Cyber rating, het verwachte sterke signaal
Een cyberrating zoals een nutriscore? Naast de NIS2-richtlijn oppert Fabrice Hecquet het idee van een permanente beoordeling voor alle bedrijven.
“Waarom zouden we ons niet laten inspireren door NIS2 en het begrip cyberrating voor alle bedrijven invoeren? Ik denk dat onze autoriteiten daarmee een sterk signaal zouden afgeven aan de economische wereld. In een steeds competitievere omgeving zouden we ons zo kunnen onderscheiden door een ecosysteem van vertrouwen.”
Volgens Fabrice Hecquet, oprichter van CyberXpert, zijn er tegenwoordig twee soorten bedrijven: bedrijven die anticiperen op cyberrisico’s en bedrijven die eronder lijden. Anticiperen is beheren. En voorstellen is inspiratie putten uit financiële ratings, uitgevoerd door historische bureaus zoals Moody’s of Standard & Poor’s en extrafinanciële ratings. De rating is één ding; vertrouwen kweken tussen publieke of private, economische en financiële spelers is een ander.
“Het principe zou hetzelfde moeten zijn voor cyberrating, deze rating van de cyberveiligheid van bedrijven en hun ecosystemen. In onze ultraverbonden wereld is de cyberrating als een high-definition beeld van de prestaties en volwassenheid van een bedrijf op het gebied van cyberbeveiliging. Dit voorstel is in overeenstemming met de geest van de Europese cyberscore die in oktober volgend jaar wordt ingevoerd: gebruikers beter informeren over de bescherming van hun onlinegegevens…
Een onderscheidende factor voor onze KMO’s en VSE’s
Het is duidelijk dat de cyberscore een succes wordt. Dankzij deze rating, die alle elementen in verband met de publieke activa van een bedrijf combineert, maar ook meer gedragscriteria in verband met de “cyberhygiëne” van zijn teams, kan het bedrijf waardevolle informatie delen met regelgevende instanties, financiële partners en zelfs zijn klanten.
Meer dan een beoordelingsinstrument en dus een communicatie-instrument, is het een langetermijnmaatstaf om zijn team aan deze permanente inspanning te binden. “In het Belgische economische weefsel, dat gebaseerd is op onderaanneming via een groot aantal KMO’s en VSE’s, zou dit een echte differentiator kunnen zijn.”
Zoals het Ponemon Institute opmerkt, neemt het cyberrisico met betrekking tot bedrijfsecosystemen toe. De voorbeelden van de overvallen op Solarwinds of Kaseya hebben door hun wereldwijde gevolgen aangetoond dat deze indirecte aanvallen door rebound via een provider zeer ernstig moeten worden genomen. Indirecte cyberaanvallen zitten in de lift, en aanvallers maken steeds vaker gebruik van de vertrouwensrelaties die zijn opgebouwd tussen bedrijven en hun leveranciers om toegang te krijgen tot de vertrouwelijke gegevens die zij begeren. “Als mijn slotenmaker per ongeluk mijn sleutels van mijn flat aan de hele buurt geeft, is dat niet veilig!”
Meer dan alleen declaratieve vormen
Fabrice Hecquet illustreert zijn punt aan de hand van het voorbeeld van industriële onderaannemers. Deze komen tussenbeide wanneer de klant niet over de vaardigheden of de capaciteit beschikt om zelf in te grijpen. “Integratoren en andere onderhoudsbedrijven zijn de klassieke spelers; zij worden vandaag nog steeds beschouwd als zwakke schakels in de veiligheidsketen van het ecosysteem. Maar in werkelijkheid kunnen ook andere onderaannemers een bedreiging vormen, zoals ontwerpbureaus en leveranciers van componenten of subsystemen. Zij staan in contact met industriële bedrijven, maken deel uit van de onderaannemingsketen en zijn daarom naar analogie een doelwit voor cybercriminelen. Omdat zij betrokken zijn bij systeemspecificatie, ontwerp, ontwikkeling, integratie, inbedrijfstelling, systeemvalidatie of onderhoud, is de kans groot dat zij vertrouwelijke documenten delen wanneer leveranciers verbonden zijn met het informatiesysteem van het doelbedrijf.“
Hoewel veel organisaties hun eigen TPRM-programma’s (Third Party Risk Management) opzetten, vaak gebaseerd op zelfbeoordelingsvragenlijsten, kom je daar niet ver mee omdat ze zo tijdrovend en declaratief zijn. Met zijn niet-intrusieve aanpak komt de -Europese- Board of Cyber-oplossing, voorgesteld door CyberXpert, in het bereik van de meest efficiënte instrumenten.
NIS2, essentiële entiteiten en belangrijke entiteiten
Deze visie sluit aan bij de filosofie van de NIS2-richtlijn. Het bijzondere van deze tekst is dat hij niet langer beperkt is tot enkele marktdeelnemers van vitaal belang, zoals het geval was onder de NIS 1-richtlijn, maar het aantal sectoren waarvoor verplichtingen gelden – van zeven tot elf – uitbreidt door ze toe te passen op de gehele onderaannemingsketen. Om de gevolgen van de toepassing van NIS 2 te beperken, is een drempel van 50 werknemers vastgesteld, maar de lidstaten kunnen hiervan afwijken om redenen van kritisch belang voor bepaalde “kleine” actoren. Bovendien maakt de richtlijn een onderscheid tussen “essentiële” en “belangrijke” entiteiten.
Deze kritieke en belangrijke entiteiten zullen “passende technische, operationele en organisatorische maatregelen moeten nemen om de risico’s in verband met de beveiliging van netwerken en informatiesystemen te beheren”. Dit omvat bijvoorbeeld risicoanalyse, maatregelen om de bedrijfscontinuïteit te waarborgen (bijvoorbeeld back-upbeheer), netwerkbeveiliging, auditing van de getroffen maatregelen, opleiding in goede cyberhygiëne, gebruik van cryptografische technieken, goede toegangscontrole en gebruik van multifactor-authenticatieoplossingen.
Voortbouwen op NIS2 … en verder gaan
Met de uitbreiding van de betrokken sectoren en organisaties en een toename van de beveiligingseisen voor informatiesystemen zou er mechanisch een harmonisatie van het wereldwijde niveau van cyberbeveiliging moeten ontstaan. En dat is goed”, zegt Fabrice Hecquet. “Als we vandaag wachten op de omzetting van de NIS2-richtlijn in Belgische wetgeving, denk ik dat we die kunnen gebruiken als inspiratie om verder te gaan, en zo onze autoriteiten aan te moedigen om het begrip cyber rating op grotere schaal te overwegen!”
Iedereen zou er baat bij hebben. In wezen is de aanpak deugdzaam. Deze “score” vormt een krachtige, begrijpelijke en permanente indicator voor het topmanagement – een concept dat op financieel gebied al wordt beheerst, maar dat op het gebied van cyberbeveiliging nog ontbreekt. De evolutie van de score zou het ook mogelijk maken de doeltreffendheid van een correctief actieplan voor de randdiensten van het informatiesysteem van de onderneming te rechtvaardigen en te kwantificeren. Het is ook de mogelijkheid om zich op een gemeenschappelijke basis te benchmarken met zijn concurrenten en mogelijk van cyberbeveiliging een marketingtroef te maken; om het niveau van cyberbeveiligingsvolwassenheid van zijn partners te beoordelen op een objectievere basis dan declaratieve vragenlijsten.
