Ryan Dodd was al twintig jaar werkzaam in de financiële wereld als investeerder, toen hij zich realiseerde hoe vreemd het eigenlijk is dat veel organisaties geen bedrag weten te plakken op het cyberrisico dat zij lopen. Die verbazing mondde enige jaren later uit in een door hemzelf gefinancierd en opgezet platform dat een standaard moet gaan bieden aan organisaties om te bepalen hoe groot het digitale risico is dat zij lopen.
“Ik was destijds verantwoordelijk voor een portfolio aan bedrijven voor wie hun belangrijkste asset hun data was. Ieder ander bedrijf kan vertellen wat ze doen om hun belangrijkste bezittingen te beschermen, maar de bedrijven die data als belangrijkste bezit hadden, konden dat niet.” Belangrijker nog, zegt Dodd, was dat er überhaupt geen standaard manier bestond om over de risico’s en bescherming van data als asset te praten. “Daardoor stond het ook niet op de agenda van het bestuur. Zij zagen het als typisch een IT-aangelegenheid.”
Werken in complexe omgevingen
Dodd vond dat vreemd en gezien zijn achtergrond in de financiële wereld waar hij vooral werkzaam was in opkomende markten en bijzonder gecompliceerde jurisdicties, begon hij een model te bedenken om het bedrijfsrisico op digitaal gebied in kaart te kunnen brengen voor bedrijven. “Doordat ik in complexe en opkomende markten heb gewerkt, waar vrijwel geen bestaande regels zijn, ben ik gewend om raamwerken te bedenken en modellen te creëren om te begrijpen hoe een bepaald land werkt.” Een ander belangrijk aspect uit zijn achtergrond dat hem hielp bij het opzetten van het platform dat hij Cyberhedge doopte, was dat hij gewend was om mét de organisaties te werken waarin hij investeerde. “Ik vind het belangrijk om complexe materie uit te vogelen en die vervolgens helder uiteen te zetten aan een bedrijf, zodat ze weten wat ze het beste kunnen doen.”
Cyberrisico is onzichtbaar en steeds in beweging
Maar het nieuwe platform was zelfs nog gecompliceerder en dat heeft drie redenen, vertelt hij. “Ten eerste is cyber niet zichtbaar. Het risico dat jij van je fiets valt, is heel tastbaar, dat kun je je voorstellen, maar de meeste organisaties kunnen zich geen voorstelling maken van cyberrisico. Daarbij creëert data steeds meer data, waardoor het risico zich continu blijft ontwikkelen en verandert. Het is niet een vaststaand risico dat eenmalig vastgesteld wordt. En tot slot is het datanetwerk altijd in beweging, waardoor er steeds nieuwe risico’s ontstaan. Cyber is onzichtbaar, verandert steeds en ontwikkelt zich continu, dat maakt het bijzonder tricky.”
Gapend gat tussen directie en IT
Waar risicoanalyse tot de basisstrategie van een organisatie behoort, valt cyber daar vaak nog niet onder, stelt Dodd vast. “Vrijwel iedereen denkt bij cyberrisico als eerste aan de dreigingen. Dat is natuurlijk logisch, maar dat maakt dat de focus heel erg ligt op de aanval en niet op het bezit dat beschermd moet worden. Een aanval kun je niet managen, want je hebt geen idee waar die vandaan gaat komen en hoe die eruit ziet.” Bovendien zijn bedrijven niet gewend om een bedrag aan een cyberrisico te hangen. “Ieder bedrijfsrisico wordt gemeten in euro’s, maar wanneer het gaat om cyber, praten we over het aantal endpoints dat we beveiligen of hoeveel aanvallen we hebben geblokkeerd. Daarmee blijft het steeds maar een IT-aangelegenheid.” Terwijl het belangrijk is om ook het cyberrisico in euro’s uit te drukken.
En dat is precies wat Cyberhedge doet, op basis van openbare data van organisaties. “We hebben zo’n drieduizend publieke bedrijven in de VS en zo’n tweeduizend in de Europese Unie en Groot-Brittannië gerankt op basis van informatie die openbaar is. Zo kunnen we snel zien waar de waardevolle assets van dat bedrijf risico lopen en hoeveel het kost om daar iets aan te doen.” Deze informatie zet het platform vervolgens af tegen concurrerende bedrijven, zodat organisaties direct inzicht hebben in hoe zij ervoor staan ten opzichte van de markt.
IT vormt geen separaat risico meer
Dodd is van mening dat organisaties ook audits moeten uitvoeren op technologisch vlak. “Directieleden moeten dat eisen van hun IT-afdeling. We zien nu dat IT en de directie vaak niet dezelfde taal spreken, waardoor cyberrisico’s onvoldoende in kaart worden gebracht. Cyberhedge vormt een vertaalslag richting C-level, waardoor de verantwoordelijkheid voor het digitale risicomanagement ook een laag hoger komt te liggen.” Daarom vindt hij dat er niet moet worden gesproken over cyberrisico, maar dat organisaties het als een bedrijfsrisico moeten gaan zien. “Want dat is het. IT is overal in je organisatie, dat kun je niet meer separaat zien, dus behandel het dan ook niet zo. Als directie ben je verantwoordelijk voor de bedrijfsrisico’s, en daar hoort cyber ook gewoon bij.”
Security-audits moeten gewoon worden
Audits kunnen helpen inzicht te verschaffen in cyberrisico door aan te tonen waar de zwakke punten in de bescherming van waardevolle bezittingen zitten. “Veel bedrijven denken dat ze allemaal nieuwe technologie nodig hebben om zichzelf goed te kunnen beschermen, maar dat is helemaal niet waar. Sterker nog, de huidige securitytechnologie is prima. Alleen hebben organisaties vaak te weinig kennis over hoe ze die technologie optimaal moeten configureren.”
Hij verwijst naar een experiment van het Amerikaanse leger dat wilde zien wat er gebeurde wanneer ze een bekende firewall namen en daar gefingeerde aanvallen op uitoefenden. “Ze installeerden het naar de requirements van de leverancier en vervolgens voerden ze digitale aanvallen uit. Het systeem bleek maar 20 procent te blokkeren, omdat het netwerk heel snel verandert. Veel van dit soort tools worden in een geïsoleerde omgeving geplaatst en werken niet optimaal samen met andere producten in het netwerk.” Het leger voerde vervolgens twee audits van het cyberrisico uit waarbij gekeken werd waarom de firewall niet presteerde volgens verwachting en hoe ze dat konden verbeteren, waarna het systeem 80 procent van de aanvallen blokkeerde. “Belangrijke les is dat ze geen nieuwe technologie installeerden, maar audits uitvoerden en aanvallen simuleerden om uit te vogelen waar de kwetsbaarheden zaten.”
Cyberrisico in euro’s uitdrukken
Met Cyberhedge wil Dodd directies in staat stellen proactief met digitale bedrijfsrisico’s om te gaan. “Mensen die geen security-expert zijn, moeten bewijs vragen over wat wel en niet werkt en waarom, in de bescherming van assets. Ons platform biedt inzicht in welk bezit het meeste cyberrisico loopt, in de taal van de board room, namelijk euro’s. Directies zien direct wat ze moeten repareren en hoeveel budget daarvoor uitgetrokken moet worden. Ze moeten cyber gaan zien zoals alle andere bedrijfsrisico’s.”
Inmiddels is het bedrijf van Dodd gegroeid naar tien medewerkers (“en we groeien maandelijks door”) en heeft hij twee belangrijke investeerders aan zich weten te binden. Zijn uiteindelijke doel? “We willen uiteindelijk graag worden gezien als dé standaard om het cyberrisico voor een organisatie vast te stellen.” Maar hoe de zaken ook gaan lopen, één ding staat als een paal boven water. “Hoe je het ook doet, fighting cyberrisk is a good thing”.