Hoe wapen je je tegen cyberdreiging van ongekend niveau?

‘De frequentie en ernst van cyberaanvallen neemt de laatste jaren snel toe. Daarnaast veranderen de aanvalstechnieken continu.’ Aan het woord is Sandeep Gangaram Panday, Trust Officer bij Schuberg Philis, leverancier van kritische IT voor bedrijven met vitale processen. Met cyberexpert Freddy Dezeure verkent hij het actuele cyberdreigingslandschap en wordt besproken hoe het Advanced Program Cybersecurity and Governance van TIAS kan bijdragen aan een betere cyberweerbaarheid. De nieuwe Cyberbeveiligingswet voor kritische infrastructuur en DORA voor financiële instellingen spelen daarin een belangrijke rol. 

Toename cyberdreiging
Freddy: ‘In de laatste twee à drie jaar zijn er belangrijke ontwikkelingen die de cyberdreiging hebben doen toenemen. Je hebt, zoals Sandeep al zei, de cyberaanvallen van criminelen die met ransomware bedrijven en organisaties proberen af te persen. De criminele organisaties die zich daar wereldwijd mee bezighouden zijn veel professioneler geworden. De tweede ontwikkeling zijn de statelijke actoren die zich voorheen via inlichtingendiensten beperkten tot het stelen van strategische informatie, maar zich nu ook toeleggen op destructieve operaties. 

Lam leggen logistieke keten
‘Bijvoorbeeld het lam leggen van de logistieke keten gericht op het saboteren van wapentransporten naar Oekraïne. Dat maakt dat alle elementen van de logistieke keten in Nederland zijn blootgesteld aan deze dreiging. Denk aan de haven van Rotterdam, bedrijven in de voedselvoorziening, watervoorziening, de Deltawerken, kortom alle actoren waarmee structureel de samenleving zou kunnen worden stil gelegd, zijn mogelijk blootgesteld aan vijandelijke militaire operaties. Daarvan is nog weinig direct zichtbaarheid in Nederland, maar het dreigingsniveau is hoger dan ooit tevoren.’

De schroom is ervan af
‘Spionage is natuurlijk van alle tijden, maar de frequentie en de ernst is, zoals Freddy aangeeft, inderdaad toegenomen’, reageert Sandeep. ‘Wat ik een kritische kentering daarin vind, is dat de schroom ervan af is. Vroeger was het allemaal geheimzinnig. Niemand wilde gepakt worden om politieke conflicten te voorkomen. Nu is het van “nou ja, oké we zijn gepakt, maar we gaan gewoon door”. Dat vind ik zorgelijk.

Uitdagingen voor de CISO
‘De taak van de CISO is daardoor een stuk complexer geworden’, constateert Sandeep. ‘Als CISO moet je tegenwoordig constant op de hoogte zijn van de laatste trends en ontwikkelingen in cyberaanvaltechnieken om je organisatie adequaat te kunnen beschermen. Dat kan voor een CISO die al langer in het veld zit, een behoorlijke transformatie zijn omdat nog niet zolang geleden ransomware steeds op dezelfde manier werd uitgevoerd. Nu kunnen gebruikte aanvalstechnieken op maandbasis verschillen. 

‘Verder heb je de governance uitdagingen rondom cybersecurity die, in lijn met nieuwe aangescherpte wet- en regelgeving, meer aandacht vraagt een andere vorm van rapportage en het meenemen van bestuurders. Hoe ga je dat vormgeven? Daarnaast is de rol op juridisch vlak veel complexer geworden. Neem bijvoorbeeld DORA. Dat is vierhonderd pagina’s in juridische taal geschreven tekst voor de CISO en de bestuurder, terwijl dat voorheen één regel was in de Wet op het financieel toezicht. Hetzelfde geldt voor NIS2 die van toepassing is op 12.000 organisaties in Nederland. Als je kijkt hoe NIS2 is opgebouwd, dan is dat niet zo toegankelijk. Op hoofdniveau heb je de EU-wet, dan heb je in Nederland de Cyberbeveiligingswet, daaronder het cyberbeveiligingsbesluit, en daar weer onder komen allerlei ministeriële regelingen. Dat moet je maar net weten.’

Serieuze skill gap
‘Dat betekent’, concludeert Freddy, ‘dat we op technisch en juridisch vlak een groot tekort hebben aan mensen die het allemaal weten, snappen en kunnen bijhouden. Maar ook dat er een skills gap is bij bestuurders die nu door de wet krijgen opgelegd dat ze begrijpen welk cyberrisico hun organisatie loopt en hoe ze dit kunnen beheersen. Er is een wettelijke verplichting bestuurders op te leiden.’ Sandeep: ‘Toch wil je dat bestuurders dit niet alleen doen omdat het verplicht is, maar omdat ze gemotiveerd zijn en beseffen dat ze een risico lopen als ze het niet doen. Dus niet met minimale inspanning het vinkje halen, zoals ik dat noem, maar vanuit intrinsieke motivatie de leiding willen kunnen nemen bij een serieuze cyberaanval of disruptie.’ 

Multidisciplinaire samenhang cybersecurity
‘Ons vijfdaagse cybersecurity en governance programma gaat voor een CEO van bijvoorbeeld een grote bank misschien te ver’, beaamt Freddy. ‘De opleiding richt zich vooral op mensen vanaf middelmanagementpositie in cyberveiligheid en operationele diensten die IT of andere operationele technologie implementeren en een breder kader willen om de multidisciplinaire samenhang tussen de verschillende onderdelen van cybersecurity en governance te begrijpen. Bijvoorbeeld om gemakkelijker door te kunnen groeien naar de functie van CISO of een completere CISO te worden. Onder de deelnemers bevinden zich trouwens steeds meer commissarissen en toezichthouders.’ 

Boardroom reporting in theorie en praktijk
Voor Sandeep waren de praktische inzichten van ervaren CISO’s van toonaangevende bedrijven het belangrijkste wat hij uit het TIAS-programma heeft gehaald. ‘Tijdens de colleges gaven zij als co-host hun visie uit de praktijk op de theorie in 1-2tjes met Freddy. Freddy legde een concept uit en dan was de vraag aan de CISO: “Hoe doe jij dat dan?” Bijvoorbeeld over boardroom reporting. En dan legde de CISO uit aan wie hij rapporteert, wat de inhoud van de rapporten is, of dat wekelijks of maandelijks is. Dat gaat vijf dagen zo door over verschillende disciplines met verschillende CISO’s. Zo leer je als deelnemer niet alleen de theorie maar ook zienswijzen gebaseerd op de praktijk die je zo over kunt nemen.’ 

Interactie met ervaren CISO’s van grote bedrijven
Freddy: ‘De co-hosts zijn CISO ‘s die verantwoordelijk zijn voor de complete organisatie van cyberveiligheid en weerbaarheid van grote en mature organisaties. Normaalgesproken is het onmogelijk om met hen te kunnen praten. Die krijg je niet aan de lijn. Mocht je per uitzondering in de gelukkige omstandigheid verkeren dat je een afspraak kunt maken, dan duurt het minimaal een half jaar voordat je aan de beurt bent. In ons programma zit elke dag zo’n ervaren CISO er een hele dag bij. Tijdens de colleges van de verschillende docenten geeft de persoon weerwerk, maar ook tijdens de koffie en de lunch is de CISO beschikbaar. Er is dus heel veel interactie mogelijk.’ 

Cybercrisissimulatie
Een belangrijk onderdeel van het programma is de afsluitende cybercrisissimulatie. ‘Dat was absoluut top om mee te maken’, vertelt Sandeep. Het brengt de inhoud van die vijf dagen samen. Je beseft dat als je een van de aspecten niet overziet of in je rol niet genoeg aandacht geef, dan schiet je tekort en kom ik in een echte crisis terecht. Ook ervaar je de urgentie.

Het hoofd koel houden
‘Hoe ga je om met beperkte informatie in een stresssituatie waarin veel mensen emotioneel door elkaar heen gaan praten? Kun je het hoofd koel houden? Lukt het je om op basis van de feiten te beslissen in plaats vanuit emoties? Ik denk dat dit cruciaal is om te ervaren. Want kom je daarna in een echte crisis terecht, dan heb je een framework waar je op terug kan vallen. Zodat je niet vanuit stress en emoties beslissingen neemt maar feiten op de eerste plaats zet. Dat kan je een cruciale voorsprong geven. Mega belangrijk. 

Functioneren op boardroomniveau
‘Een ander mooi punt van de opleiding’, vervolgt Sandeep, ‘is de aandacht voor governance en de communicatieve vaardigheden die daarbij horen. Bij Schuberg Philis bijvoorbeeld zijn we sterk bedreven in het meegaan met de technische ontwikkelingen, terwijl de soft skills soms minder worden belicht. Het TIAS-programma maakt je completer. Zeker nu cybersecurity een boardroom topic is geworden is dat belangrijk. De meeste CISO’s zijn immers niet gerekruteerd, gescreend en getraind om op boardroomniveau te functioneren. 

Inkijkje in gedragsrepertoire
‘Door tijdens de vijf dagen peers te kunnen spreken afkomstig van andere bedrijven en de co-hosts te horen vertellen over hoe zij het doen, krijg je en inkijkje in gedragsrepertoire qua positionering, governance en communicatieve vaardigheden. Die kun je gewoon overnemen.’ ‘Je ziet ook dat deelnemers in gelijkwaardige functies relaties opbouwen waar na het programma samenwerkingen uit voort komen’, geeft Freddy een inkijkje in de interacties tussen de deelnemers onderling. ‘Er ontstaan blijvende waardevolle netwerken. 

Meer mature en bredere professionals
‘Het Advanced program Cybersecurity and Governance bevat theoretische concepten, best practices en nieuwe inzichten, maar is geen puur academische opleiding’, stelt Freddy over de inhoud en het format van het programma. ‘Het is ervaringsgericht en vormt deelnemers tot meer mature en bredere capabele professionals.’