Verrijkende inzichten voor Cyber Security in de keten

Verrijkende inzichten voor Cyber Security in de keten

3 oktober 2017

Gisteren vond de bijeenkomst over Digitale Zorgplichten plaats, die wij samen met FME en VNO NCW hebben georganiseerd. Aanleiding van de bijeenkomst is de handreiking voor bedrijven over zorgplichten in het digitale domein, welke is gepubliceerd door de Cyber Security Raad. Alle drie organisatoren hebben een vertegenwoordiging in de Cyber Security Raad, het adviesorgaan van het Kabinet om cybersecurity op strategisch niveau in Nederland te verhogen.

20171003 Zorgplichten sessie.jpg

Nicole Mallens van VNO NCW trapte de bijeenkomst af en onderstreepte de noodzaak voor alle bedrijven om een adequate invulling aan de zorgplicht te geven. Cybersecurity wordt meer en meer urgent door de toenemende digitaliseringstrend. Pieter Wolters gaf vervolgens een inleiding over de Handreiking zorgplichten. Als mede auteur van de Handreiking, schetst hij een drietal vormen van de digitale zorgplichten:

  1. Zorgplichten in het kader van de verwerking persoonsgegevens. Ieder bedrijf verwerkt persoonsgegevens, omdat alle informatie over een persoon onder persoonsgegevens valt. Immers elk bedrijf slaat gegevens op, of verwijderd of verzameld gegevens. Vanaf mei 2018 wordt de Algemene Verordening Gegevensbescherming ingevoerd. Hierin krijgen bedrijven de verplichting om passende technische en organisatorische maatregelen te nemen.
  2. Zorgplichten in het kader van gebruik van ICT. Belangrijk is dat elk bedrijf eigen verantwoordelijkheid heeft om de eigen gegevens te beveiligen. Zorg dat je je cybersecurity op orde hebt!
  3. Zorgplicht bij bedrijven die producten of diensten met een ICT toepassing aanbieden. Dit kan bijvoorbeeld een auto zijn die vol zit met software of een vliegtuigmaatschappij waar je kunt inchecken via een app. Als de afnemers bestaan uit consumenten, zijn dan zitten daar meer verplichtingen aan vast dan wanneer bedrijven de afnemers zijn.

Pieter benadrukte het belang van bestuursverantwoordelijkheid: het bestuur binnen een bedrijf is te allen tijde eindverantwoordelijk voor cybersecurity.

Hierna nam Sylvia Huydecoper, sr. juridisch adviseur bij Nederland ICT, de aanwezigen mee in een praktische casus waarbij een toezichthouder aanvullende eisen stelt aan een bedrijf dat HR-dossiers van werknemers in de Cloud heeft opgeslagen. Het beveiligen via wachtwoorden was niet afdoende er moest 2-factor authenticatie komen. Wie moest betalen voor deze aanvullende maatregelen? De afnemer van de clouddiensten die zijn persoonsgegevens volgens de AP niet afdoende heeft beschermd of de aanbieder van clouddiensten die geen veilige software heeft aangeboden? Deze casus geeft de complexiteit van het onderwerp weer en de wederzijdse verantwoordelijkheden. Sylvia schetste dat het in het kader van de zorgplicht de bedrijven zelf de verantwoordelijkheid moet nemen en alert moeten zijn op:

  • Awareness (Beveiliging kost geld (10% van je ICT budget))
  • Communiceren door te informeren/waarschuwen.  
  • Onderhoudscontracten: voorkom teksten als “Opdrachtgever is – (…) – gerechtigd het gebruik en/of de implementaties van Updates en Upgrades te weigeren … (GIBIT artikel 8.11)”
  • Security-by-design.

Haar belangrijkste boodschap was dan ook eis van je leverancier dat hij je vertelt hoe het zit, vraag door en onderzoek het. Als het niet duidelijk wordt, schakel dan een onafhankelijke derde partij erbij op.

Hélène Minderman, van Transport en Logistiek Nederland, gaf een kijkje in de sector Transport en Logistiek. De sector opereert zeer internationaal en is bij uitstek ketenafhankelijk. ICT wordt steeds belangrijker in de sector, doordat de digitalisering fors toe neemt, en daarmee krijgt de sector steeds meer te maken met cybercriminaliteit. Hélène gaf het voorbeeld van een logistiek dienstverlener die door een besmetting door ransomware (gijzelsoftware) een week plat heeft gelegen omdat ze niet meer bij de klantgegevens konden. Uit onderzoek is gebleken dat de kennis over cybersecurity binnen de sector verbeterd moet worden. Hélène heeft een aantal tips:

  • Een veilige supply chain is een gezamenlijke verantwoordelijkheid.
  • Maak duidelijke afspraken met elkaar (intern en extern) en leg deze ook vast.
  • Ontwikkel een cybersecurity beleid en zorg dat dit onderdeel is van de ondernemingsstrategie.

Hélène sluit af met dat de opmerking dat cybermaatregelen die sommige bedrijven hadden genomen, eraan bijgedragen hebben dat dat zij de crisis overleefd hebben, dat ze veiliger gemaakt zijn en daardoor meer omzet genereren. Hiermee geven de zorgplichten dus niet alleen lasten, maar ook lusten!

Johan de Wit, van Siemens, vertelde namens FME meer over de complexiteit van ICT in onze huidige maatschappij. Dat komt met name doordat de fysieke en digitale werelden met elkaar verbonden worden (Internet of Things). In zijn presentatie ging Johan dieper in op het verschil tussen IT (kantoorautomatisering) en OT (Operational Technology). De zorgplicht discussie zoals die beschreven is in de handreiking lijkt zich toe te spitsen op de IT-kant, maar de aandacht dient uit te gaan naar alles waar een ICT component in zit, dus zowel IT als OT. Johan vervolgde dat zorgplichten niet zouden moeten gaan over compliance, maar juist gericht zou moeten zijn op iedereen die verantwoordelijk is voor een (deel)proces in de keten voor cybersecurity. Ook gaf hij aan dat het men zich niet moet focussen op de plichten, maar juist de kansen-kant meer benadrukken. Het kan een kans zijn om cybersecurity op te nemen in de ondernemersstrategie, zo ontstaan er nieuwe businessmodellen en spreken we niet meer van zorgplichten maar zorgkansen.

Ronald van der Luit, vanuit het ministerie van Economische Zaken, gaf als laatste spreker een reflectie op de zorgplichten. Hij gaf aan dat het los van de juridische plichten ook een urgentie probleem is. Er hebben recentelijk verschillende incidenten plaatsgevonden die productieprocessen langere tijd frustreerden. Ook EZ is voorstander om de kansen-kant van cybersecurity meer voor het voetlicht te brengen. Zorgplicht is een open norm (flexibel, bestendig en minder regeldruk). Er zijn publiekrechtelijke zorgplichten (vaak sectorspecifieke zorgplichten met een publieke toezichthouder) en privaatrechtelijke zorgplichten. Hier moet verder invulling aan gegeven worden. De handreiking van de CSR geeft niet alleen bewustwording, maar ook een invulling van de zorgplichten. Standaardisatie en certificering kan hierbij ook helpen. Ook geeft Ronald een denkballon mee over het product levenscyclus: wanneer houdt verantwoordelijkheid op en begint die bij de ander?

Doel van de sessie was de ICT zorgplichten, die iedere organisatie heeft, vanuit de verschillende invalshoeken te belichten. Zowel vanuit de brancheorganisaties, klantenkant, overheid als leveranciers was er een heldere boodschap: software is nog steeds de achilleshiel van digitale veiligheid. Hierover communiceren is key, ga het gesprek aan, intern met je medewerkers en extern in je keten met je leveranciers en klanten, en maak er afspraken over!

Close