Cyberresilience: Wat de BRZO-sector beslist moet weten over cybercrime

Cyberresilience: Brzo bedrijven krijgen binnenkort te maken met nieuwe regelgeving op het gebied van cybersecurity. Een interview met Hugo van Aardenne en Jouko Barensen van Ploum Rotterdam Law Firm over de must knows.

Hugo van Aardenne is het als advocaat gewend om zaken te bekijken vanuit de strafrechtkant. Dat geldt ook voor een onderwerp als cybersecurity en cybercrime: “Er zijn de laatste tijd heel veel meer regels bijgekomen voor bedrijven – en sinds een jaar of zeven heeft het onderwerp echt de aandacht van de overheid. Voor Brzo-bedrijven komen er binnenkort zelfs weer nieuwe regels aan vanuit Europa.”

Van Aardennes collega bij Ploum, Jouko Barensen, vult aan: “Wij maken als jurist verschil tussen wat cybercrime is volgens het wetboek van strafrecht – zaken die je niet mag doen, zoals hacken – en alles wat bedrijven moeten doen op het gebied van cybersecurity om datalekken en privacy issues te vooromen. Dat laatste wordt ook steeds belangrijker. Je wil als bedrijf niet civiel aansprakelijk worden gesteld door contractpartners, vanwege nalatig veiligheidsbeleid.”

BRZO-congres: Europese regelgeving cyberresilience

Op het Nationaal Congres Brzo – Seveso op 22 november aanstaande, waar Van Aardenne, samen met zijn collega Maayke Maas, een workshop zal komen geven over nieuwe regelgeving voor bedrijven, zal ingezoomd worden op de vraag wat je als bedrijf moet optuigen om volgens de Europese regelgeving ‘cyberresilient’ te zijn. Van Aardenne: “Brzo-bedrijven vallen sowieso al onder een speciaal regime van toezicht, maar van oudsher gaat het dan veelal over schadelijke stoffen en milieu. Binnenkort komt daar cyberresilience bij.”

Zelfde regelgeving, andere bedrijfsvoering

De meeste Brzo-bedrijven vallen onder de noemer ‘vitale sectoren’. Daar heb je er verschillende van: ziekenhuizen, grote financiele instellingen. Van Aardenne: “Dat betekent dat ze zich in grote lijnen moeten houden aan dezelfde regels. Maar de bedrijfsvoering is per sector natuurlijk totaal anders – en dat betekent voor bedrijven: de uitdaging om algemene regels te vertalen naar de eigen praktijk. Met name op het gebied van compliance en governance op het gebied van cybersecurity, is er nieuwe regelgeving in de maak voor de Brzo-sector. Dan heb ik het over de verplichtingen tot het vastleggen van procedures en het vastleggen van beveiligingsmaatregelen. Maar bijvoorbeeld ook het vastleggen van scenario’s hoe te reageren op datalekken, hacks en ransomware.”

De kans dat je als bedrijf wordt getroffen door cybercrime is inmiddels zo groot dat de EU verwacht dat je als Brzo-bedrijf een gedegen plan hebt liggen om de schade te beperken in het geval van een aanval. Zo moeten bedrijven straks per type incident een business continuity plan hebben waarin ze laten zien hoe een cyberissue zo snel mogelijk kan worden gemanaged. Een van de belangrijkste maatregelen die je als bedrijf moeten nemen wanneer je een dergelijk plan wil maken, is het in kaart brengen van je complete digitale netwerk. 

Van Aardenne: “Moet je eerst je hele netwerk nog in kaart brengen op het moment dat je wordt aangevallen, dan heb je maar twee keuzes: of alles stilleggen of gewoon operationeel blijven met alle risico’s van dien. Heb je overzicht over je netwerk, dan kun je snel beslissingen maken. Met een beetje geluk kun je direct zien waar het mis zit en aangevallen delen isoleren van de rest van je netwerk.”

Encryptie en multifactor authenticatie

Hoe simpel het klinkt, ‘je netwerk in kaart brengen’, zo ingewikkeld en complex is het in de praktijk, dus het is goed om daar echt te tijd voor te nemen en met een specialist te gaan zitten hoe je dit aanpakt. Een andere verplichting voor bedrijven om te kunnen laten zien dat men maatregelen heeft genomen tegen cybercrime is encryptie. Van Aardenne: “Er wordt in toenemend mate verlangd dat gevoelige data en onderdelen versleuteld zijn. Maar dat gaat nog lang niet overal goed. 

Denk aan het Amerikaanse Colonial Pipeline dat vorig jaar werd getroffen door een heel groot ransomware aanval op een olie- en benzinepijplijn aan de oostkust van Amerika. Dat ging mis door het ontbreken van multifactor authenticatie binnen kritieke processen. De hacker had simpelweg toegang gekregen door een email en een password. Dat kan onder de komende regelgeving echt niet meer. Nou ja, het kan nu ook al niet meer. Uiteindelijk liep de schadeclaim die Colonial Pipeline kreeg vanwege hun slechte online beveiliging in de miljoenen.”

Barensen ziet dat er nog een wereld te winnen is: “Brzo-bedrijven, veelal fabrieken, zijn van oudsher gewend om te denken in veiligheidsprotocollen, maar omdat sites vroeger niet gekoppeld waren aan het internet zit cybersecurity nog niet helemaal in het DNA van denken over veiligheid. Uit recent onderzoek van de DCMR dat is de toezichthouder voor Brzo-bedrijven, is gebleken dat de sector nog geen voldoende scoort op cybersecurity. Daar is nog wel verbetering mogelijk en dat is nodig want de gevolgen voor de omgevingsveiligheid bij deze bedrijven kunnen erg groot zijn. Daarom komt er ook nog een nieuwe Critical Entities richtlijn aan, speciaal voor de Brzo-bedrijven.“

Bewustzijn cyberresilience

Systemen in kaart brengen, encryptie en multifactor authenticatie zijn basismaatregelen die elk bedrijf kan implementeren, maar dat is niet altijd genoeg. Barensen: “Bewustzijn is minstens zo belangrijk. De mens is uiteindelijk de zwakste schakel. Je kunt alles goed beveiligd hebben in je systemen, maar als er iemand binnen kan komen met een USB-stick die ergens in kan worden gestoken om informatie te stelen, dan loop je alsnog een risico. En wat uit dat onderzoek van DCMR blijkt is dat juist dit soort cybercrime – spionage eigenlijk – een grote dreiging is voor Brzo-sector, meer dan dat ransomware aanvallen dat zijn.

Maar het dreigingsbeeld is diffuus en veranderlijk. Een deel van dit soort spionage-gerelateerde cybercrime is zelfs ook state sponsored, dus dat maakt het voor bedrijven wel knap lastig om er grip op te krijgen. De nieuwe regelgeving is er dus ook op gericht om bedrijven te dwingen om continu alert te zijn om het veelkoppige monster waarmee met te maken heeft.”

Strengere regelgeving

Van Aardenne ziet dat de regelgeving steeds strenger wordt: “Er kunnen enorme boetes worden opgelegd, hele strenge aanwijzingen worden gegeven aan bedrijven en bestuurders kunnen zelfs worden geschorst.” In Nederland kennen we nog geen bedrijven die echt hoge boetes hebben moeten betalen, maar er zijn wel al bedrijven die onder verscherpt toezicht zijn gesteld. Maar met de nieuwe NIS richtlijn, waar wij tijdens onze training op in zullen gaan, krijgen bedrijven wel te maken met hoge boetes als ze in gebreke blijven, tot wel 10 miljoen euro of 2% van de jaaromzet.”

Barensen vult aan: “Cyberresilience zal ook echt proactief worden getoetst.”
Cursisten die in november naar het National Congres Brzo-Seveso komen om te leren over de nieuwe regelgeving rondom cybersecurity, gaan als het aan Van Aardenne en Barensen ligt naar huis met een breder beeld van wat cyberresilience eigenlijk is, en vooral met heel veel praktische tips. Van Aardenne: “Wat kun en moet je als bedrijf doen om issues te voorkomen, of er goed op te reageren? Welke regelgeving geldt voor welk type BRZO bedrijven. We willen die mensen op C-level bereiken die altijd roepen dat cybersecurity vooral iets is voor de IT-afdeling. Want cyberresilience is echt iets dat strategisch moet worden vormgegeven in je organisatie.”