Achtergrondartikel


3 vragen aan… Wouter Wissink

‘Reken bedrijven af op onveilige software’

Wouter Wissink heeft vele jaren werkervaring op het gebied van risicomanagement in onder andere de ICT-branche. Deze werkervaring deed hij op tijdens zijn loopbaan bij een aantal internationale verzekeraars. Nieuwe dreigingen die steeds weer de kop opsteken zijn voor Wissink een reden om wakker te liggen. “Het zou ook fijn zijn als er strengere wetgeving komt voor cyberrisico’s.”

Waar lig je wakker van?
“Van de ‘unknowns’, oftewel nog onbekende aanvalstechnieken gecombineerd met grootschalige virtuele opslag van gegevens en beschikbaarheid van systemen. Hierdoor kan een enkele inbraak leiden tot verlies of diefstal van data van meerdere klanten door aanvalstechnieken die steeds geavanceerder worden. Ook zijn dan gegevens en systemen niet meer beschikbaar en vallen meerdere bedrijven stil. Hierdoor kunnen meerdere bedrijven en dienstverleners getroffen worden door schades die vanuit onverwachte hoeken komen. Vergelijk het met een brandverzekering. Bij een aanslag zoals op het World Trade Center in New York heb je schade aan gebouwen, bedrijfsschade, aansprakelijkheid maar ook verlies van levens (levensverzekering, ongevallen), et cetera. Nu alles steeds meer logisch gescheiden wordt in plaats van fysiek kunnen deze scenario's ook in het cyberdomein optreden. Ook bij aanslagen zoals op het WTC werkten traditionele ‘firewalls’ niet."

Wat doe je om weer goed te slapen?
“Dat is een moeilijk verhaal voor cyberrisico's omdat we nu nog niet weten waarvan we straks wellicht niet slapen. Als we het phishingrisico onder controle kunnen krijgen gecombineerd met goede authenticatie- en autorisatiesystemen en versleuteling van gegevens zijn we wellicht goed op weg. Maar dan slapen we weer niet door een andere bedreiging. Het zou ook fijn zijn als er strengere wetgeving komt voor cyberrisico’s. Wellicht zou de productaansprakelijkheidswetgeving hierin kunnen helpen. Bijvoorbeeld een CE risico-evaluatie en verplicht testen van kritische systemen door notified bodies. Ook dienen bedrijven afgerekend te kunnen worden op onveilige systemen. Het Amerikaans model zou hierin kunnen helpen. Bijvoorbeeld bestuurders aansprakelijk stellen voor onveilige software.”

Hoe ziet de securitywereld er over tien jaar uit?
“Dan zijn we een stuk verder met het onder controle houden van de huidige risico’s. Ook de awareness met betrekking tot informatiebeveiliging zal wellicht een stuk beter zijn bij de burger en bedrijven. Door onder andere de nieuwe wet meldplicht datalekken zie je bij bedrijven de aandacht voor preventie toenemen. Ook binnen organisaties zie je dat medewerkers nu al alerter zijn op phishing, et cetera. De ervaring leert echter dat er weer nieuwe risico’s komen. Die zullen wellicht liggen in het Internet of Things. Wellicht krijgen we dan ook meer persoonlijk letsel, bedrijfsschade, afpersing en schade aan eigendommen door inbreuken op systemen en is datadiefstal een minder groot probleem.”


Lees meer over