Wie zich het verleden niet meer voor de geest kan halen, is gedoemd zichzelf te herhalen. Menig cybersecurityleider en -expert laat zich leiden door de waan van de dag. Door alles wat de directe aandacht opeist – aanvallen die plaatsvinden en de ad-hoc reacties daarop – lukt het ons maar niet om te reflecteren op en te leren van het verleden.
Gartner analist Toby Bussa wierp afgelopen november tijdens een online keynote (Cybersecurity 2030: A look Ahead) een blik in de toekomst met betrekking tot cybersecurity. Hieronder volgt een weerslag van zijn verhaal. Sinds 2010 zijn we van antivirussoftware en firewalls getransformeerd naar een compleet nieuwe werkelijkheid.
Toentertijd werden cloud-services door steeds meer organisaties afgenomen, wat grotere verantwoordelijkheden met zich meebracht voor beveiliging en risicobeheer. Data en privacy werden de voornaamste onderwerpen en nieuwe regels en wetten schoten als paddenstoelen uit de grond. Een datalek werd toen nog breed uitgemeten in het nieuws en kosten betrokken leidinggevende niet zelden hun baan. Inmiddels kijkt niemand er meer van op. Aanvallen en ransomware transformeerden van een consumentenoverlast naar doelgerichte ondermijning van bedrijven. Kunstmatige intelligentie en machine learning drongen niet alleen door in het zakelijke domein, maar ook in beveiligingstechnologie. Hoewel de veranderingen op het gebied van cybersecurity veel omvangrijker zijn gebleken dan we ons tien jaar geleden konden voorstellen, blikken we toch vooruit. Wat staat ons het komende decennium te wachten? Enkele scenario’s.
Balkanisering
Een van de scenario’s die zich zal voltrekken is dat grote ondernemingen in toenemende mate actief zullen zijn in versplinterde digitale samenlevingen. Met digitale nationalisten enerzijds en digitale globalisten aan de andere kant. De nationalisten controleren strak het lot van de community en beschermen hun nationale soevereiniteit, terwijl de globalisten meer open staan voor het delen met buitenstaanders en het hele nationalistische concept achterhaald vinden. Het gebalkaniseerde technologische landschap laat zich illustreren met het internet en de cloud.
Volgens het Center for International Governance Innovation valt het internet, vanwege overheidsmaatregelen, uiteen in vier verschillende smaken: 1) het open internet, 2) het burgerlijke internet, 3) het autoritaire internet en 4) het commerciële internet. Deze balkanisering ontstaat nu al op landniveau met controles en blokkades van bepaalde websites. Toen de AVG van kracht werd, besloten sommige website-eigenaren zelfs om bezoekers uit bepaalde landen of de EU simpelweg te blokkeren, in plaats van dat ze een serieuze poging ondernamen om aan de regelgeving te voldoen.
Eenzelfde versplintering en nationalisatie manifesteert zich mondjesmaat al bij de cloud. Sommige cloud-omgevingen zijn speciaal gebouwd om te voldoen aan nationale en of regionale vereisten. Overheden ontwikkelen hun eigen technologie die alleen in eigen land beschikbaar komt of in landen met een vergelijkbare politieke stellingname. Een voorbeeld is GAIA-X, een Europees initiatief om gemeenschappelijke eisen te ontwikkelen voor een Europese data-infrastructuur. ‘Door Europa voor Europa’, zo kopt hun website met als doel ‘een veilig, federaal systeem dat voldoet aan de hoogste normen van digitale soevereiniteit’. Dus, nog los van cybersecurity, kibbelen naties nu al over welke technologieën wel of niet mogen worden ingezet. Niet alleen omdat ze elkaar niet vertrouwen, maar ook om de binnenlandse markt te ondersteunen. Het is een nationaal streven om een verdedigbare, concurrerende positie te creëren in de digitale wereld.
Nieuw vocabulaire
Een ander scenario dat ons te wachten staat is dat toenemende complexiteit in wet- en regelgeving de nieuwe norm wordt. Technologische innovaties zullen versnellen evenals de digitale transformatie en het digitaal zakendoen. En volgens het principe van actie=reactie zullen regelgevers blijven reageren op de effecten van deze versnellingen.
Het probleem is alleen dat nieuwe wetten veel langzamer bewegen dan nieuwe technologieën en ontwrichtende bedrijfsmodellen, met als onvermijdelijk gevolg dat de kloof tussen regelgeving en nieuwe technologieën alleen maar groter zal worden. In de tussentijd ondergaan cybersecurity en risicobeheer hun eigen digitale transformatie.
Cybersecurityleiders zullen moeten leren navigeren te midden van de dynamiek van de hierboven beschreven verwachtingen én die van de digitale transformatie van hun eigen organisatie. Dat zal er voor iedere organisatie anders uitzien, afhankelijk van branche, geografie en reikwijdte. Hierin zal, zoals altijd, een nieuw vocabulaire ontstaan met termen als cyberrisico (cyber risk), cyberoordeel (cyber judgment), cyberfysiek (cyber physical), cyberweerbaarheid (cyber resilience), cyberveiligheid (cyber safety). Cyberweerbaarheid of cyberveerkracht is de mate van adaptie en reactie op een dreiging of een mislukking van een digitaal bedrijfsecosysteem.
Een cyberweerbare of -veerkrachtige organisatie is in staat om software, technologie, infrastructuur en services snel en betrouwbaar te herstellen ondanks vijandige of ongunstige verstoringen van dat ecosysteem. Cyberoordeel is een nieuwe benadering om besluitvormers binnen de hele onderneming beter in staat te stellen zelfstandig geïnformeerde risicobeslissingen te nemen, in plaats van te vertrouwen op een gecentraliseerde of geautomatiseerde aanpak. Dat begint bij het wegnemen van de informatiebeveiligingsfunctie als bottleneck in het besluitvormingsproces.
De nieuwe CISO
Uiteraard omvat cybersecurity meer dimensies dan sec de technologie. Evenals de cybersecurityleiders die niet in staat zijn te leren van het verleden, zijn beveiligingsexperts die zich uitsluitend focussen op de technologie in zekere mate blind. Ook hun leidinggevenden gaan niet vrijuit. Het begint erop te lijken dat de ‘s’ in de afkorting CISO niet staat voor ‘security’ maar voor ‘scapegoat’: zondebok. Dat moet echt veranderen in de toekomst.
De CISO’s en andere security officers moeten op gelijkwaardige voet samenwerken met stakeholders over functies heen. Alleen dan kan de CISO, of hoe deze functie in de toekomst ook mag gaan heten, veerkrachtig omgaan met crises. Daartoe moet hij of zij dezelfde taal leren spreken als andere bedrijfsleiders. Anderzijds moeten deze bedrijfsleiders hun security officers beschouwen en behandelen als vertrouwde adviseurs in plaats van als zondebok. Een deel van de verantwoordingsplicht zal verschuiven naar andere delen van de organisatie. Veerkracht, vertrouwen en veiligheid zijn de belangrijkste termen die horen bij de verantwoordelijkheden van de CISO. Zij/Hij zal meer de rol van gids en adviseur krijgen en zij/hij zal essentieel zijn in het creëren van veerkracht binnen de organisatie. We zien bijvoorbeeld al dat fysieke beveiliging en informatiebeveiliging worden samengebracht onder de chief security officer.
Nieuwe functies
Digitale bedrijfsinitiatieven biedt organisaties veel kansen en nieuwe manieren van zakendoen. Dit brengt vanzelfsprekend nieuwe risico’s met zich mee en aanvullingen op reeds bestaande risico’s. Juist in dit kader is het aan cybersecurityprofessionals om de veerkracht van de digitale organisatie te ondersteunen. Malware en cyberdreigingen kunnen zelfs een deel van de veerkrachtbehoeften stimuleren. Dat geldt evenzeer voor wet- en regelgeving, menselijke fouten, geopolitieke ontwikkelingen en natuurrampen. Denk bijvoorbeeld aan hoe organisaties zich hebben moeten aanpassen aan de COVID-maatschappij. Dat valt onder natuurrampen, een externe kracht. Ze moesten op stel en sprong een thuiswerkbeleid implementeren. Aanvallers van buitenaf probeerden te profiteren van deze snelle verschuiving naar thuiswerk, terwijl de overheid waarschuwingen rondstuurde over oplichting en phishing-mails. We zagen ook een toename in aanvallen op de beveiligde communicatie-infrastructuur die het werken op afstand ondersteunt. Cybersecurity loopt parallel met de digitale transformatie, waardoor nieuwe vaardigheden worden ontwikkeld en in het verlengde daarvan nieuwe functies. Denk aan een Security Ombudsman, een Trust & Ethics Officer of een Digital Ecosystem Manager. Dit zijn vooralsnog geen functies die vanaf een voorraadplank kunnen worden opgevuld. Interne ontwikkeling en toekomstgerichte activiteiten die de nieuwe rollen en verantwoordelijkheden identificeren, worden hierbij heel belangrijk.
Nieuwe waarde
Waak ervoor dat cybersecurity wordt ingezet als de verzekeringspolis voor een organisatie. In plaats van een kostenpost moet het als een waardegenerator worden ingezet. Hier praten we al enige tijd over, maar het wordt nog lang niet door alle partijen omarmd. In Gartners CIO-survey van 2020 komt duidelijk naar voren hoe serieus IT cybersecurity neemt. Op de vraag welke IT wordt ingezet voor het behalen van concurrentievoordeel staat cybersecurity met stip bovenaan de lijst.
Hierin verschillen de fitte en fragiele organisaties nauwelijks. Misschien speelt hier ook mee dat cyberbeveiliging en risicobeheer bezig is met een inhaalslag na jaren van gebrekkige financiering. Hoe je er ook naar kijkt, cybersecurity raakt aan al die nieuwe technologieën die door het digitaal zakendoen nu en in de toekomst worden ingezet. Denk daarbij aan kunstmatige intelligentie, RPA (Robotic Process Automation), Edge Computing, Kubernetes, Digital Twins en Quantum Computing. Een belangrijke overweging om zaken te doen met een organisatie is in hoeverre ze hun cybersecurity op orde hebben.
Daarom moet cybersecurity er bovenop zitten om er zeker van te zijn dat de gebruikte technologie op een veilige en gepaste manier wordt ingezet. Dat zal leiden tot het genereren van waarde voor de organisatie en, in het verlengde daarvan, concurrentievoordeel. Dat gaat niet alleen om het voorkomen van incidenten, want die doen zich toch wel voor. Het gaat om de manier waarop de organisatie zich beweegt te midden van de verscheidenheid aan technologieën. Met name iets als security en privacy by design creëert vertrouwen bij klanten en andere organisaties.
Scenarioplanning
Volgens Dan Geer, de bekende risk management expert, is cybersecurity een van de moeilijkste domeinen om nauwkeurig te voorspellen. Zoals gezegd bleken onze voorspellingen tien jaar geleden grotendeels een slag in de lucht. Laten we ons daarom, met dit in het achterhoofd, eerst concentreren op hoe de wereld er over drie jaar uit zou kunnen zien? En laten we daarbij direct de term ‘nauwkeurig’ schrappen en met een brede blik onze eigen aannames uitdagen en loskomen van onze huidige dagelijkse realiteit. Vergeet de huidige modellen en alles wat alleen daarin past. Bedrijfsleiders zouden veel meer aan scenarioplanning moeten doen vanuit deze mindset. Het helpt om verhalen te creëren omtrent de toekomst, terwijl we ons sterk bewust blijven van de lessons learned.
Een andere benadering in het ontwikkelen of verbeteren van jouw cybersecuritystrategie is door na te denken over de volgende drie factoren: 1) wat kun je beheersen? 2) wat kun je beïnvloeden? 3) wat kun je niet beheersen noch beïnvloeden? Beheersbare zaken zijn wellicht hoe je een risicoanalyse uitvoert, hoe je prioriteiten stelt, welke programma’s je implementeert, hoe je risico’s behandelt, het budget. Wat je niet kunt beheersen of beïnvloeden zijn de technologische trends, het dreigingslandschap, maatschappelijke normen en – zoals we in 2020 aan den lijve hebben ondervonden – externe natuurlijke krachten. Bij het bepalen van een strategie voor de toekomst moet je rekening houden met zaken als geopolitiek, technologie, vertrouwen, cultuur, regelgeving, milieu, ethiek en economie.
Futuristische mindset
Dus, hoe laat je jouw innerlijke futurist vrij om sterker tevoorschijn te komen uit de digitale transformatie? Gartner analist Frank Buitendijk heeft daar het volgende voor bedacht. Hoewel het niet specifiek voor cybersecurity is ontworpen, helpt het om de traditionele mindset om te vormen naar een futuristische mindset. Volgens Buitendijk verbindt een effectieve futurist de toekomst met vandaag. Hiertoe moet je uiteraard inzien dat een toekomstvisie belangrijk is.
De drie stappen om dat te doen zijn: verbeelding, planning en daadwerkelijk beginnen, vandaag nog. Voor die laatste stap zijn er drie eenvoudige hulpmiddelen: een premortem, een belofte en een mission statement. Hiermee kun je de betrokken leiders daadwerkelijk betrekken bij het serieus kijken naar de toekomst. Stel jezelf daarbij de vraag hoe je tijdens het samenstellen van jouw eigen toekomst die van de organisatie veilig stelt.
Lees ook:
- AP luidt noodklok: explosieve toename datadiefstal
- Ed Lute: Antifragiel – Overleven is goed, sterker worden is beter
