Grant Thornton is een wereldwijd accountants- en advieskantoor dat naast diensten op het gebied van accountancy, belastingadvies en bedrijfsadvies, ook cybersecurity-oplossingen biedt. Het helpt organisaties met het identificeren, beheersen en verminderen van cyberrisico’s door middel van audits, risicobeoordelingen en incident response. Cybersecurity redacteur Jan Meijroos spreekt met Migiel de Wit-Beets, partner bij Grant Thornton en verantwoordelijk voor de afdeling Cyber Risk Services.
Hoe zou je in het kort jullie werkzaamheden omschrijven?
Migiel: ‘Wij bieden alle diensten aan die een organisatie nodig heeft om cyberweerbaar te worden én cyberweerbaar moet blijven. Dat gaat over governance, zorgen dat processen, mensen en techniek met elkaar in lijn zijn, tot en met de ondersteuning van technische tools, monitoring, ethisch hacken, phishing simulaties en awareness trainingen. Ons team biedt deze diensten niet aan met een compliance-gedreven benadering, maar vanuit een weerbaarheid-gedreven benadering.’
Wat is het verschil tussen een compliance-gedreven benadering en een weerbaarheid-gedreven benadering?
Migiel: ‘Veel security bedrijven zijn gedreven op compliance. NIS2 is bijvoorbeeld een stap van de overheid om compliance af te dwingen en te handhaven. Dit is goed omdat de BV Nederland dat nodig heeft. Bij Grant Thornton praten wij echter liever met onze klanten over hun ambitie: waar liggen ze wakker van, waar willen ze naartoe, wat zijn de prioriteiten en hoe kunnen we daar samen invulling aan geven? Hierdoor wordt het hun eigen ambitie en ontstaat er een andere dynamiek. Dit zorgt voor een component van verandermanagement en dat maakt ons vak zo leuk. Een organisatie kan wel compliant zijn aan de geldende wet- en regelgeving, maar daarmee wordt niet afgedwongen dat een organisatie ook weerbaar is wanneer een incident zich voordoet. Dit heeft echt een wezenlijke andere gedachte nodig.’
En? Waar liggen jullie klanten wakker van?
Migiel: ‘Onze klanten liggen wakker van het feit dat ze op een bepaald moment hun bedrijf niet meer binnen kunnen, of dat hun computers “op slot” staan. Dat ze niet weten of er een vracht komt, of waar hun verkoopmedewerkers naartoe moeten omdat ze nergens meer bij kunnen. Het zal niet de eerste keer zijn dat zoiets gebeurt. We hebben een klant gehad die ons om zes uur in de ochtend belde omdat medewekers hun eigen terrein niet op konden omdat de slagboom dicht bleef. Dan ontdekken ze dat er iets heel erg mis is.’
Als klanten jullie om zes uur ’s ochtends in paniek bellen… dan zijn ze eigenlijk te laat, toch?
Migiel: ‘Ja, eigenlijk wel. Vergelijk de situatie met een inbraak: je belt de politie pas als het huis al is opengebroken. Preventie is belangrijk, maar 100% veiligheid is een illusie. Het gaat om een basisvoorziening in cyberweerbaarheid en het voorbereiden op mogelijke incidenten. Phishing e-mails zijn tegenwoordig zo goed dat zelfs experts ze soms niet van slecht kunnen onderscheiden, mede door de opkomst van Artificial Intelligence. Daarom moet je de ontwikkelingen blijven volgen en zorgen voor snelle reactietijden en preventieve maatregelen. Wees voorbereid op een misser!’
Het kan ieder bedrijf overkomen?
Migiel: ‘Ja. Iedere organisatie in Nederland moet voorbereid zijn op een incident. Dat heeft alles te maken met weerbaarheid, die voortkomt uit de ambitie die de organisatie zelf heeft. Cybercriminaliteit gaat jouw organisatie een keer raken. Je bent een keer slachtoffer. Dat kan een week, een maand of tien jaar duren, maar de kans is groot dat het gebeurt. Als je bent voorbereid op die misser, volgt de rest van de weerbaarheid bijna vanzelf.’
Heb je nog andere voorbeelden van incidenten of potentiële gevaren bij klanten?
Migiel: ‘We zijn gevraagd door een organisatie in de transportsector om te kijken hoe veilig hun voertuigen waren. Een voertuig was toe aan onderhoud. De klant vroeg ons wat we daarmee konden doen. Binnen een halve dag hadden onze experts dit voertuig volledig op afstand onder controle vanaf een computer. Dat was leuk maar ook confronterend. Stel je voor dat kwaadwillende hackers deze mogelijkheid zouden hebben gehad? De gevolgen zijn dan niet te overzien.’
Een grote Amerikaanse retailer werd gehackt via een externe partij die de ventilatie beheerde. Dit leidde tot diefstal van duizenden creditcardgegevens. Zijn bedrijven zich voldoende bewust van ketenrisico’s?
Migiel: ‘Dit is precies waarom bedrijven preventieve maatregelen moeten nemen, preventie is echter allang niet meer voldoende. Er zullen meer en meer maatregelen genomen moeten worden om als organisatie snel weer naar een normaal productieniveau terug te kunnen gaan als het een keer misgaat. Als je met de mindset “het gaat een keer mis” je bedrijf bekijkt, heb je een ander beeld van de risico’s die er worden gelopen.’
‘Jij geeft een mooi voorbeeld over aircobeheer. Wij zien iets soortgelijks met zonne-energie. Bijna elk bedrijf heeft tegenwoordig zonnecollectoren die ontsloten worden om te kunnen meten hoeveel energie terug geleverd wordt aan het netwerk. Dit gebeurt nagenoeg altijd via een internetverbinding via het bedrijfsnetwerk.’
Kom je ook weleens bij bedrijven waar iedereen hetzelfde wachtwoord gebruikt of er geen twee-staps verificatie is?
Migiel: ‘Ja, Nog te vaak. Helaas staat het gebruik van MFA (Multi Factor Authenticatie) op mkb-niveau nog in de kinderschoenen. Steeds meer IT-partijen bieden het standaard aan als best practice van Microsoft of Google, maar de basishygiëne van een organisatie is vaak nog niet op orde. Op (mid)corporate niveau zien we gelukkig een ander beeld. Daarom vind ik het een goed initiatief wat Samen Digitaal Veilig doet en wat NIS2 brengt.’
Leg uit?
‘Het zorgt ervoor dat een heleboel partijen moeten meedoen. In de NIS2 wetgeving zit een ketenwerking, met bestuurdersaansprakelijkheid, boetes en handhaving. Dit zijn de triggers die zeker de kleinere organisatie nodig hebben om in actie te komen. Hiermee wordt de BV Nederland, maar ook die van de EU steeds een beetje weerbaarder en daarmee veiliger.’
De NIS2 richtlijn komt eraan. Is dat iets wat al leeft bij jullie klanten?
Migiel: ‘Sinds het tweede kwartaal van dit jaar hoor je wat geluiden in de markt. Ik was eerder dit jaar bij een sessie van VNO-NCW waar normaal ongeveer 25 deelnemers op afkomen. Deze keer waren er meer dan 100 deelnemers, dus we moesten uitwijken naar een andere locatie. Dit laat zien dat NIS2 meer begint te leven, ik denk vooral omdat de bestuurdersaansprakelijkheid er onderdeel van is. Commissarissen en directeuren denken nu: “Oh, wacht even, hier moeten we extra op letten”. Net zoals dat destijds het geval was met de invoering van de privacywetgeving (AVG).’
‘We zien daarnaast dat grotere organisaties die rechtstreeks onder NIS2 vallen het naar hun ketenpartners doorspelen. Die ketenpartners spelen de bal weer door naar hun leveranciers. Zo begint het voorzichtig een olievlek te worden. Ik denk dat we in Nederland de piek gaan bereiken zodra de wetgeving er echt is. Dan denkt iedereen: “Oh, we moeten echt wat gaan doen.’
Hoe kijk jij vanuit jouw expertise naar het NIS2 Quality Mark dat Samen Digitaal Veilig in licentie heeft?
Migiel: ‘Ik denk dat het echt gaat helpen. Wat ik daarnaast graag zou zien, is dat we het veel breder trekken, zodat de landen binnen de EU gelijksoortige keurmerken hebben. In België en het Verenigd Koninkrijk hebben ze een soortgelijk kwaliteitskeurmerk dat trapsgewijs een organisatie steeds weerbaarder maakt. Eerst een basisniveau voor basishygiëne, wat vooral voor kleinere bedrijven nuttig is. Vervolgens extra zaken om meer body te krijgen en je security posture aan te passen, en daarna de echte opstap richting ISO-normering waarbij je in control komt. Vergelijkbaar met de drie stappen van het NIS2 Quality Mark met de basic-, substantial- en high niveaus.’
‘Ik denk dat dit een hele goede manier is. Het zou alleen nog mooier zijn als dit ook centraal vanuit de EU zou zijn opgezet. Idealiter wil je één Europees keurmerk. Je hoeft dan als Nederlandse organisatie die in Duitsland zakendoet niet ook nog een Duits keurmerk te halen. Het zou logischer zijn om iedereen langs dezelfde meetlat te leggen, zodat je weet dat een bepaalde mate van veiligheid en weerbaarheid is betracht. Het is daarom goed dat NIS2 Quality Mark ook in het Engels beschikbaar is.’
Wat wil je mkb’ers tenslotte nog meegeven?
Migiel: ‘De wetgever zegt: “Bedrijven, jullie moeten”. Als je dat tegen de gemiddelde ondernemer zegt, dan gaat deze meteen in de weerstand. Logisch, want het leidt af van de dagelijkse gang van zaken. Het kost geld en inspanning en het heeft niet per se hun aandacht. Veel ondernemers gaan ervan uit hun IT-partij dat regelt. Wat voor het NIS2 Quality Mark pleit, is dat het heel praktisch is. Bedrijven krijgen handvatten aangereikt om een bepaald niveau te bereiken, zelf assessments te doen en te kijken waar ze staan en wij kunnen ze daarbij pragmatisch helpen. Dit helpt hen gesprekken te voeren met hun ketenpartners en bijvoorbeeld werkplek organisaties om aan te tonen hoe het geregeld is. Ze krijgen een raamwerk van klein naar steeds robuuster om hen naar een volledig niveau van cyberweerbaarheid te brengen. Dat is wat ik hier goed aan vind. Er is rekening gehouden met het niveau van de ondernemer en de proportionaliteit.’