Ryan Dodd, oprichter Cyberhedge

Cybersecurity hoort in de directiekamer thuis

Ryan Dodd: "Het is geen cyberrisico, maar een bedrijfsrisico".

door Kim Loohuis, beeld Karianne Hoekstra

Cybersecurity wordt nog teveel gezien als verantwoordelijkheid van de IT-afdeling, maar hoort als strategisch onderwerp in de boardroom thuis. Dat vindt Ryan Dodd, oprichter van Cyberhedge, dat onlangs de naam veranderde in Intangic. Het is een organisatie die beursgenoteerde bedrijven met hun neus op de cyberrisicofeiten drukt. “Ze hebben geen idee hoeveel het risico bedraagt dat ze met hun belangrijkste assets, data en technologie, lopen.”

Dodd heeft een achtergrond in de financiële wereld en was als investeerder verbaasd toen bleek dat de organisaties uit zijn portefeuille niet konden vertellen hoe ze hun belangrijkste bezit, data, beschermden. “Risicomanagement is doodnormaal voor directies. Wanneer je een organisatie vraagt naar inkomstenrisico of milieurisico’s, dan volgen al gauw bedragen. Opvallend is dat data als de nieuwe olie wordt gezien, maar dat niemand daarover praat in euro’s, dollars of ponden. Er is zelfs geen gesprek binnen directies over hoe de organisatie het doet op cybergebied. Dat moest veranderen, vond ik.”

“Cyber is onzichtbaar, ontwikkelt zich steeds en is continu in beweging”

Het risico van data is onzichtbaar

Dodd ontwikkelde een platform waarmee organisaties hun cyberrisico kunnen inschalen. Niet alleen wat betreft financieel risico, maar ook ten opzichte van concurrenten. “Het is lastig om organisaties te overtuigen van de noodzaak hiervan, omdat het risico op dataverlies niet zo zichtbaar is. Een brandverzekering heeft vrijwel iedereen, omdat je je iets kunt voorstellen bij brand en de gevolgen daarvan. Data en de gevolgen van een datalek zijn heel ongrijpbaar.” Bovendien is data veranderlijk en komt er steeds meer data. Dat betekent dat het risico ook steeds verandert. “Tot slot zijn datanetwerken altijd in beweging, wat ook weer nieuwe risico’s met zich meebrengt. Cyber is onzichtbaar, ontwikkelt zich steeds en is continu in beweging. Dat maakt het ontzettend tricky.”

Een cyberrisico is een bedrijfsrisico

De voormalig investeerder die security-expert werd richt zich op bedrijven die geen technologiebedrijf zijn, maar waarvoor data en technologie wel hun belangrijkste bezit zijn. Bijvoorbeeld banken. “Bij dat soort organisaties kun je technologie niet zien als aparte afdeling, het is vervlochten in het bedrijf. Om het risico te bepalen, moet je dat doen relatief aan andere operationele delen van de bank, je kunt dat niet loskoppelen. Daarom moeten we ook niet meer van een cyberrisico spreken, maar van een bedrijfsrisico.” Inmiddels heeft Dodd zo’n vijfduizend publieke organisaties – waarvan zo’n tweeduizend in Europa – gerankt en kan hij op basis van openbare gegevens uit bijvoorbeeld jaarverslagen laten zien hoe groot het cyberrisico van een organisatie is, maar ook of het bedrijf over de middelen beschikt om het risico het hoofd te bieden. “We willen ze helpen een bedrag aan het risico te hangen, zodat ze inzichtelijk hebben wat er moet gebeuren.”

 Beeld: Shutterstock

Cyberrisico in directietaal

Cruciaal daarbij is de brug tussen IT en de directie. Zij spreken vaak elkaars taal niet, waardoor de directie geen inzicht heeft in de concrete risico’s die de organisatie loopt. “Intangic laat in directietaal, namelijk cijfers en bedragen, zien hoe de vlag erbij hangt”, zegt Dodd. “Als directie zou je een security audit moeten eisen. Dat is op veel andere vlakken heel gebruikelijk, maar gebeurt vrijwel niet op cybergebied. Ik zie dat veel bedrijven denken dat ze niet over geavanceerde technologie beschikken om dreigingen het hoofd te bieden, maar de aanwezige technologie is vaak prima, alleen niet juist geconfigureerd om het netwerk afdoende te beschermen. Een audit kan het startpunt vormen om problemen te identificeren.”

Audits kunnen kwetsbaarheden achterhalen

Dodd geeft het voorbeeld van het Amerikaanse leger dat wilden zien wat er zou gebeuren wanneer ze een bekende firewall zouden installeren volgens de eisen van de leverancier. “De firewall bleek maar 20 procent van de gesimuleerde aanvallen tegen te houden.” Een netwerk verandert immers continu. Bovendien draaien er veel verschillende programma’s en securitytools op een netwerk die allemaal verschillende dingen doen, waardoor een systeem vaak in een geïsoleerde omgeving werkt en niet samen met de andere beschikbare tools. “Het leger voerde twee audits uit en bekeek waarom de firewall niet werkte en hoe ze dat konden optimaliseren. Vervolgens bleek het systeem tot wel 80 procent van de aanvallen tegen te houden. De crux is dat ze dus niet hoefden te investeren in nieuwe technologie, maar door audits konden achterhalen waar de kwetsbaarheden zaten.”

“We moeten cybersecurity voor directies eenvoudiger inzichtelijk maken”

Directies moeten regie pakken

Directies moeten meer slagkracht krijgen, vindt Dodd. Momenteel reageren ze vooral, maar het is cruciaal dat ze de regie pakken en cyber gaan zien als ieder ander bedrijfsrisico. “Ze moeten weten welke bedrijfsonderdelen risico lopen, in termen van bedragen. Ze moeten weten wat er verbeterd moet worden en waarom.” Inmiddels heeft Dodd in Paladin Capital en het Europese Investeringsfonds twee investeringspartners gevonden. “Zij brengen waardevolle expertise naar de tafel. Traditioneel wordt cybersecurity gezien als een complex onderwerp, maar we moeten het voor directies eenvoudiger inzichtelijk maken. Daardoor kunnen bedrijven zichzelf beter beschermen.” Uiteindelijk hoopt Dodd dat zijn platform wordt gezien als de standaard voor hoe cyberrisico’s worden vastgesteld. “Dat we in dezelfde categorie vallen als andere auditors. Ja, dat zou mooi zijn.”