Haast dagelijks verschijnen er verhalen over grote organisaties getroffen door ransomware, malware en andere cybercriminaliteit. Dat leidt niet alleen tot forse kosten, maar ook voor uitgelekte privégegevens en in het uiterste geval zelfs staatsgeheimen die op straat komen te liggen. Het is een wereld waarin de aanvaller en zijn aanpak continu evolueren en innoveren. Maar waar bedrijven wel groeien of krimpen en continu met nieuwe omstandigheden te maken krijgen, passen ze hun beveiligingsbeleid daar maar beperkt op aan.
Zeijlemaker: ‘Bestuurders die keuzes moeten maken op het gebied van cybersecurity, worden ondersteund door allerlei standaarden, raamwerken, en vergelijkingen met andere organisaties. Na elk incident, intern of bij andere bedrijven, worden er nieuwe maatregelen opgesteld om een volgend incident te voorkomen. Maar dat is een vrij statische aanpak, een beetje alsof je autorijdt door alleen in de achteruitkijkspiegel te kijken. We denken als mensen graag dat we heel goed zijn in beslissingen maken en zaken inschatten, maar het is soms heel moeilijk om alle consequenties van een keuze zelf te kunnen overzien.’
Systeemdynamica
In zijn onderzoek heeft Zeijlemaker gekeken naar een aanpak gebaseerd op systeemdynamica, een aanpak dat al langer gebruikt wordt in verschillende andere werelden, van medisch onderzoek tot duurzaamheid. ‘Op het gebied van cybersecurity wordt het echter nog maar nauwelijks gebruikt,’ aldus Zeijlemaker ‘Het is een aanpak waarbij je eerst alle factoren inclusief hun samenhang in kaart brengt die meespelen bij het nemen van strategische besluiten op gebied van cybersecurity, zoals de ontwikkeling van de aanvaller, het gedrag van medewerkers, en de kwaliteit van getroffen maatregelen. Deze informatie met relevante data wordt gebruikt voor het maken van computergestuurde simulatiemodellen’.
‘Het grote voordeel van deze aanpak is dat het besluitvormende processen kan nabootsen en inzicht geeft in de toekomstige effecten en consequenties van strategische keuzes. Simulaties hebben het voordeel dat zij een veelheid aan mogelijke keuzes kunnen laten zien zonder dat het directe gevolgen heeft voor de bedrijfsvoering, in tegenstelling tot de werkelijkheid waar besluiten wel directe consequenties hebben. Je ziet bij elke wijziging van één variabele wat het verwachte effect is op de andere variabelen. De wereld van beveiliging is dynamisch, dus de strategische aanpak moet dat ook zijn.
Hoge kosten achteraf voorkomen
Bedrijven zullen actief op hun cyberbeleid moeten letten, waarschuwt Zeijlemaker. ‘Het is niet zomaar een kostenpost die achteloos verhoogd of verlaagd moet worden. Er zal een gesprek op gang moeten komen binnen organisaties: waar geven we ons geld aan uit, en waarom? Door dit soort modellen in te zetten, kunnen we veel toekomstgerichter bezig zijn en proactief besluiten nemen. Dat is belangrijk, want nog te vaak zijn bedrijven onvoldoende voorbereid. Ze gaan ervan uit dat ze desnoods maar wat geld apart kunnen zetten om achteraf de boel te repareren, maar dat is in de praktijk veel duurder dan nu voorbereid zijn. Bovendien liggen de privégegevens en andere gevoelige data dan vaak al op straat. Door proactief de situatie te monitoren, voorkom je extra kosten én problemen achteraf.’
Meer informatie? Neem contact op met
- Sander Zeijlemaker, s.zeijlemaker [at] disem-institute.com (s[dot]zeijlemaker[at]disem-institute[dot]com)
- Wetenschapscommunicatie Radboud Universiteit, 024 3616000, media [at] ru.nl (media[at]ru[dot]nl)