Een EPC-score voor je woning, een energielabel voor je koelkast, een maximaal CO2-niveau voor je wagen, ... We geven tegenwoordig alles een label om na te gaan of het product dat we aanschaffen kwalitatief in orde is. Ook in de financiële wereld zie je ratings om na te gaan of een bedrijf solvabel en betrouwbaar is. Maar hoe weet je dat jouw partners op vlak van IT-security voldoen, zeker met die strenge GDPR-richtlijnen en bijbehorende boetes in het achterhoofd?

We moeten er niet flauw over doen: hoe meer gedigitaliseerd onze economie raakt en hoe meer data in de cloud staan, hoe aantrekkelijker het voor hackers wordt om gegevens te stelen. Ik geef hier één getal mee: 531.596.111. Dit is het aantal databestanden dat wereldwijd in een maand tijd (september) werd gestolen. Op jaarbasis overstijgt dit vlot de tien miljard records. Dat is een tien met negen nullen!

Bovendien is niemand veilig. Het gebeurt zowel in grote multinationals, bij overheden als in de gemiddelde Vlaamse kmo. Sla er de nieuwsberichten van de voorbije weken en maanden maar op na: een DDoS-aanval op de digitale platformen van de Britse politieke partij Labour, hackers die 6,8 miljoen dollar (ransomware) eisen van het Mexicaanse oliebedrijf Pemex, ... En lokaal waren er uiteraard Asco in Zaventem en recenter een cyberaanval op de Universiteit Antwerpen en industrieel producent Picanol.

Cybercrime is dus één van de grootste bedrijfsrisico's aan het worden voor bedrijven en organisaties. Het heeft niet alleen impact op de dagelijkse werking en de omzet - sommige bedrijven liggen dagen plat -, ook voor de reputatie van een bedrijf doet dit geen deugd.

'Eigenlijk moeten bedrijven naast een financiële rating die hun kredietwaardigheid in beeld brengt, ook een cybersecurity-rating krijgen'

Cybersecurity-rating

Helaas is het vaak pas na een hack dat cybersecurity op de agenda van de Raad van Bestuur komt, en dat de vraag van de IT-dienst om een degelijk cybersecuritybeleid niet aan dovemans oren is gezegd. Alleen is dat cyberrisico moeilijk uit te leggen door de IT-verantwoordelijke. Hij spreekt in technische termen terwijl het in de Raad van Bestuur vaak over de cijfertjes gaat. Of de Raad van Bestuur stelt zich vragen bij de grote investeringen in cybersecurity die IT vraagt, omdat ze ervan uitgaat dat de kans dat het bedrijf gehackt wordt relatief klein is. (Ze zien ook niet hoeveel aanvalspogingen er met een goede security-oplossing kunnen worden tegengehouden.)

Eigenlijk moeten bedrijven naast een financiële rating die hun kredietwaardigheid in beeld brengt, ook een cybersecurity-rating krijgen. Een cijfer of lettercode die in een oogopslag duidelijk maakt - voor de buitenwereld en businesspartners - hoe goed een bedrijf tegen cybercriminaliteit is beschermd. Dat is even belangrijk. Die objectieve score maakt het aspect cybersecurity namelijk wél begrijpelijk bij de bestuurders.

Want stel dat jouw onderneming veel investeert in security en volledig in orde is met de strengste regelgeving. Dan verwacht je ook van al je partners (en klanten) dat zij op hetzelfde niveau aan hun cyberbeveiliging werken. Alleen, hoe onderzoek je dat nu? Met een onafhankelijke security-rating zou je dat zo achterhalen, en weet je met welke partijen je veilig kan samenwerken. Dat wordt in de toekomst een verkoopargument.

Ook bij overnames kan het een rol spelen. Als de security-rating van jouw bedrijf A+ is en je wil een ander bedrijf overnemen dat slechter scoort (laten we zeggen: C-), dan kan je objectief berekenen hoeveel dit zou kosten om de IT-beveiliging van die onderneming op hetzelfde niveau te brengen. En kan je dit eventueel meenemen in de prijsonderhandelingen.

U kijkt voor de aankoop van een koelkast toch ook naar de beste energielabels? Waarom dan niet kijken naar cybersecurity-ratings als je zaken doet?

Een EPC-score voor je woning, een energielabel voor je koelkast, een maximaal CO2-niveau voor je wagen, ... We geven tegenwoordig alles een label om na te gaan of het product dat we aanschaffen kwalitatief in orde is. Ook in de financiële wereld zie je ratings om na te gaan of een bedrijf solvabel en betrouwbaar is. Maar hoe weet je dat jouw partners op vlak van IT-security voldoen, zeker met die strenge GDPR-richtlijnen en bijbehorende boetes in het achterhoofd?We moeten er niet flauw over doen: hoe meer gedigitaliseerd onze economie raakt en hoe meer data in de cloud staan, hoe aantrekkelijker het voor hackers wordt om gegevens te stelen. Ik geef hier één getal mee: 531.596.111. Dit is het aantal databestanden dat wereldwijd in een maand tijd (september) werd gestolen. Op jaarbasis overstijgt dit vlot de tien miljard records. Dat is een tien met negen nullen! Bovendien is niemand veilig. Het gebeurt zowel in grote multinationals, bij overheden als in de gemiddelde Vlaamse kmo. Sla er de nieuwsberichten van de voorbije weken en maanden maar op na: een DDoS-aanval op de digitale platformen van de Britse politieke partij Labour, hackers die 6,8 miljoen dollar (ransomware) eisen van het Mexicaanse oliebedrijf Pemex, ... En lokaal waren er uiteraard Asco in Zaventem en recenter een cyberaanval op de Universiteit Antwerpen en industrieel producent Picanol.Cybercrime is dus één van de grootste bedrijfsrisico's aan het worden voor bedrijven en organisaties. Het heeft niet alleen impact op de dagelijkse werking en de omzet - sommige bedrijven liggen dagen plat -, ook voor de reputatie van een bedrijf doet dit geen deugd.Helaas is het vaak pas na een hack dat cybersecurity op de agenda van de Raad van Bestuur komt, en dat de vraag van de IT-dienst om een degelijk cybersecuritybeleid niet aan dovemans oren is gezegd. Alleen is dat cyberrisico moeilijk uit te leggen door de IT-verantwoordelijke. Hij spreekt in technische termen terwijl het in de Raad van Bestuur vaak over de cijfertjes gaat. Of de Raad van Bestuur stelt zich vragen bij de grote investeringen in cybersecurity die IT vraagt, omdat ze ervan uitgaat dat de kans dat het bedrijf gehackt wordt relatief klein is. (Ze zien ook niet hoeveel aanvalspogingen er met een goede security-oplossing kunnen worden tegengehouden.)Eigenlijk moeten bedrijven naast een financiële rating die hun kredietwaardigheid in beeld brengt, ook een cybersecurity-rating krijgen. Een cijfer of lettercode die in een oogopslag duidelijk maakt - voor de buitenwereld en businesspartners - hoe goed een bedrijf tegen cybercriminaliteit is beschermd. Dat is even belangrijk. Die objectieve score maakt het aspect cybersecurity namelijk wél begrijpelijk bij de bestuurders. Want stel dat jouw onderneming veel investeert in security en volledig in orde is met de strengste regelgeving. Dan verwacht je ook van al je partners (en klanten) dat zij op hetzelfde niveau aan hun cyberbeveiliging werken. Alleen, hoe onderzoek je dat nu? Met een onafhankelijke security-rating zou je dat zo achterhalen, en weet je met welke partijen je veilig kan samenwerken. Dat wordt in de toekomst een verkoopargument. Ook bij overnames kan het een rol spelen. Als de security-rating van jouw bedrijf A+ is en je wil een ander bedrijf overnemen dat slechter scoort (laten we zeggen: C-), dan kan je objectief berekenen hoeveel dit zou kosten om de IT-beveiliging van die onderneming op hetzelfde niveau te brengen. En kan je dit eventueel meenemen in de prijsonderhandelingen. U kijkt voor de aankoop van een koelkast toch ook naar de beste energielabels? Waarom dan niet kijken naar cybersecurity-ratings als je zaken doet?