PwC: cybersecurity op orde geeft je bedrijf een voorsprong

De dreigingen van cybersecurity voor bedrijven worden steeds complexer en breiden zich steeds verder uit. Ook worden er steeds meer geavanceerde technieken gebruikt. ,,De ransomware-aanvallen door criminelen worden steeds verfijnder en gehaaider”, zegt Angeli Hoekstra, partner Cybersecurity & Privacy bij PwC. ,,Maar je ziet ook steeds meer nationstate attacks naast de ransomware, waarbij landen uit zijn op bijvoorbeeld Intellectual Property, maar ook om kritieke infrastructuur plat te leggen. Een andere dreiging houdt verband met nieuwe technologieën, zoals generative AI, waarbij phishing attacks naar een nog geavanceerder niveau getild worden, door bijvoorbeeld deepfake technieken te gebruiken en automatische response te laten plaatsvinden.

Volgens Jeroen van Kessel, partner bij PwC, gaan cybercriminelen steeds gerichter te werk. ,,Ze kijken bijvoorbeeld op LinkedIn of er functiewisselingen op een afdeling zijn geweest. Dan heb je meer kans dat iemand erin trapt dan dat er blind een phishingmailtje naar medewerkers wordt gestuurd. Het is een heel winstgevende business en er zitten heel professionele ecosystemen achter. Criminelen die heel klantgericht acteren, met een hele klantenafdeling die bijvoorbeeld de klant (lees: het gegijzelde bedrijf) helpt het ransomware bedrag te betalen.”

Meer bewustzijn bij ceo’s

Volgens Van Kessel is achter de bestuurstafels het bewustzijn over een goede cybersecurity de afgelopen jaren flink toegenomen. ,,Dat blijkt uit de CEO Survey van PwC. Daaruit komt naar voren dat het door bestuurders als een belangrijk onderwerp wordt gezien. Bij de vraag ‘wat houdt je wakker ’s nachts?’, komt dit onderwerp veel prominenter op dan drie of vijf jaar geleden. Je ziet dus dat de afgelopen jaren de bestuurlijke betrokkenheid veel groter is. Maar het is ook een uitdaging om dit uit te leggen, omdat het een heel technologisch onderwerp is. Hoe krijg je dit dan in begrijpelijke taal uitgelegd en neem je de bestuurder mee? Dat is niet eenvoudig. Hoe leg je bijvoorbeeld een bestuurder zonder IT-kennis uit wat een ‘patch’ is? Het is voor bestuurders ook een echt strategisch onderwerp geworden. Meer strategisch tegenwoordig dan tactisch. Als bescherming voor je bedrijf, maar ook om vertrouwen richting de markt uit te stralen.”

Hoekstra vindt dat aan bestuurders in businesstermen moet worden uitgelegd wat de impact is van het wel of niet hebben van bepaalde security controlemaatregelen. ,,Welke impact heeft een gebrekkige cybersecurity op de continuïteit van het bedrijf bij het leveren van producten aan je klanten? Wat is de value at risk? Dat wil je als bestuurder weten en dan gaat het voor de bestuurder ook leven.”

Bewezen ervaring

Ondernemers kunnen PwC op het gebied van cybersecurity op veel verschillende niveaus inschakelen. Het bedrijf heeft ervaring in alle elementen van het proces: van analyse en ontwerp tot het uiteindelijke risicomanagement. ,,Bedrijven hebben rond cyber verschillende uitdagingen en komen daarom met uiteenlopende vragen bij ons”, zegt Hoekstra. ,,Zoals: hoe onze cyberfunctie gepositioneerd moet worden in de business, hoe kunnen we onze informatie beveiligen, een ransomware-aanval voorkomen, een cybercrisis managen of ervoor zorgen dat klanten en leveranciers beveiligde toegang hebben tot systemen? Maar ook, hoe meten we de impact van cyberrisico's en welke controlemaatregelen zijn er nodig om deze impact te verlagen?''

,,Ze komen ook met vragen over de regulering. Daar ga je dan een overall framework voor opstellen. Voldoen aan de regulering, alhoewel een noodzaak, moet echter niet de einddoelstelling zijn. Het voornaamste doel is om ervoor te zorgen dat je klanten je producten of services kunnen vertrouwen en dat je die betrouwbaar kunt leveren. Als je hier voldoende security-controlemaatregelen voor hebt en de cyberrisico’s en impact managed, dan voldoe je voor een heel groot deel al aan de cybersecurity-eisen die specifieke reguleringen zoals bijvoorbeeld NIS2, CRA en DORA vereisen. Het enige wat je hier dan over het algemeen nog aan moet toevoegen, is ervoor zorgen dat je een goede en snelle rapportagefunctie hebt die kan rapporteren aan de autoriteiten als je te maken hebt met een cyberattack.”

Bedrijven moeten anders tegen cybersecurity aankijken

Volgens Hoekstra moeten bedrijven anders tegen cybersecurity aankijken. Het wordt nu nog gezien als een kostenpost, maar ze vindt dat het eigenlijk meer moet worden gezien als een investering die op termijn klanten kan opleveren. ,,Natuurlijk moet je ook aan de gevaren denken, maar ondernemingen moeten het meer zien als een kans. Als je als ondernemer je cybersecurity goed op orde hebt, dan komen de klanten naar jou toe en gaan ze niet naar je concurrent. Je creëert vertrouwen. Als je een toeleverancier bent voor een ander bedrijf en je hebt je cyberrisico’s niet onder controle, dan heeft dat impact op je klanten en ook op je eindklanten.''

,,Ook moet je niet alleen naar je bedrijfsprocessen kijken, maar zeker ook naar de producten die je produceert of services die je levert, daarbij moet je de cybersecurity in die producten en services ook goed op orde hebben. Ik koop geen camera bijvoorbeeld, waarbij de cybersecurity niet goed geregeld is. Ik ben bang dat anderen daar dan misbruik van maken. Dit is natuurlijk van toepassing op alle apparaten die er gebouwd worden en die een technologiecomponent hebben die ze bestuurt , zoals medische apparatuur, de meeste componenten in vliegtuigen en treinen, stoplichten, auto’s en ga zo maar verder.”

Platformonafhankelijke positie

Volgens Van Kessel en Hoekstra werkt PwC op het gebied van cybersecurity nauw samen met verschillende technologiepartners, zoals bijvoorbeeld Microsoft. Maar we zijn wel technologie-onafhankelijk. ,,We hebben allianties met verschillende technologiebedrijven en kennen alle partijen. We kiezen hieruit een technologie die bij een bepaalde klant casus het beste past. Zo bevestigen we onze onafhankelijke positie”, stelt Van Kessel.

,,Maar we maken ook security-oplossingen, zoals applicaties om inzicht te geven in de security-risico’s en om security te verbeteren. Die implementeren we vervolgens bij bedrijven. We hebben de competenties in huis om de security te verbeteren in allerlei omgevingen”, vult Hoekstra aan. Van Kessel benadrukt hierbij ook het belang van de internationale organisatie van PwC. ,,We kunnen hier een beroep doen op de hele organisatie. Dat is het voordeel als je een grote global reach hebt, zoals bij PwC.”