Behalve kennis van GDPR heeft geen enkel BEL20 bestuurslid een duidelijke achtergrond in informatie –en cyberveiligheid. Dat blijkt uit een profiel analyse van alle bestuursleden van de BEL20 bedrijven door cyberveiligheidsbedrijf Toreon. “Onvoldoende technische kennis in de raden van bestuur van bedrijven zorgt ervoor dat de risico’s van cyberveiligheid onderschat worden en organisaties kwetsbaar blijven,” zegt Toreon CEO Sebastien Deleersnyder.
Recente ransomware-aanvallen op Belgische bedrijven tonen aan dat cybercriminaliteit geen louter internationaal fenomeen is. Ransomware is het blokkeren van de toegang tot de IT-infrastructuur waarbij gegevens versleuteld worden in ruil voor losgeld. Het Centrum voor Cyberveiligheid meldde 4500 cyberaanvallen op bedrijven in 2019, een verdrievoudiging tegenover het jaar voordien en een aantal dat in realiteit veel hoger ligt.
Om in kader te brengen hoe bedrijven die risico’s inschatten, maakte cyberveiligheidsbedrijf Toreon een profiel analyse van de leden van de Raden van Bestuur van de BEL20 bedrijven. Daaruit blijkt dat behalve kennis van GDPR er geen enkel BEL20 bestuurslid is met een duidelijke achtergrond in informatie- en cyberveiligheid. Bij 1 op 4 van de BEL20 bedrijven is het niet duidelijk of bestuurders zelfs ooit in aanraking zijn gekomen met IT. Vooral specialistische bedrijven, zoals bedrijven in de life sciences sector, kiezen vaak enkel voor experts uit het eigen vakgebied om in de raad te zetelen.
Volgens Toreon zorgt onvoldoende technische kennis in de raad van bestuur ervoor dat de risico’s van cyberveiligheid onvoldoende worden ingeschat. Dat wordt ook bevestigd door eerder internationaal onderzoek, waaruit blijkt dat er een grote discrepantie bestaat tussen de Chief Information Security Officers (CISO) en de raad van bestuur.
Sebastien Deleersnyder, CEO bij Toreon: “Het is de verantwoordelijkheid van de raad van bestuur om de risico’s in te schatten en het management hierop aan te spreken. We zien vaak dat er door gebrek aan ervaring te weinig aandacht wordt besteed aan cyberveiligheid of dat de bezorgdheden vanuit de CTO onvoldoende gehoord worden. De gevolgen van een cyberaanval of een datalek kunnen nochtans catastrofaal zijn.”
Volgens Deleersnyder moet er meer geïnvesteerd worden in de kennis rond cyberveiligheid in de raden van bestuur en moet er waar mogelijk een zo heterogeen mogelijke raad worden samengesteld, waarin ook leden met een achtergrond in cyberveiligheid vertegenwoordigd zijn.
“Cyberveiligheid moet een inherent onderdeel vormen van de business strategie en wordt het best mee uitgestippeld op het allerhoogste niveau. Niet enkel BEL20 bedrijven, maar eigenlijk alle bedrijven die bedrijfsgevoelige data en persoonsgegevens verwerken in een digitale omgeving moeten zich bewust zijn van de risico’s. Zolang cyberveiligheid geen integraal deel uitmaakt van de prioriteiten van de raad van bestuur, blijven bedrijven kwetsbaar,” zegt Deleersnyder.
Toreon raadt aan dat bestuurders van bedrijven die veel data verwerken zich bijscholen in cyberveiligheid. Op korte termijn kan een betere rapportage van de CISO of CTO aan de raad van bestuur soelaas bieden.