Inspiratie

Commissaris online; target voor cybercriminelen

Koen Gijsbers, voorheen General Manager NATO, Information Technology & Cybersecurity en oprichter Cyber4Board, heeft zich in zijn NAVO-tijd voornamelijk beziggehouden met de digitale veiligheid rond de Secretaris-Generaal en de digitale systemen van de NAVO. Hij komt met een serieuze waarschuwing voor commissarissen: je bent als commissaris een high profile en high value target voor cyber criminelen!

DOEL OF MIDDEL

Je hebt snel de neiging om te denken dat je niet interessant bent voor cybercriminelen. Dat het zo’n vaart niet loopt. En dat klopt vaak ook. De cybercriminelen van tegenwoordig zijn geen individuele hackers meer, maar goed georganiseerde misdaadorganisaties met vaak veel middelen tot hun beschikking. Het gaat hen niet zozeer om jou, maar om wat ze kunnen bereiken via jou. Als commissaris heb je toegang tot relevante informatie en beschik je over kanalen om die tot je te nemen. Juist omdat je zijdeling betrokken bent en vaak niet vanuit een vaste werkplek in een goed beveiligde kantooromgeving met zaken op bestuursniveau bezig bent, loop je een verhoogd risico dat cybercriminelen via jou proberen toegang te krijgen tot het bedrijf waar je toezicht op houdt. Er zijn meerdere gevallen bekend waarbij grote servers zijn benaderd via een thuisaccount dat niet goed beveiligd was of omdat iemand niet helemaal goed oplette. Ga maar na: hoe vaak krijg je zelf een mailtje of een belletje waarbij je aan je water voelt dat het niet klopt? Als je dat gevoel hebt, open dan niets, klik nergens op en gooi het weg. Dingen die je niet verwacht, gebeuren ook niet via mail of telefoon. Als het toch iets belangrijks was, komt het alsnog wel op een andere, lees veilige, manier bij je terug. Uiteraard hangt het af van het bedrijf hoeveel schade aangericht kan worden. Wat zijn de consequenties als gevoelige informatie op straat komt te liggen? Wat betekent het voor de veiligheidssituatie van de medewerkers of de omgeving van het bedrijf als technische systemen door derden kunnen worden bediend of plat kunnen worden gelegd? Inderdaad! Dat wil je niet op je geweten hebben.

RISKMANAGEMENT

Het is niet nodig om zenuwachtig te worden. Het gaat hierbij om riskmanagement. In kantooromgevingen is de veiligheid meestal goed geregeld, maar het kan geen kwaad om controle daarvan eens in de zoveel tijd op de bestuurs-/toezichtagenda te zetten. Het grote gevaar schuilt in de thuissituatie. Daar lopen werk en privé ongetwijfeld door elkaar en is het voor cyber criminelen makkelijker binnenkomen. De meeste mensen hebben thuis een prive netwerk, via welk ze ook werken. Ze beschikken over een computer, router, maar vergeet je (smart) TV niet, en andere technische devices die verbinding maken met het internet als telefoons, ipads en zelfs soundbars. Hoe meer devices er zijn aangesloten op het internet, hoe groter het risico. Als je toezicht houdt op een bedrijf waar wat grotere belangen spelen, is het verstandig om thuis een veilig netwerk professioneel te laten installeren.

CONCRETE TIPS VOOR CYBERSECURITY VOOR COMMISSARISSEN

  • maak thuis een scheiding tussen een werk- en prive-netwerk, laat gasten slechts toe tot het prive-netwerk;
  • doe online aankopen via je privé computer en niet via je werkcomputer. Koop online geen goedkope Chinese spullen en weet zeker, dat je je in een legitieme webshop bevindt;
  • gebruik tweefactor authentificatie als dat beschikbaar is. Hiermee leg je de lat hoger voor de cybercriminelen en vergroot je de kans dat ze je links laten liggen en bij een ander gaan kijken, waar het gemakkelijker binnenkomen is. Zet het vandaag nog aan voor je Whatsapp! Het is te vinden onder de in-app instellingen en wordt vervolgens af en toe gevraagd als je gebruik maakt van de app;
  • plak webcam’s af, als je er geen gebruik van maakt en houdt rekening met waar je gaat zitten tijdens een online meeting en wat je op die manier laat zien; je weet nooit wie er meekijkt;
  • laat geen papieren met vertrouwelijke aantekeningen op je bureau liggen. Shred ze voor het weggooien; als je echt getarget bent, komen ze ook in je vuilnis snuffelen;
  • wees je er bewust van dat de smart devices die je bij je draagt informatie over je rapporteren. Google is dat niet actief aan het verzamelen, maar criminelen kunnen dat -als ze binnen zijn- wel uitlezen en gebruiken;
  • schoon af en toe je telefoon op en gooi apps die je niet gebruikt weg. Ook ongebruikte apps verzamelen informatie;
  • in dat kader is het ook goed om te bedenken wanneer je wat post op social media. Als je een mooie locatie deelt, is het duidelijk dat je niet thuis bent, dus ligt daar de boel voor het grijpen. Deel gerust, maar doe dat als je weer thuis bent.

EENVOUDIGE MAATREGELEN VOORKOMEN GROTE PROBLEMEN

Joris den Bruinen, algemeen directeur van The Hague Security Delta en meervoudig commissaris, heeft vaak met Koen samengewerkt inzake deze materie. Hij bevestigt dat deze maatregelen er vrij eenvoudig voor kunnen zorgen dat je veiligheid in orde is en dat als je het niet doet, je ernstig in de problemen kunt komen. Hij vult aan, dat je als commissaris in praktijk vragen kunt stellen over hoe de veiligheid bij het bedrijf waar je toezicht op houdt is geregeld. Ook is van belang hoe de medewerkers én bestuurders zijn geïnstrueerd en hoe ze hier zelf in praktijk mee omgaan. En bedenk wie die vragen aan jou zou moeten stellen!

TOEVOEGING DOOR OPLETTENDE LEZER

Maart 2021 – Deze lezer miste in bovenstaand artikel beveiligingstips met betrekking tot beveiliging bij de verspreiding van stukken binnen de RvC. Een enkele RvC blijkt gebruik te maken van een document management systeem, maar vaak is dat nog niet het geval. Meestal wordt informatie verspreid door middel van plain tekst in email met alle risico’s van dien.

Het is dan ook aan te raden om daarvoor gebruik te maken van een standaard functionaliteit om documenten te versleutelen.