Table of contents
- 1 Hoofdstuk 1: Inleiding
- 2 Hoofdstuk 2
- 2.1 Waarom top-down governance geen optie is
- 2.2 De belangrijkste bedreigingsactoren
- 2.3 Video: Samenvatting
- 2.4 Widget: Calculator voor de financiële impact van ransomware
- 3 Hoofdstuk 3
- 3.1 Casestudies van vijf belangrijke studierichtingen
- 3.2 Widget 2: Scorekaart voor de volwassenheid van cybergovernance binnen de raad van bestuur
- 3.3 Widget 3: Threat Actor Intelligence Explorer
- 4 Conclusie
1 Hoofdstuk 1: Inleiding
2 Hoofdstuk 2
2.1 Waarom top-down governance geen optie is
Waarom top-down governance geen optie is
Cyberbeveiliging is geen technologisch probleem, maar een bestuurlijk probleem. In dit eerste deel wordt uitgelegd waarom de raad van bestuur wettelijk aansprakelijk is en wat dat in de praktijk betekent.
1.1 Het systemische karakter van cyberbeveiliging
Een firewall bepaalt niet hoeveel er aan beveiliging moet worden uitgegeven. Een SIEM-systeem bepaalt niet of er in personeelstraining moet worden geïnvesteerd. Een patchmanagementsysteem bepaalt niet of verouderde OT-systemen worden vervangen. Dit zijn beslissingen van het bestuur – genomen door de raad van bestuur. En de raad van bestuur is daar nu wettelijk verantwoordelijk voor.
De raad van bestuur bepaalt de risicobereidheid. Als de raad van bestuur niet voldoende is geïnformeerd over cyberrisico's – in termen die zij kan begrijpen en waarop zij kan reageren – dan is de risicobereidheid die zij vaststelt ongefundeerd. Een ongefundeerde risicobereidheid is geen verdediging. Het is een falen van het bestuur.
De drie faalmodi van cybergovernance binnen besturen
Delegatie zonder verantwoording af te leggen
"We hebben een CISO – dat is hun taak." De CISO voert het programma uit; de raad van bestuur bepaalt de risicobereidheid, keurt het programma goed, controleert de effectiviteit ervan en stelt de CISO verantwoordelijk.
Budgetteren zonder begrip
Het goedkeuren van een cybersecuritybudget zonder te begrijpen wat ermee wordt gekocht en welke risico's er nog bestaan, is geen goed bestuur, maar een blanco cheque die aansprakelijkheid creëert zonder enige zekerheid.
Beleid zonder bewijs
Uitstekende beleidslijnen op papier die nooit worden gecontroleerd. Een beleidslijn die stelt dat "alle gegevens versleuteld zijn" betekent niets als niemand heeft gecontroleerd of ze daadwerkelijk versleuteld zijn.
2.2 De belangrijkste bedreigingsactoren
De belangrijkste bedreigingsactoren
Inzicht in wie organisaties aanvalt – en waarom – vormt de basis voor weloverwogen risicobeslissingen op bestuursniveau.
1.2 Actoren op nationaal-staatsniveau
Door de staat gesteunde groeperingen uit Rusland, China, Noord-Korea en Iran voeren aanvallen uit voor geopolitieke inlichtingen, industriële spionage en het ontwrichten van kritieke infrastructuur. Deze actoren opereren met onbeperkte tijd, middelen en juridische straffeloosheid binnen hun eigen rechtsgebied.
- → China's Volt Typhoon: al jarenlang strategisch gepositioneerd in de kritieke infrastructuur van de VS en Europa, wachtend op geopolitieke triggers. Farmaceutische bedrijven, energiebedrijven en halfgeleiderfabrikanten zijn prioritaire doelwitten.
- → De Russische zandworm: verantwoordelijk voor NotPetya (2017) — wereldwijde schade van meer dan $10 miljard, waaronder $300 miljoen voor Maersk en $870 miljoen voor Merck. Door verzekeraars geclassificeerd als een 'oorlogsdaad'.
- → De Lazarus-groep van Noord-Korea: voert ransomware-aanvallen en cryptovalutadiefstal uit om staatsprogramma's te financieren. Verantwoordelijk voor WannaCry (2017) — wereldwijde schade van meer dan $4 miljard, waarbij 80.000 apparaten van de Britse gezondheidsdienst NHS werden versleuteld.
Georganiseerde criminele ransomwaregroepen (RaaS)
Ransomware-as-a-Service heeft cybercriminaliteit geïndustrialiseerd. Groepen zoals LockBit, BlackCat/ALPHV, Cl0p en Royal werken met partnerprogramma's, waarbij ze technische specialisten, onderhandelaars en witwasnetwerken rekruteren.
- → Gemiddelde losgeldeis van bedrijven (2024): $5 miljoen tot meer dan $50 miljoen . Gemiddelde totale kosten van een incident: $4,5 miljoen voor middelgrote bedrijven, meer dan $30 miljoen voor grote ondernemingen.
- → Dubbele afpersing: gegevens worden zowel versleuteld als gestolen. Slachtoffers worden geconfronteerd met zowel een operationele stilstand als de dreiging van openbaarmaking van gevoelige gegevens.
- → Drievoudige afpersing: aanvallers nemen rechtstreeks contact op met klanten, partners, toezichthouders en de media, waardoor er druk ontstaat die onafhankelijk is van de reactie van de organisatie.
- → Het RaaS-model betekent dat aanvallen nu toegankelijk zijn voor minder bekwame personen — elke crimineel kan de infrastructuur huren.
2.3 Video: Samenvatting
2.4 Widget: Calculator voor de financiële impact van ransomware
3 Hoofdstuk 3
3.1 Casestudies van vijf belangrijke studierichtingen
Vijf belangrijke casestudies
Echte incidenten die de huidige regelgeving hebben gevormd. Elk incident bevat een directe les voor bestuur op directieniveau.
1.3 Wat is er gebeurd — en wat betekent dit voor uw bestuur?
Casus 1 — Jaguar Land Rover: Productiestop (2022)
Ransomware versleutelde operationele technologiesystemen (OT-systemen) die verbonden waren met productielijnen, waardoor de productie in meerdere fabrieken wekenlang stil kwam te liggen. Financiële impact: honderden miljoenen. Belangrijkste les: de 'luchtkloof' tussen IT- en OT-systemen is in de moderne, verbonden productieomgeving grotendeels een mythe. Een cyberaanval legde fysieke productielijnen stil.
Heeft uw organisatie een gedocumenteerd en getest beleid voor de scheiding van operationele technologie (OT) en IT? Heeft de directie een briefing ontvangen over welke fysieke activiteiten door een cyberincident stilgelegd zouden kunnen worden?
Zaak 2 — British Airways: Datadiefstal, GDPR-boete van £20 miljoen (2018)
Kwaadaardige JavaScript-code heeft gedurende 62 dagen ongemerkt betaal- en persoonsgegevens van ongeveer 500.000 klanten gestolen. De aanval vond plaats via een gecompromitteerde externe leverancier, maar BA kreeg de volledige boete te verduren. De belangrijkste les: aansprakelijkheid van derden is uw aansprakelijkheid.
Casus 3 — MOVEit Global Supply Chain Attack (Cl0p, 2023)
Zero-day kwetsbaarheid in MOVEit-bestandsoverdrachtsoftware. Meer dan 2500 organisaties getroffen, 83 miljoen records blootgesteld. BBC, British Airways, Shell, Boots en Amerikaanse federale instanties werden allemaal tegelijkertijd getroffen. Dit leidde tot een meldingsplicht van 72 uur in tientallen rechtsgebieden tegelijk.
Casus 4 — MGM Resorts: Social Engineering, verlies van meer dan $100 miljoen (2023)
Aanvallers belden de IT-helpdesk, deden zich voor als een medewerker die ze via LinkedIn hadden gevonden en vroegen om een MFA-reset. De volledige technologische infrastructuur van MGM – speelautomaten, hotelkamerkaarten, kassasystemen in restaurants, reserveringssystemen – lag meer dan tien dagen plat. Er was geen sprake van een geavanceerde technische aanval. Een telefoontje was voldoende om de volledige beveiliging te omzeilen.
Casus 5 — SolarWinds: Toeleveringsketen tussen natiestaten (2020)
De Russische staatsactor APT29 heeft de SolarWinds Orion-softwarebuildpipeline gecompromitteerd en malware verspreid naar 18.000 organisaties, waaronder het Amerikaanse ministerie van Financiën, het Department of Homeland Security (DHS) en Microsoft. De aanval bleef negen maanden onopgemerkt. Het was de meest geavanceerde bekende supply chain-aanval in de geschiedenis – gericht op het softwareontwikkelingsproces zelf.