KPMG: CEO maakt zich weinig zorgen over risico’s internetcriminaliteit
De bestuurders hebben vooral oog voor operationele risico’s die bedrijfsvoering met zich meebrengt, de risico’s die wet- en regelgeving voor de onderneming opleveren en de risico’s die de gekozen ondernemingsstrategie met zich meebrengt.
Risico op cybercrime onvoldoende afgedekt
In de ranglijst van de belangrijkste risico’s waarmee een onderneming geconfronteerd zou kunnen worden neemt internetcriminaliteit een achtste plaats in. ‘Die positie is bepalend voor de aandacht die het fenomeen in de bestuurskamer krijgt’, zegt Rob Fijneman, lid van de Raad van Bestuur van KPMG en als Head of Advisory verantwoordelijk voor de adviespraktijk. Fijneman: ‘Dat betekent ook dat het risico op cybercrime onvoldoende is afgedekt. Van de onderzochte bestuurders geeft minder dan de helft aan dat de onderneming volledig is voorbereid op aanvallen van internetcriminelen. En 45% heeft tot op zekere hoogte maatregelen genomen om het risico tegen te gaan.’
Vooral goede voornemens
Uit het onderzoek van KPMG blijkt dat meer dan de helft van de onderzochte bedrijven van plan is om maatregelen te nemen die een aanval van internetcriminelen kunnen voorkomen. Van de ondernemingen die wel maatregelen hebben getroffen geeft de helft aan dat zij het hebben gezocht in de benoeming van een bestuurder met cyber security in zijn portefeuille en de oprichting van een speciaal cybersecurity team. Daarnaast hebben de bedrijven de bestaande technologie verbeterd en hebben zij de interne procedures aangescherpt, bijvoorbeeld als het gaat het delen van de gegevens en het gebruik van hardware.
Gevolgen aanzienlijk onderschat
Het onderzoek maakt volgens Fijneman op pijnlijke wijze duidelijk dat het onderwerp weliswaar op de agenda van de Raad van Bestuur staat, maar dat de mogelijke gevolgen van een inbreuk aanzienlijk worden onderschat. Fijneman: ‘Dat betekent dat bedrijven niet in staat zijn een krachtig antwoord te geven op de veelheid van dreigingen die gaan voortkomen uit dit relatief jonge domein. Elke CEO die de risico’s voor de onderneming daadwerkelijk weet te doorgronden, is zich bewust van het feit dat het cyberrisico het meest onvoorspelbare risico is dat er bestaat en voor de meest ingrijpende verstoringen in de bedrijfsvoering kan zorgen.’
Aard van de aanvallen verandert
De aard van cybersecurity aanvallen is volgens John Hermans, Cyber Security lead partner van KPMG, bovendien duidelijk aan het veranderen. Hermans: ‘Traditioneel zijn bedrijven met name gericht geweest op het voorkomen van het lekken van gegevens en het beschermen van de privacy. Hoewel de gevolgen van dit soort inbreuken ernstig kunnen zijn, heeft de schade als gevolg van het hacken van complete controlesystemen een hele andere dimensie. Bij veel bedrijven worden productieprocessen geleid door computersystemen, die in het algemeen erg gedateerd zijn en dus kwetsbaar voor aanvallen van buitenaf.’
Voldoende waarschuwingen
‘De afgelopen tijd zijn er genoeg waarschuwingen geweest voor bedrijven om de gevolgen van dit soort aanvallen op waarde te schatten’, zegt Hermans. ‘We hebben voorbeelden gezien van aanvallen waarbij het totale productieproces werd verstoord of ingrijpender nog, waarbij het kwaliteitsproces door hackers dusdanig werd ontregeld dat onvolkomen producten in het circuit en op de markt kwamen. Nu ondernemingen steeds meer activiteiten uitbesteden aan derden worden zij bovendien steeds gevoeliger voor spionage en diefstal van intellectuele eigendommen. Het besef van de schade die dit oplevert, gaat op de korte termijn wellicht bijdragen aan het beeld dat de bestuurder van cybercrime zou moeten hebben: dat het geen IT-issue is en dat gedegen voorbereiding niet alleen een kostenpost is, maar een aanzienlijk concurrentievoordeel oplevert.’
• Global CEO Outlook 2015