Het komt vaker voor, maar cyberveiligheid wordt nog te vaak over het hoofd gezien in de business strategie, ook bij BEL20 ondernemingen. Dat blijkt uit een profielanalyse van alle bestuursleden van de BEL20 bedrijven door cyberveiligheidsbedrijf Toreon. “Onvoldoende technische kennis in de raden van bestuur van bedrijven zorgt ervoor dat de risico’s van cyberveiligheid onderschat worden en organisaties kwetsbaar blijven,” aldus de CEO van Toreon, Sebastien Deleersnyder. Recente ransomware-aanvallen op Belgische bedrijven tonen aan dat cybercriminaliteit geen louter internationaal fenomeen is. Ransomware is het blokkeren van de toegang tot de IT-infrastructuur waarbij gegevens versleuteld worden in ruil voor losgeld. Het Centrum voor Cyberveiligheid meldde 4500 cyberaanvallen op bedrijven in 2019, een verdrievoudiging tegenover het jaar voordien en een aantal dat in realiteit veel hoger ligt.
Om in kader te brengen hoe bedrijven die risico’s inschatten, maakte cyberveiligheidsbedrijf Toreon een profielanalyse van de leden van de Raden van Bestuur van de BEL20 bedrijven. Daaruit blijkt dat behalve kennis van GDPR er geen enkel BEL20 bestuurslid is met een duidelijke achtergrond in informatie- en cyberveiligheid. Bij één op de vier van de BEL20 bedrijven is het niet duidelijk of bestuurders zelfs ooit in aanraking zijn gekomen met IT. Vooral specialistische bedrijven, zoals bedrijven in de life sciences sector, kiezen vaak enkel voor experts uit het eigen vakgebied om in de raad te zetelen.
Volgens Toreon zorgt onvoldoende technische kennis in de raad van bestuur ervoor dat de risico’s van cyberveiligheid onvoldoende worden ingeschat. Dat wordt ook bevestigd door eerder internationaal onderzoek, waaruit blijkt dat er een grote discrepantie bestaat tussen de Chief Information Security Officers (CISO) en de raad van bestuur. Sebastien Deleersnyder: “Het is de verantwoordelijkheid van de raad van bestuur om de risico’s in te schatten en het management hierop aan te spreken. We zien vaak dat er door gebrek aan ervaring te weinig aandacht wordt besteed aan cyberveiligheid of dat de bezorgdheden vanuit de CTO onvoldoende gehoord worden. De gevolgen van een cyberaanval of een datalek kunnen nochtans catastrofaal zijn.”
Volgens Deleersnyder moet er meer geïnvesteerd worden in de kennis rond cyberveiligheid in de raden van bestuur en moet er waar mogelijk een zo heterogeen mogelijke raad worden samengesteld, waarin ook leden met een achtergrond in cyberveiligheid vertegenwoordigd zijn. Hij vervolgt met: «Cyberveiligheid moet een inherent onderdeel vormen van de business strategie en wordt het best mee uitgestippeld op het allerhoogste niveau. Niet enkel BEL20 bedrijven, maar eigenlijk alle bedrijven die bedrijfsgevoelige data en persoonsgegevens verwerken in een digitale omgeving moeten zich bewust zijn van de risico’s. Zolang cyberveiligheid geen integraal deel uitmaakt van de prioriteiten van de raad van bestuur, blijven bedrijven kwetsbaar.”
Toreon raadt aan dat bestuurders van bedrijven die veel data verwerken zich laten bijscholen op het gebied van cyberveiligheid. Op korte termijn kan een betere rapportage van de CISO of CTO aan de raad van bestuur soelaas bieden. Het Belgische cybersecurity agentschap Toreon is in korte tijd uitgegroeid tot een betrouwbare, onafhankelijke partner die ondernemingen en overheidsinstellingen begeleidt om met vertrouwen in een veilige digitale omgeving te kunnen ondernemen door de digitale risico’s binnen ondernemingen te identificeren en ze te begeleiden om deze risico’s weg te nemen.