Jan De Bondt
Een EPC-score voor je woning, een energielabel voor je koelkast, een maximaal CO2-niveau voor je wagen, … tegenwoordig geven we alles een label om na te gaan of het product dat we aanschaffen kwalitatief in orde is. Ook in de financiële wereld zie je ratings om na te gaan of het bedrijf solvabel en betrouwbaar is. Maar hoe weet je dat jouw partners op vlak van IT-security voldoen, zeker met die strenge GDPR-richtlijnen en bijbehorende boetes in het achterhoofd? We moeten er niet flauw over doen: hoe digitaler onze economie wordt en hoe meer data in de cloud staan, hoe aantrekkelijker het wordt voor hackers om data te stelen. Ik geef hier één getal mee: 531.596.111. Dit is het aantal databestanden dat wereldwijd in één maand (september) werd gestolen. Op jaarbasis gaat dit vlot boven de 10 miljard records. Dat is een 10 met negen nullen!
Bovendien is niemand veilig. Het gebeurt zowel in grote multinationals, bij overheden als in de gemiddelde Vlaamse kmo. Sla er de nieuwsberichten van de voorbije weken en maanden maar op na: een DDoS-aanval op de digitale platformen van de Britse politieke partij Labour, hackers die 6,8 miljoen USD-dollar (ransomware) eisen van het Mexicaanse oliebedrijf Pemex, … en lokaal waren er uiteraard Asco in Zaventem en recenter een cyberaanval op de Universiteit Antwerpen en industrieel producent Picanol. Cybercrime is dus één van de grootste bedrijfsrisico’s aan het worden voor bedrijven en organisaties. Het heeft niet alleen impact op de dagelijkse werking en de omzet – sommige bedrijven liggen dagen plat – ook voor de reputatie van een bedrijf doet dit geen deugd.
Cybersecurity rating
Het is helaas vaak pas na zo een hack dat cybersecurity op de agenda van de Raad van Bestuur komt, en dat de vraag van de IT-dienst om een degelijk cybersecuritybeleid niet in dovemans oren valt. Alleen is dat cyberrisico moeilijk uit te leggen door de IT-verantwoordelijke. Hij spreekt in technische termen terwijl het in de Raad van Bestuur vaak over de cijfertjes gaat. Of de Raad van Bestuur stelt zich vragen bij de grote investeringen in cybersecurity die IT vraagt, omdat ze ervan uitgaat dat de kans dat het bedrijf gehackt wordt relatief klein is. (Ze zien ook niet hoeveel aanvalspogingen er met een goede security-oplossing kunnen worden tegengehouden.)
Eigenlijk moeten bedrijven naast een financiële rating die hun kredietwaardigheid in beeld brengt, ook een cyber security rating krijgen. Een cijfer of lettercode die in een oogopslag duidelijk maakt – voor de buitenwereld en businesspartners – hoe goed een bedrijf tegen cybercriminaliteit is beschermd. Dat is even belangrijk. Die objectieve score maakt het aspect cybersecurity wel begrijpelijk bij de bestuurders.
Want stel dat jouw onderneming veel investeert in security en volledig in orde is met de strengste regelgeving, dan verwacht je ook van al je partners (en klanten) dat zijn op hetzelfde niveau aan hun cyberbeveiliging werken. Maar hoe onderzoek je dat nu? Met een onafhankelijke Security Rating zou je dat zo achterhalen, en weet je met welke partijen je veilig kan samenwerken. Dat wordt in de toekomst een verkoopargument.
Ook bij overnames kan het een rol spelen. Als de security rating van jouw bedrijf A+ is en je wil een ander bedrijf overnemen dat slechter scoort (C-), dan kan je objectief berekenen hoeveel dit zou kosten om het IT-beveiliging op hetzelfde niveau te brengen. En kan je dit eventueel meenemen in de prijsonderhandelingen.
Jij kijkt voor de aankoop van een koelkast toch ook naar de beste energielabels? Waarom dan niet kijken naar cyber security ratings als je zaken doet?
De auteur, Jan De Bondt, is Head of Cybersecurity Advisory Services bij SecureLink-Orange Cyberdefense.