Cybersecurity: geen IT-issue meer, maar een boardroomkwestie

Van commerciële luchtvaart naar militair toestel

Vroeger konden we onze datacenters vergelijken met de commerciële luchtvaart. De buitenwereld was relatief veilig en het doel was vooral klanten zo veilig en comfortabel mogelijk hun “digitale reis” te laten maken. Natuurlijk waren er risico’s, maar die konden grotendeels met techniek en procedures worden ondervangen.

Vandaag is dat beeld achterhaald. In een digitale oorlog moeten diezelfde datacenters opereren als militaire vliegtuigen. Ze moeten hun eigen veiligheid borgen, maar ook voortdurend voorbereid zijn op actieve aanvallen uit een vijandige omgeving. Zoals elke generaal weet: je moet je niet voorbereiden op de vorige oorlog, maar op de volgende. Alleen: hoe ziet die eruit als ‘opeens’ AI overal wordt ingezet, zowel bij de aanval als de verdediging? Wat als je wordt aangevallen door honderden AI-agents die elke mogelijke zwakheid proberen te vinden? Of een AI-agent van je klant ‘ontspoort’ en laat een spoor van data-corruptie in je datacenter achter?

Wat als de dijk echt breekt?

Alles is het laatste jaar in een vreemde beweging geraakt. AI versterkt niet alleen onze verdedigingslinies, maar geeft aanvallers net zo goed nieuwe wapens. In dit spel van aanval en verdediging is het naïef te denken dat er toch geen doorbraken of ongelukken zullen gebeuren. De vraag is steeds serieuzer niet óf, maar wannéér je als organisatie wordt getroffen. Ruim 20.000 geslaagde ransomware aanvallen afgelopen jaar. Ongelooflijk!!

Jaguar Land Rover

De verantwoordelijkheid ligt in de boardroom

Daarmee komt de verantwoordelijkheid nadrukkelijk in de boardroom te liggen. Risicomanagement gaat niet meer alleen over verzekeringen en brandveiligheid, maar over digitale continuïteit en overleven. Het is niet genoeg om “een pondje extra” bij je cloudleverancier af te nemen. Bestuurders moeten weten welke processen en data echt cruciaal zijn en welke mate van bescherming en soevereiniteit daarbij noodzakelijk is. Kun je al je eieren in één cloudmandje blijven leggen? Hoeveel mandjes moet je hebben om uitwijk van systeem of leverancier hebben? En moeten die mandjes misschien dichter bij huis staan, binnen de eigen wet- en regelgeving? Ondersteund door binnenlandse leveranciers of channelpartners die eindverantwoordelijkheid over die soevereiniteit nemen?

Wie zit er in de cockpit?

De luchtvaartanalogie blijft leerzaam. Een militair toestel is voorbereid op vijandige aanvallen, heeft mogelijkheden om die ‘af te schudden’ en heeft zelfs een schietstoel om de piloot te redden. In een commercieel toestel kan dat niet, daar moet je bij een storing alles doen om snel veilig en gecontroleerd te landen. Stel dezelfde vragen eens voor je digitale diensten en data. Wie zit er in de cockpit? Wie beslist wanneer een noodlanding nodig is, ook al is dat op een ongewenste plek? En altijd op een ongewenst moment. En wat betekent dat voor de continuïteit van je organisatie, voor je klanten? Zelfs als er geen slachtoffers vallen, kan de economische schade catastrofaal zijn. Heb je de noodscenario’s klaarliggen en zijn de mensen getraind?

En vooral niet voorbereiden op de vorige oorlog, maar op de volgende. Dat betekent: niet alleen repareren of toevoegen wat nog ontbrak, maar bedenken hoe een toekomstige aanval kan uitpakken. Niet alleen denken aan beschermen, maar ook aan wat er gebeurt als het toch een keer misgaat. Hoe overleef je? Hoe kun je achterhalen wat er fout ging? Hoe kun je geconditioneerd weer opstarten? Hoe communiceer je met klanten en shareholders, als je überhaupt nog communicatiemiddelen hebt? Heb je een overlevingspakket samengesteld voor het geval je datacenter en internet ineens wekenlang uitvallen? En is er een tijdelijke uitwijkoptie beschikbaar als een herstart langer – wellicht maanden – gaat duren? Heeft je leverancier of leveringspartner dit soort voorzieningen?

Wat te doen na de crash?

eerder geschreven

De digitale oorlog is realiteit

Boven alles geldt dat de verantwoordelijkheid niet langer bij de ingehuurde CIO of CISO kan worden neergelegd. Bestuurders en toezichthouders moeten zich uitspreken over hoe digitale risico’s worden beheerst, of de afkoopsommen worden betaald en hoe de continuïteit wordt verzekerd. Met wereldwijd meer dan 20.000 geslaagde ransomware-aanvallen per jaar is de digitale oorlog geen toekomstscenario meer, maar een realiteit. En die realiteit raakt niet alleen bedrijven, maar ook nationale veiligheid en politieke stabiliteit.

Risicomanagement als Chefsache

De drukte op beurzen, de scherpe discussies bij rondetafels en de groeiende lijst van slachtoffers maken duidelijk dat digitale veiligheid geen operationele randvoorwaarde meer is, maar een strategisch vraagstuk. Het raakt direct aan de continuïteit van organisaties en zelfs aan nationale autonomie. De vraag welke digitale processen en data je zelf soeverein moet houden – binnen je eigen juridische en bestuurlijke kaders – en waar internationale leveranciers een rol kunnen spelen, moet in de boardroom worden beantwoord.

Bij mijn huidige activiteiten als ad interim CTO bij bedrijven zie ik dat security en business continuity als onderwerp steeds vaker terugkomen. Digitale transformatie vraagt ‘Safety and continuity by design‘ – intern, extern en als ingekocht product of dienst – en vraagt dus adequaat risicomanagement. Steeds vaker wordt dit ook onderdeel van mijn begeleiding van organisaties. Het is niet de snelheid maar vooral de volledigheid die de uiteindelijke kwaliteit bepaalt.

En om dit in eenvoudige bewoordingen aan board en toezichthouders uit te kunnen leggen, want helaas is bijna geen enkele bestuurder werkelijk ervaren op dit gebied. Daarna gaat het vooral om het vaststellen van de juiste vorm en inhoud, inclusief gecommitte slagkracht, noodzakelijke capaciteiten en natuurlijk de budgetten om dit binnen relatief korte tijd te implementeren.

wezenlijkop mijn blog