Wordt 2021 het jaar van risico gebaseerde aanpak van cyber security?

De kosten voor cyber security lopen op, de kennis is schaars en de mate waarin wij afhankelijk zijn van veelal Amerikaanse technologie is hoog. Hierdoor zijn de mogelijkheden van de ondernemer die zich wil beschermen beperkt. De gebruikte methoden zijn al jaren niet meer ter discussie gesteld. Is het richten op kwetsbaarheden alleen wel afdoende? Is meer-en-meer van hetzelfde wel de juiste weg om te gaan?

Tegelijkertijd ontwikkelen criminele hackersgroepen nieuwe methoden en technologie om hun doelen te behalen. De toename van de wereldwijde cybercriminaliteit is en blijft onverminderd sterk. Bedrijven, groot en klein, hebben hier dagelijks last van of worden ernstig bedreigd in hun bedrijfsvoering.

Toe aan een volgende stap?

Zijn we al toe aan het herzien van onze methoden? We zullen zien. Gedurende het afgelopen jaar zijn er diverse gerenommeerde bedrijven die hier uitvoerig over publiceerden. Eind 2019 publiceerde Jim Boehm van adviesbureau McKinsey & Co een heel realistische schets van het knellende, huidige systeem. Hij gebruikte de ervaring die hij heeft opgedaan in de militaire wereld om in kaart te brengen waar we vandaan komen en wat de toekomst brengt. De conclusie? De huidige methoden bereiken het einde van hun effectiviteit, maar vooral ook het einde van de benodigde budgetten. We kijken aan tegen de volgende stap, die hij de risico gebaseerde aanpak noemt. Er zijn momenteel erg weinig partijen die genoeg kennis en ervaring hebben opgedaan om dit concreet te maken. En de tijd zal uitwijzen of deze methode het snelst slaagt in complexe, corporate omgevingen of in kleinere, wendbaardere organisaties.

Tijd en geld besparen

Ook BitSight, marktleider als het gaat om security ratings en security performance management, publiceert over de inzet van risico gebaseerde cyber security als een middel om tijd en geld te besparen. Bedrijven richten zich met deze methode niet meer op het behalen van 100% veiligheid en de regeldruk vanuit compliance. Dit omdat hun risico altijd centraal staat bij het nemen van beslissingen over tijd en geld. De effectiviteit van de inzet en daarmee het rendement wordt meegewogen. Er wordt pragmatisch gewerkt aan de verlaging van het realistische ondernemersrisico dat cyber incidenten met zich meebrengt. De zinvolle inzet van mensen en middelen staat centraal. Hierbij geldt altijd: meten is weten. Data is het belangrijkste vraagstuk, want hoe verkrijg je de juiste data om dergelijke beslissingen te kunnen nemen? In latere blogs kom ik daar uitgebreid op terug.

Onze situatie

Ook in Nederland zijn we bezig met risico gebaseerde cyber security. Alleen realiseren we ons dat nog niet zo goed. De Cyber Security Raad vraagt zich af welke technologie er nodig is om ons effectiever te beschermen. En terecht. Vanuit de wetenschap komt de reactie dat er eerst goed nagedacht moet worden over welke systeeminformatie een hoog niveau van bescherming nodig heeft. Daar begint het. Afgeleid daarvan stelt de wetenschap ook de vraag of we onze bescherming wel moeten baseren op technologie vanuit landen die een heel ander idee hebben over veiligheid, privacy en wetgeving dan wij hier in Europa. De focus op Nederlandse en Europese beschermingsmiddelen wordt daarin geadviseerd.

De op risico gebaseerde aanpak van cyber security

Wat betekent het, een aanpak op basis van risico? Dan is de eerste vraag die we moeten beantwoorden: waaruit bestaat risico? Risico bestaat traditioneel uit het product van de kans op een negatieve impact en de omvang ervan. In de wereld van cyber risico’s valt de kans uiteen in dreiging en kwetsbaarheid. Het goede nieuws is dat kwetsbaarheidsmanagement al volop verankerd is in de 100% security methoden. Daar zit dan ook niet de winst. De grootste winst is te behalen in effectiviteit en tijdigheid van het hanteren van dreiging. Of zoals de CISO van Microsoft Canada, Kevin Magee het in januari 2021 treffend stelde: “For a long time we’ve been focussing on deflecting the arrows, now we have to start to think about the archer”.

Hoe is dit de opmaat naar anders werken?

Wetenschap leidt ons naar datgene wat we proberen te beschermen. En technologie wijst de weg in de richting van dreiging. Kwetsbaarheidsmanagement hadden we al onder de knie. De driesprong waarop deze wegen samenkomen lijkt dan ook niet meer ver weg. Dreiging, kwetsbaarheid en impact. Daar speelt de op risico gebaseerde aanpak van cyber security zich op af. In de komende weken bloggen we verder over de zinvolle inzet van mensen en middelen om het cyber risico te verlagen. Dan komen er ook vragen zoals “Hoe dan?” aan bod. Dank voor uw aandacht en graag tot dan.

 
Bronnen:

• Artikel McKinsey & Co. (2019) https://www.mckinsey.com/business-functions/risk/our-insights/the-risk-based-approach-to-cybersecurity
• Artikel BitSight (2020) https://www.bitsight.com/blog/a-risk-based-approach-to-cybersecurity-can-save-time-and-money
• Rapport Rathenau Instituut (2020) https://www.rathenau.nl/en/digital-society/cyber-resilience-new-technology