Cybersecurity kan effectiever en goedkoper
Niet door meer, maar door slimmer te investeren kunnen bedrijven het risico op cyberaanvallen beter beperken. Veel organisaties baseren hun investeringen nu nog grotendeels op informatie uit het verleden. Maar door voor een flexibele aanpak gebaseerd op systeemdynamica te kiezen is ruimte voor verbetering, met minder kosten en toch meer veiligheid.
Dat betoogt Sander Zeijlemaker, die op 16 maart promoveert aan de Radboud Universiteit. Haast dagelijks verschijnen er verhalen over grote organisaties getroffen door ransomware, malware en andere cybercriminaliteit. Dat leidt niet alleen tot forse kosten, maar ook voor uitgelekte privégegevens en in het uiterste geval zelfs staatsgeheimen die op straat komen. Het is een wereld waarin de aanvaller en zijn aanpak continu evolueren en innoveren.
Maar bedrijven passen hun beveiligingsbeleid maar beperkt op aan.
Zeijlemaker: ‘Bestuurders die keuzes moeten maken op het gebied van cybersecurity, worden ondersteund door allerlei standaarden, raamwerken, en vergelijkingen met andere organisaties. Na elk incident, intern of bij andere bedrijven, worden er nieuwe maatregelen opgesteld om een volgend incident te voorkomen.”
“Maar dat is een vrij statische aanpak, een beetje alsof je autorijdt door alleen in de achteruitkijkspiegel te kijken. We denken als mensen graag dat we heel goed zijn in beslissingen maken en zaken inschatten, maar het is soms heel moeilijk om alle consequenties van een keuze zelf te kunnen overzien.”
In zijn onderzoek heeft Zeijlemaker gekeken naar een aanpak gebaseerd op systeemdynamica, een aanpak dat al langer gebruikt wordt in verschillende andere werelden, van medisch onderzoek tot duurzaamheid.
“Op het gebied van cybersecurity wordt het echter nog maar nauwelijks gebruikt”, aldus Zeijlemaker “Het is een aanpak waarbij je eerst alle factoren inclusief hun samenhang in kaart brengt die meespelen bij het nemen van strategische besluiten op gebied van cybersecurity. Zoals de ontwikkeling van de aanvaller, het gedrag van medewerkers en de kwaliteit van getroffen maatregelen. Deze informatie met relevante data wordt gebruikt voor het maken van computergestuurde simulatiemodellen.”
“Het grote voordeel van deze aanpak is dat het besluitvormende processen kan nabootsen en inzicht geeft in de toekomstige effecten en consequenties van strategische keuzes. Simulaties hebben het voordeel dat zij een veelheid aan mogelijke keuzes kunnen laten zien, zonder dat het directe gevolgen heeft voor de bedrijfsvoering. Dit in tegenstelling tot de werkelijkheid waar besluiten wel directe consequenties hebben. Je ziet bij elke wijziging van één variabele wat het verwachte effect is op de andere variabelen. De wereld van beveiliging is dynamisch, dus de strategische aanpak moet dat ook zijn.”
Bedrijven zullen actief op hun cyberbeleid moeten letten, waarschuwt Zeijlemaker. “Het is niet zomaar een kostenpost die achteloos verhoogd of verlaagd moet worden. Er zal een gesprek op gang moeten komen binnen organisaties: waar geven we ons geld aan uit, en waarom?”
“Door dit soort modellen in te zetten, kunnen we veel toekomstgerichter bezig zijn en proactief besluiten nemen. Dat is belangrijk, want nog te vaak zijn bedrijven onvoldoende voorbereid. Ze gaan ervan uit dat ze desnoods maar wat geld apart kunnen zetten om achteraf de boel te repareren, maar dat is in de praktijk veel duurder dan nu voorbereid zijn. Bovendien liggen de privégegevens en andere gevoelige data dan vaak al op straat. Door proactief de situatie te monitoren, voorkom je extra kosten én problemen achteraf.”