Recente onderzoeken, zoals PwC’s CEO Survey, laten zien dat cybersecurity doordringt tot de bestuurskamers. CEO’s begrijpen dat actuele boardroom-thema’s zoals weerbaarheid, supply chain management en digitale transformatie afhangen van de eigen IT-systemen en die van hun zakenpartners.

Grote gevolgen
“Cybercriminaliteit is de afgelopen jaren dichtbij gekomen”, zegt Marcel van Eemeren, CEO en oprichter van ON2IT, één van de grootste cybersecurity dienstverleners van Nederland. “Gemeenten, universiteiten en bedrijven als Hoppenbrouwers Techniek, Mediamarkt en industrieonderneming VDL werden slachtoffer.

Zij vormen het topje van de ijsberg. Meer dan negentig procent van de ondervraagde organisaties in een recente Deloitte-enquête bleek minstens één cyberincident te hebben meegemaakt. De dreiging van operationele disrupties, omzetverlies en reputatieschade is reëel. In Ierland is de totale gevolgschade van een ransomware-aanval op vier ziekenhuizen bijvoorbeeld begroot op honderd miljoen euro. Dat was tien jaar geleden onvoorstelbaar.”

Meer dan technologie
Dat cybersecurity in 2023 op de agenda van directies staat, wil nog niet zeggen dat gesprekken erover per se soepel verlopen. IT-ers en bestuurders spreken ieder hun eigen taal. “Bestuurders denken als generalisten in grote lijnen over cybersecurity”, zegt Van Eemeren, “Hoe weerbaar zijn wij, tegen welke risico’s? Doen we de juiste dingen met ons cybersecurity-budget? Hoe verhouden onze cybersecurity-investeringen zich tot de kans dat we slachtoffer worden – is het budget te hoog of te laag? Dat zijn goede vragen.”

CISO’s en IT-afdelingen komen daarop met vaak technologische antwoorden die niet echt aansluiten bij die vragen, weet Van Eemeren. “Tegelijk zoeken CIO’s en IT-directies zelf oplossingen en aanbieders die hen helpen het probleem te beheersen. Veel organisaties hebben door de tijd een lappendeken van deeloplossingen van verschillende leveranciers opgetuigd. Die werken nauwelijks samen en zijn niet opgewassen tegen de groeiende bedreigingen.”

Eén kwetsbaarheid is genoeg
Kwetsbaarheden in software en menselijke fouten liggen altijd op de loer. “De verdediger moet bij honderd procent van de dreigingen tijdig de juiste verdediging gereed hebben. Een hacker heeft intussen aan één kwetsbaarheid genoeg om binnen te komen”, merkt Van Eemeren op. Hij ziet sinds enkele jaren wel vooruitgang in de relatie tussen bestuurders en IT-specialisten. “Toch is een strategische, breed gedragen benadering van cybersecurity nog zeldzaam. De meeste CEO’s denken: ‘ik hoop dat mijn hoofd IT snapt wat er moet gebeuren’.”

De opkomst van de strategische Zero Trust benadering voor cybersecurity maakt het verbinden van de boardroom met IT-ers makkelijker. “Zero Trust geeft de CEO en cybersecurity-teams een gemeenschappelijke taal”, zegt Van Eemeren. “Het biedt mogelijkheden om strategische prioriteiten te vertalen in technische oplossingen. Het reikt een model aan om beheersing meetbaar te maken.” De bedenker, John Kindervag, schreef vijftien jaar geleden al over de noodzaak om cybersecurity anders te benaderen. Hij was toen een roepende in de woestijn – maar nu niet meer. Zijn inzichten zijn inmiddels breed geaccepteerd, vooral in de VS. De Zero Trust-strategie is daar sinds 2021 zelfs verplicht voor alle overheidsinstellingen, inclusief het ministerie van Defensie.

Never trust, always verify
Kindervag besefte vroegtijdig dat ontwikkelingen als de cloud, smartphones en thuiswerken het concept van een beveiligd bedrijfsnetwerk met vertrouwelijke gegevens onbruikbaar zou maken. Gevoelige data kan nu overal staan, en dus moeten we in 100 procent van de gevallen verifiëren en inspecteren wie er toegang toe wil. Rond zijn mantra never trust, always verify formuleerde Kindervag enkele eenvoudige strategische uitgangspunten. De belangrijkste: verifieer en inspecteer altijd wie toegang wil.

Bestuurders snappen deze Zero Trust strategie, want ze denken al vanuit risico’s. Van Eemeren: “De aanpak gaat niet uit van technologie, maar van de meest waardevolle digitale kroonjuwelen van een organisatie. Zero Trust vraagt van organisaties om alle data en applicaties groepsgewijs in kaart te brengen en per cluster aanvaardbare risico’s vast te leggen.”

Beperk kans en impact 
Het benoemen en vastleggen van de waarde van alle digitale assets geeft een IT-afdeling een objectieve en meetbare leidraad voor rapportage. Van Eemeren: “Voorheen kwam cybersecurity neer op ‘alle data en programma’s tegen alle mogelijke aanvallen beschermen’. Dit voorkomen van alle datalekken en ransomware vergt een onbeperkt budget. Het werkt ook niet.”

Bedrijven als ON2IT, die de Zero Trust aanpak al vroeg omarmden, hebben ruime ervaring met Zero Trust als een integrale managed dienstverlening. “Wij hebben het algemeen geaccepteerde vijf stappen model voor de implementatie van Zero Trust bijvoorbeeld geïntegreerd in ons cloudplatform. Daarop hebben zowel de CEO, de CISO en de IT-afdeling relevante dashboards over hun Zero Trust- progressie.”

Inhaalslag Europa
De VS lopen voorop met Zero Trust. Naast de wettelijke plicht zijn er kaders om de volwassenheid te meten en er zijn budgetten voor de invoering. Van Eemeren ziet Europa langzaamaan ook in beweging komen. “De nationale cybersecurity-centra in Europa kennen Zero Trust. Zo propageert het Nationaal Cyber Security Centrum (NCSC) het, omdat organisaties die de benadering omarmen, aantoonbaar minder vatbaar zijn voor externe en interne
aanvallen.” Maar het moet sneller, vindt Van Eemeren. “Europa heeft de General Data Protection Regulation (GPDR) al. Maak ook van Zero Trust een wettelijke plicht met glasheldere beoordelingscriteria.” Hij is daarbij hoopvol over de invoering van de Europese NIS2-richtlijn, die moet bijdragen aan Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties.

NIS2 beveelt de Zero Trust-strategie expliciet aan. Net als de GDPR is NIS2 omgeven met aansprakelijkheden en potentieel hoge boetes. Dat bevordert de behoefte aan beslissingen over cybersecurity op strategisch niveau en het Zero Trust-gedachtegoed. “Wij spreken op dit moment veel bestuurders met vragen over wat de NIS2-richtlijn voor hen gaat betekenen. Daarbij vragen ze ook hoe ze kunnen voorkomen dat cybersecurity een bodemloze put wordt. Het antwoord is: Zero Trust.”

Wat is Zero Trust?
Een inbraak kan altijd plaatsvinden, maar Zero Trust zet in op het minimaliseren van de kans dat dit gebeurt en de impact (in tijd en kosten) ervan. Dat kan door alle data en toepassingen op te delen in segmenten met eigen passende beveiligingsmaatregelen. Passend betekent: gebaseerd op de waarde van de data, het risicoprofiel en eventuele verplichte maatregelen van toezichthouders of brancheorganisaties (compliance). De compartimentering voorkomt dat een geslaagde hack direct een hele organisatie kan platleggen. ‘Zero Trust’ betekent letterlijk ‘nul vertrouwen’. Het gaat daarbij voor John Kindervag niet om het vertrouwen van personen, maar van hun smartphones, laptops en netwerken. Een hacker kan bijvoorbeeld malware op iemands pc installeren. Daardoor kan met hun login ransomware worden verspreid zonder dat die persoon het weet. Vandaar: never trust, always verify.