Jaarlijkse cybersecurity IT audits. Prima idee, maar alleen als je het goed doet!
De discussie over de cyberweerbaarheid van Nederlandse bedrijven blijft zich ontwikkelen. En dat moet ook want er moet nog veel gebeuren op dit gebied. Vooral wat betreft bewustwording bij de juiste mensen. Je kunt elke willekeurige krant open slaan om te beseffen dat cybercriminaliteit alom aanwezig is en dat vooral in de financiële dienstverlening data gevaar lopen. Dit komt omdat veel bedrijven niet de nodige stappen en basismaatregelen hebben genomen om hun meest waardevolle bezit, namelijk data, te beveiligen. Een interessante ontwikkeling in dit proces is de mogelijke invoering van een jaarlijkse IT-check waardoor organisaties in de financiële dienstverlening meer informatie hebben voor een risico-analyse. Er is de afgelopen weken veel gezegd over het wel of niet invoeren van een IT-audit als onderdeel van het jaarverslag of niet. Voor- en tegenstanders van dit initiatief hebben duidelijk van zich laten horen, maar een consensus lijkt nog lang niet bereikt. Ook ik heb nog veel vragen over de potentie van IT-audits, de uitvoering daarvan en of het daadwerkelijk bijdraagt aan het verbeteren van de cyberweerbaarheid.
Waarom IT-audits?
NOREA, de beroepsorganisatie van IT-auditors, pleit sinds een aantal weken voor een zogenaamde jaarlijkse ‘IT-check’ met een focus op cybersecurity. Dit moet vervolgens de basis vormen voor een audit. De groep geeft aan dat dit inspeelt op een behoefte naar een onafhankelijk oordeel over de inrichting en beheersing van IT en of deze wel toekomstbestendig is. Dit is met name interessant voor financiële organisaties, zoals investeerders, die in de positie zijn om te beslissen of ze een investering doen in een bedrijf.
Volgens NOREA zou deze check uitgevoerd moeten worden door een accountantskantoor en de uitkomst hiervan zou mogelijk een rol kunnen gaan spelen bij het verkrijgen van financiering. Juist vanuit de cybersecurity-hoek klinkt echter veel kritiek op dit initiatief en dat is ook niet zo gek - er is namelijk nog veel onduidelijk.
Laat ik voorop stellen dat continue aandacht voor cybersecurity binnen bedrijven enorm belangrijk is en dat IT audits in het algemeen belangrijk zijn aangezien bijna alle bedrijven uitsluitend op basis van data werken. Als gevolg hiervan zijn data een bedrijfskritisch bezit geworden, dat op de juiste manier moet worden beschermd en beheerd. Het gaat hierbij niet alleen om data over bedrijfsprocessen, maar ook klantgegevens. Het is van essentieel belang dat deze beschermd worden tegen inbraken van buitenaf. Als daar op een of andere manier blijvende aandacht voor gegenereerd kan worden, is dat alleen maar positief. Daar is iedereen het denk ik wel mee eens. De vraag is alleen of een IT-audit (door een accountskantoor!) het juiste middel is om dat te bereiken.
Veel twijfel
Er is nog veel onduidelijk als het gaat om de mogelijke introductie en uitvoering van deze IT-audits. NOREA geeft aan dat een IT-verklaring, afgegeven door een IT-auditor, onder meer zou moeten bevatten hoe de beheersing van IT heeft plaatsgevonden, wat de organisatie gedaan heeft om cyberincidenten te voorkomen en de mate waarin IT binnen een organisatie bullet proof is. De uitvoering van een dergelijke IT-audit zou, volgens het plan van NOREA, waarschijnlijk komen te liggen bij een van de grote accountantskantoren. De kritiek die daarbij vaak luidt is dat, ondanks dat er vaak prima gekwalificeerde IT’ers werken, deze bureaus uiteindelijke niet de nodige in-depth kennis hebben om goed te kunnen begrijpen hoe security werkt. Dit betekent kennis over hoe de systemen in elkaar zitten, hoe de communicatie met andere systemen werkt en wat dit vervolgens betekent voor het security-niveau van de organisatie of de mate waarin data beschermd zijn. Bovendien zijn cybercriminelen innovatief en geavanceerd en ontwikkelen ze voortdurend nieuwe tactieken om kwetsbaarheden te misbruiken en bedrijven te hacken. Je moet begrijpen waartegen je je beschermt anders heeft het weinig zin. Zowel voor de technische check van systemen en kennis over cybercriminaliteit is gespecialiseerde kennis nodig. En eerlijk is eerlijk: die kennis bevindt zich vaak niet bij een accountantskantoor.
Een tweede punt waar veel twijfel over bestaat is of onderscheid gemaakt wordt tussen bedrijven van verschillende grootten of bedrijven uit verschillende sectoren. Je kunt je afvragen of slechts één vorm voldoende is voor de grote verscheidenheid aan bedrijven in Nederland. Moeten we dezelfde maatregelen verwachten van een enorme multinational als van een plaatselijke bv of eenmanszaak? En als kleinere bedrijven, of het MKB, geen IT-verklaring ontvangen, is dat dan reden voor een bank om hun financiering te beperken of misschien zelfs in te trekken?
Een laatste argument dat vaak wordt aangehaald als het om IT-audits gaat, is de vraag of een vaste set aan standaarden daadwerkelijk iets bijdraagt aan de cyberweerbaarheid van een bedrijf. We hebben gezien dat cybercriminelen zich snel aan kunnen passen aan de veranderende situatie. Zo is er het afgelopen anderhalf jaar een enorm grote en snelle ontwikkeling waargenomen in het aantal gevallen van bijvoorbeeld phishing, vishing en spoofing. Is zo’n verklaring nog wel relevant als de tactieken van aanvallers zich continu blijven ontwikkelen?
Een taak voor een Minister van IT
Ondanks alle onduidelijkheid en controversiële discussies, wil ik nogmaals benadrukken dat de cyberweerbaarheid van de organisatie en de bescherming van bedrijfskritische data altijd bovenaan de agenda zou moeten staan van iedere bestuurskamer. Vooralsnog ligt de verantwoordelijkheid voor het op orde hebben van de IT-systemen bij organisaties zelf. Naar mijn mening is het besluit om een onafhankelijke IT-audit in te voeren als zijnde een soort keurmerk voor kwaliteit in wezen een goed idee, maar het moet niet uitgevoerd en verleend worden door accounts of financiële instellingen. Het moet worden aangestuurd door de overheid. Daarbij vraag ik mij af of een dergelijk initiatief zelfs niet beter op Europees niveau aangepakt kan worden, en dat later elk EU-land de ruimte moet krijgen om de regels aan te passen volgens lokale vereisten.
Dit onderwerp is iets dat perfect in het portfolio van een Minister van IT zou passen. Eerder pleitte ik al voor de invoering van een dedicated positie binnen het volgende kabinet. Iemand met kennis van zaken die zich bezig kan houden met onder meer het verbeteren van de cyberweerbaarheid van Nederlandse organisaties, al dan niet in samenwerking met peers op Europees niveau. Of een dergelijke positie er ook komt valt nog te bezien, vooralsnog moet er eerst een nieuwe regering gevormd worden natuurlijk. Maar als er wordt gekozen voor een dergelijke bewindspersoon, dan is het ontwikkelen van beleid over IT-audits en controle zeker iets wat op zijn/haar bordje zou moeten komen te liggen.
Door: Ronald Ooms (foto), Vice President EMEA BACH van Veeam