België heeft een sterke autoriteit op het vlak van cybersecurity nodig

Cybersecurity staat meer dan ooit bovenaan de agenda van bedrijven. Toch hebben organisaties het nog vaak moeilijk om regels toe te passen, maatregelen te treffen of software te kiezen. De bedrijfswereld heeft baat bij een sterke Belgische autoriteit die meer consistentie brengt in de manier waarop we cyberaanvallen en dreigingen bestrijden. Dat is de mening van verschillende toonaangevende sprekers die recent deelnamen aan een rondetafelgesprek over cybersecurity in België.

In een wereld waarin cyberaanvallen dagelijkse kost zijn geworden en bedrijven zich genoodzaakt zien om enorme bedragen voor ransomware op te hoesten, doet België het op het eerste gezicht zeker niet slecht. Tenminste, als we de verschillende indexen rond cybersecurity mogen geloven. In bijna elke ranglijst staat ons land op een hoge plaats in de top tien. Toch blijft het maar de vraag wat zo’n index waard is. En het mag al zeker geen reden zijn om op onze lauweren te gaan rusten.

Een ranglijst is niet meer dan een momentopname. Wat echt telt, is de manier waarop ons land met kwetsbaarheden omgaat. Hoe reageren we op incidenten, en zijn we in staat om informatie snel te delen met kwetsbare partijen? De snelheid en doeltreffendheid waarmee we dreigingen kunnen neutraliseren, geeft een veel beter beeld van hoe ons land scoort op het gebied van cybersecurity.

Van IT naar OT

Intussen is cybersecurity behoorlijk complex geworden, waardoor we de omvang van de uitdaging vaak onderschatten. Zo beperkt de infrastructuur van een organisatie zich al lang niet meer tot de IT-afdeling. Maakbedrijven gebruiken bijvoorbeeld robots, IoT-toepassingen, AI en sensoren om hun productieproces te verbeteren. Technologie maakt hen succesvoller om de concurrentie het hoofd te bieden, maar ze worden ook kwetsbaarder voor cyberaanvallen. Uit een recent rapport van Agoria blijkt bovendien dat de helft van de maakbedrijven in ons land voor een cyberaanval vreest.

Zo’n 77 procent van de respondenten test de beveiliging van operationele technologie (OT) nooit, terwijl 48 procent niet over interne kennis beschikt om een cyberaanval te verhelpen. Als we die cijfers bekijken, dan is er voor ons land duidelijk wel nog werk aan de winkel. Dat is ook de mening van Danielle Jacobs (Beltug), Miguel De Bruycker (Centre for Cyber security Belgium – CCB) en Bart Steukers (Agoria).

Verplichte cybersecurityverzekering

Ook in het Beltug Priorities Compass 2021, een jaarlijkse bevraging bij IT-beslissers, hebben liefst vijf van de tien topprioriteiten te maken met cybersecurity. Het mag dus duidelijk zijn dat bedrijven nu echt wel gericht actie moeten ondernemen. Op dat vlak ziet Agoria heil in het verplichten van een cyberverzekering. Net zoals bij een brandverzekering zal de verzekeraar een aantal minimale vereisten opleggen waaraan het bedrijf moet voldoen om een beschermingslaag te voorzien. Daarmee kom je eigenlijk al heel ver, want hackers zoeken doorgaans naar laaghangend fruit waar ze zonder veel moeite binnen geraken.

Een ander voordeel van zo’n verplichte verzekering is het feit dat bedrijven na een aanval weten bij wie ze moeten aankloppen. Paniek is nooit de beste partner van een bedrijf in crisissituaties en een verzekeraar kan ervoor zorgen dat de organisatie de juiste handelingen treft. Bovendien kunnen ze de hulp inschakelen van een technologiepartner die door de verzekeringsmaatschappij gevalideerd is. Goede maatregelen beschermen Belgische bedrijven niet alleen tegen een aanval, het helpt ook om het vertrouwen van klanten te winnen als ze kunnen aantonen dat ze cybersecurity ernstig nemen.

In dit kader heeft Beltug een sessie georganiseerd waarbij zestig bedrijven hun ervaringen uitwisselden over een cybersecurityverzekering. De deelnemende organisaties beamen dat ze aan verschillende strenge vereisten moesten voldoen om in aanmerking te komen voor zo’n verzekering. Ze geven de raad om de vragenlijst grondig in te vullen, te investeren in cybersecurity, het onderwerp ook op C-level te bespreken, en om zeker geen digitale kopie van het verzekeringsbeleid te bewaren – hackers kunnen proberen om de policy te lezen en de kleine lettertjes in hun voordeel te gebruiken.

Een sterke regulator

Een verzekering is natuurlijk niet voldoende, bedrijven moeten ook meer ondersteuning krijgen om met cybersecurity om te gaan. Het complexe en wisselende politieke landschap in België maakt het niet eenvoudig om een sterk beleid uit te tekenen. Ook de link tussen nationale en internationale instanties kan soms voor verwarring zorgen. En de communicatie tussen beleidsvoerders en bedrijven moet eveneens gestroomlijnd kunnen verlopen.

De oplossing zit volgens de experts in het aanstellen van een sterke regulator die de onstabiliteit van de politiek overstijgt. Ze baseren zich hiervoor op andere domeinen, zoals privacy en AI, waar de waarde van zo’n sterke regulator al meermaals bewezen is. Een dergelijk systeem zal ervoor zorgen dat ook bedrijven een eenduidig en helder antwoord krijgen op vragen in verband met cybersecurity. Het panel waarschuwt wel voor te veel regelgeving: regels moeten het securityverhaal eenvoudiger maken en niet complexer. Maar dat kan alleen als er iemand aan het stuur zit met de bevoegdheid om knopen door te hakken en cybersecurityrichtlijnen uit te tekenen.

Gunstig klimaat creëren

Uiteraard moet de overheid in de eerste plaats zelf een rolmodel voor de bedrijfswereld zijn. En het zou volgens de experts van het rondetafelgesprek ook helpen om een gunstig Belgisch klimaat voor cybersecuritybedrijven te creëren, zodat meer organisaties naar ons land komen of meer technologie op eigen bodem wordt gemaakt. Hiervoor zou de overheid bijvoorbeeld op het onderwijs kunnen focussen, zodat studenten de tekorten op de arbeidsmarkt kunnen invullen.

De situatie in België is in geen geval alarmerend, maar er is meer nodig als we klaar willen zijn voor de cybersecurityuitdagingen van de toekomst. Hackers zitten immers niet stil en we hebben een sterke autoriteit nodig die het overzicht bewaart en ervoor zorgt dat informatie alle betrokken partijen bereikt. Als we dit goed doen, zal België voor ondernemers straks een van de veiligste landen op het vlak van cybersecurity zijn. En dan pronken we met recht en reden bovenaan al die indexen…