. Dit maakt dat organisaties inherent een doelwit geworden is.
de reputatie van een organisatie. Ook het verlies van vertrouwelijke data kan enorme schade aanrichten.” Koen MaWerden reeds in het verleden cyberaanchilsen nuanceert: “Onder financiële vallen op uw systemen vastgesteld? schade kunnen heel wat zaken onderge■ Ja bracht worden. De kost van de tijd die ■ Nee ■ Ik weet het niet het duurt om het bedrijf weer up and running te krijgen, kan al hoog oplopen.” Daarnaast kan er ook verlies van productietijd optreden bij een cyberaanval, alsook het verlies van geproduceerde goederen wanneer de kwaliteit niet meer 5% kan worden gegarandeerd als gevolg 5% van de cyberaanval. Eventueel kunnen er ook proceskosten verbonden zijn aan een hack – klachten van klanten die beantwoord moeten worden wanneer bijvoorbeeld hun persoonsgegevens gelekt werden. Erik Aerts: “Opvallend is dat slechts 20,83% van de respondenten de operationele impact van een hack in 90% de financiële analyse rekent. We stelden eerder al dat er verschillende vormen van financieel verlies bestaan. Mij lijkt Indien een aanval reeds heeft plaatsgedat opmerkelijk, omdat de operationele vonden, wat werd vervolgens ondernoimpact ook een gigantisch financieel men qua opvolging? gevolg kan hebben.” ■ Permanente verhoogde opvolging ■ Tijdelijk verhoogde opvolging Een cyberaanval kan naast financieel■ Geen specifieke opvolging en dataverlies en reputatieschade ook gevolgen hebben op de strategische voordelen van een bedrijf op de markt. “Een voorbeeld hiervan is wanneer hackers kostbare R&D data stelen en doorverkopen aan concurrenten.” Bijzonder is dat uit de resultaten van de survey 10,71% blijkt dat slechts 37,5% van de respondenten analyses of simulaties uitvoert om de impact van en de respons op cy25% beraanvallen in kaart te brengen. Hoe moeten bedrijven de impact nu in kaart brengen? Erik Aerts: “Dit wordt typisch gedaan bij een business impact analyse.” In dergelijke analyses worden 64,29% business processen en data geanalyseerd om na te gaan wat er zou gebeuren in het geval van een hack, wanneer Nemen de budgetten voor cybersecurity de beschikbaarheid van die processen of toe in de komende 12 maanden? die data in het gedrang komt gedurende ■ Ja een uur, twee uur,… een dag, twee dagen. ■ Nee ■ Ik weet het niet Er wordt ook nagegaan wat er gebeurt
JA 64%
CFO MAGAZINE #205 26
indien de confidentialiteit van die data geschaad wordt. Steeds worden de impacten in kaart gebracht en gescoord. De meest kritische zaken die uit deze business impact analyse blijken, zijn de zaken die het meest belangrijk zijn voor de organisatie, de zogenaamde crown jewels.” Deze data moet je prioriteit geven in de implementatie van je veiligheidsbeleid. De IT systemen kan je proactief laten doorlichten door middel van ethical hacking om te weten waar de zwakheden van IT systemen liggen. PROCEDURES We haalden het al aan: uit de survey blijkt dat meer dan de helft van de respondenten (57,14% om precies te zijn) geen procedures in plaats heeft om om te gaan met een cyberaanval. Erik Aerts: “Concreet betekent dit dat meer dan de helft van de CFO’s niet weet hoe hij of zij moet reageren in het geval van een hack of data lek. Voor organisaties is het nochtans kritisch om gepast om te gaan met cyberincidenten. Hoe gaan we ermee om? Hoe kunnen we de continuïteit van de business garanderen of met minimale impact herstellen? Ik denk dat dat belangrijke vragen zijn die gesteld moeten worden binnen elk bedrijf.” Koen Machilsen. “Er zijn zes pijlers die bedrijven kunnen gebruiken om een goede strategie uit te werken rond het beheer van cyberincidenten. Belangrijk is het samenvloeien van de continuïteit en de cyber respons. Vandaag is cybersecurity een cruciaal onderdeel in crisis management en business continuïteit.” Wat zijn dan die zes pijlers? - het proactief beperken van de risico’s en het evalueren van mogelijke schade. - de effectieve response: hoe kan een bedrijf ervoor zorgen dat in het geval van een hack de business er zo weinig mogelijk onder lijdt en tijdig kan hersteld worden? - compliance: aan wie moet een breach gerapporteerd worden? In het geval van bijvoorbeeld een privacy breach
14,29% 3,57%
JA 82% 82,14%
Heeft u voldoende vertrouwen in uw cybersecurity om de correctheid van uw financiële data te garanderen? ■ Ja ■ Nee ■ Ik weet het niet
10,71%
32,14%
NEE 57% 57,14%
Heeft de CFO procedures voor het geval een leverancier van data (vb. payroll) het slachtoffer is van een cyberaanval? ■ Ja ■ Nee ■ Ik weet het niet
ERIK AERTS:
“Medewerkers moeten zich bewust zijn van cyberveiligheid. De meeste breaches doen zich vandaag namelijk nog steeds voor via social engineering of phishing.”
moet de Belgische Privacy Commissie gecontacteerd worden. - verzekering tegen schade veroorzaakt door een cyberaanval. Koen Machilsen: “Ik vind het trouwens heel vreemd dat bedrijven zo zelden gebruik maken hiervan. Ik denk dat het komt door het feit dat het weinig gekend is en dat bedrijven zich meer focussen op beveiliging in plaats van op nadenken over ‘wat als’. Er wordt verwacht dat cyberrisico’s
binnen een aantal jaar een niet verzekerbaar risico zal zijn.” - communicatie: hoe communiceer je naar de medewerkers, media, klanten…? Zoals we eerder aanhaalden kan een cyberincident of hacking grote gevolgen hebben voor de reputatie van een organisatie. Een heldere en eenduidige communicatie is essentieel om die schade te beperken. - het legale aspect: hoe dient er omgegaan te worden met klachten die
16,67%
JA 37%
37,5%
45,83%
Worden/werden simulaties uitgevoerd in de onderneming om de effecten van, en de respons op cyberaanvallen in kaart te brengen? ■ Ja ■ Nee ■ Ik weet het niet
27 CFO MAGAZINE #205
11,11%
22,22%
11,11%
55,56%
Van welke van deze financiële zaken werd/wordt de impact in kaart gebracht? ■ ■ ■ ■
Accounts Payable Accounts Receivable Bankrekeningen Personeelsrekeningen
20,83%
20,83%
NEE 58% 58,33%
Is er in de onderneming een financiële analyse van de kost van de impact van een cyberaanval op de onderneming?
KOEN MACHILSEN:
“Ik geloof dat wij nog bij geen enkel bedrijf een evaluatie gedaan hebben waar we geen hoge risico’s geïdentificeerd hebben. Overal is er wel risico op inbraak in IT, op medewerkers die verleid worden in een phishingcampagne te trappen enzovoort.
■ Ja ■ Nee ■ Ik weet het niet
20,83% 33,33%
JA 20% 45,83%
Wordt de operationele impact (vb. tijdsverlies, machinestilstand) meegerekend in de financiële analyse? ■ Ja ■ Nee ■ Ik weet het niet CFO MAGAZINE #205 28
worden neergelegd en hoe kan je als organisatie zelf klacht indienen? Iets dat we zeker nog moeten vermelden in dit kader, zijn de relevante reguleringen. Erik Aerts: “Ik denk dat er een zekere maturiteit ontstaat. Europa begint hier ook steeds meer op te sturen – GDPR heeft al vaak het nieuws gehaald, maar ook NIS richtlijn (Network and Information systems Security nvdr.) voor kritische infrastructuur komt er aan.” De doelstelling van de richtlijn is om de doeltreffendheid van de digitale informatiesystemen te verbeteren, de cybercriminaliteit te bestrijden en het internationaal beleid inzake cybersecurity en de cyberdefensie van de EU te versterken. “Er is voor organisaties nog heel wat verbeteringspotentieel…”
FUTUREPROOF? Uit de survey blijkt dat bij 64,29% van de respondenten de budgetten voor cyberveiligheid zullen toenemen in de komende twaalf maanden. Erik Aerts: “Hieruit blijkt dat bedrijven er aandacht aan blijven geven. Opmerkelijk is wel dat veel respondenten vinden dat hun organisatie goed beveiligd is tegen cyberaanvallen, maar toch hun budget verhogen. Dit is een beetje tegenstrijdig.” Koen Machilsen: “Het is inderdaad zo dat veel bedrijven vertrouwen hebben in hun cybersecuritysystemen, maar dat er soms nog meer werk aan is dan ze denken. Het is zeker nodig om te blijven investeren in cyberveiligheid. Wij hebben nog bij geen enkel bedrijf een evaluatie gedaan waar we geen hoge risico’s geïdentificeerd werden.” Er is dus zeker
ERIK AERTS:
33,33%
“Een hack kan financieel zware gevolgen hebben, maar kan ook een impact hebben op de reputatie van een organisatie. Ook het verlies van vertrouwelijke data kan enorme schade aanrichten”
JA 41% 41,67% 25%
nog werk aan de winkel, zeker omdat er ook steeds meer gewerkt wordt met nieuwe technologieën. Werkelijk alles wordt tegenwoordig geconnecteerd met het internet; camera’s, gebouwen, productiesystemen, … Vanuit die optiek moet er inderdaad nog meer aandacht gaan naar cyberrisico’s en er verder in geïnvesteerd worden. Verder valt ook op dat binnen het budget de verantwoordelijkheid over cybersecurity bij 92,86% van de respondenten bij IT gelegd wordt. “Ik denk dat
dat goed is, zolang dat het niet inherent verwacht wordt en zolang IT betrokken is bij de digitaliseringsinitiatieven van de business. Typisch groeit een initiatief rond cyberveiligheid vanuit IT, maar stoot het op weinig ondersteuning uit de business. De vraag naar cyberveiligheid moet echter vanuit de business komen. Business moet hier meer verantwoordelijkheid in nemen. Het is dan aan de CFO om de voedingsbodem te voorzien en voldoende budget vrij te maken om het hele verhaal waar te maken.”
Is finance volgens u in staat om de financiële continuïteit van de onderneming (boekhouding en financiële rapportage) te garanderen in het geval van een zware cyberaanval? ■ Ja ■ Nee ■ Ik weet het niet
CYBERSECURITY REGAINED: PREPARING TO FACE CYBER ATTACKS
EY lanceerde recent ook een global survey rond cyberveiligheid. Daaruit blijkt dat: • 87% van de respondenten vindt dat ze 50% meer budget willen voor cyberveiligheid • 77% vindt dat een onachtzame medewerker het grootste gevaar vormt voor een aanval • 12% denkt dat ze een gesofisticeerde aanval zouden opmerken • 63% van de organisaties rapporteert vooral rond cyberveiligheid binnen de IT functie alleen • 89% zegt dat hun cybersecurity niet volledig beantwoordt aan de noden van de organisatie
CFO BAROMETER De CFO Barometer is een onafhankelijk researchinitiatief van de redactie van CFO Magazine in samenwerking met EY. Bij een representatief staal van om en bij de tweehonderd Belgische CFO’s van middelgrote tot grote multinationale ondernemingen werd een vragenlijst omtrent een actuele CFO-topic afgenomen. De focus van de CFO Barometer is lokaal, waardoor de resultaten heel representatief zijn voor de Belgische markt en de CFO Barometer een benchmarktool wordt voor de in België actieve CFO. De resultaten worden hier weergegeven en becommentarieerd door specialisten en geïllustreerd met praktijkervaringen.
29 CFO MAGAZINE #205