03 mei 2022

De ethische aspecten van cyberbeveiliging

De ethische aspecten van cyberbeveiliging maken geen groot deel uit van het leerplan van studenten IT-beveiliging, maar zouden dat beter wel doen. Cyberbeveiliging is meer dan technologie. Hacks en inbraken kunnen een grote impact hebben op de privacy van mensen of zelfs op hun professionele carrière. Met Technical Cybersecurity & Network consultant Fons Quidousse bespraken we hoe ethiek meer aandacht moet krijgen en hoe het management hiervan de sponsor moet zijn.

Een belangrijk aspect van cyberbeveiliging is de bescherming van de privacy en de vertrouwelijkheid van gegevens. Wat is jouw mening?

Fons: We hebben het vaak over de CIA-driehoek, waarbij CIA staat voor Confidentialiteit, Integriteit en Beschikbaarheid (Availability in het Engels). Als een van deze drie elementen wordt geschonden, spreken we van een hack, ongeacht of de hack opzettelijk was of niet. Omdat bedrijven steeds meer met elkaar verbonden zijn, zal de impact van een inbreuk bij de ene organisatie ook een impact hebben op andere organisaties.  Het uitlekken van een wachtwoord voor een e-mail kan bijvoorbeeld veel bredere gevolgen hebben dan alleen voor het bedrijf waar het wachtwoord is uitgelekt. Dit geldt voor elke hack. Kijk maar naar wat er onlangs gebeurde toen de IT-beveiliging in een school in Kortrijk werd aangevallen. De school moest enkele dagen dicht om de IT-afdeling de tijd te geven alles weer optimaal te laten werken.

Omdat bedrijven steeds meer met elkaar verbonden zijn, zal de impact van een inbreuk bij de ene organisatie ook een impact hebben op andere organisaties.

Ethiek vs omzet

Zijn organisaties zich bewust van de bredere gevolgen van inbreuken?

Fons: De situatie is natuurlijk nog niet perfect, maar we boeken vooruitgang. Op het gebied van privacy bijvoorbeeld heeft de GDPR-wetgeving bedrijven aangespoord om hun zaken op orde te krijgen. Ik denk dat het nog beter zou zijn mochten organisaties niet wachten tot de overheid regels en voorschriften oplegt. Proactiviteit kan lonend zijn.

Ethische vraagstukken zijn nooit makkelijk voor bedrijven die de neiging hebben zich te concentreren op inkomsten en winst. Dit is niet alleen het geval voor cyberbeveiliging, je ziet hetzelfde als het gaat om klimaatverandering. Daarom denk ik dat elke beveiligingsaudit vanuit een brede visie moet worden uitgevoerd. Als je een audit in een ziekenhuis uitvoert, moet de auditor de nadruk leggen op de gevolgen van een te laag budget voor IT-beveiliging.

Misschien moeten we het management waarschuwen voor de kosten van een inbreuk op de beveiliging? Moeten we de ethische gevolgen in geld uitdrukken?

Fons: Je hebt gelijk als je zegt dat het management zich meer zorgen moet maken. Cybersecurity is een onderwerp dat op managementniveau moet worden besproken en dat door het management moet worden verdedigd. Ik denk dat je het tastbaarder moet maken, bijvoorbeeld door te kijken naar een persoonlijke use case: wat gebeurt er als iemand de huur niet kan betalen omdat zijn bedrijf gehackt is en voor een lange periode stilgelegd moest worden? Wat gebeurt er als een patiënt zijn medicijnen niet op tijd krijgt? Dat zal mensen aan het denken zetten. Op een tweede niveau moet je kijken naar de kosten die je kunt vermijden door een goede IT-beveiliging te hebben. Dat is een risicoanalyse: wat zijn de kosten van het updaten van de beveiligingsinfrastructuur versus de kosten van een hack of een ransomware-aanval. Op een derde niveau beheer je de langetermijngevolgen van cyberbeveiliging, bijvoorbeeld door een beveiligingscultuur in te voeren waarbij werknemers zich beter voelen in een bedrijf dat duidelijk laat zien dat cyberbeveiliging een van de waarden van het bedrijf is. Dit is moeilijker te berekenen, maar hoe werknemers zich voelen, is een belangrijke parameter.

Zijn de kosten van falende cyberbeveiliging makkelijk te meten?

Fons: Sommige kosten zijn eenvoudig te kwantificeren. Als een ransomware-aanval een fabriek voor een paar weken platlegt, weet je welke inkomsten je misloopt. Andere aspecten zijn minder makkelijk in cijfers uit te drukken. Hoe meet je een aangetaste reputatie? Een cyberaanval die veel publiciteit krijgt, veroorzaakt reputatieschade. De omvang van de schade kan per branche verschillen, en een goed communicatieplan kan die schade beperken.

Een andere ethische vraag over ransomware: betaal je? Of net niet? Wat denk jij?

Fons: Ha, dat is letterlijk de één-miljoen-dollar vraag. Ik heb geen eenduidig antwoord. Als buitenstaander is het makkelijk om te zeggen dat je niet moet betalen. Door te betalen stimuleer je criminelen om door te gaan met hun malafide praktijken. Het is net als niet onderhandelen met terroristen, toch? Maar als een ransomware-aanval uw bedrijf platlegt, begrijp ik dat het verleidelijk is om te betalen en te hopen dat u de ontcijferingssleutels krijgt. Ik kan alleen maar herhalen dat het instellen van een goede beveiliging de beste manier is om te voorkomen dat u ooit moet betalen. Zorg ervoor dat uw cyberbeveiliging optimaal is, zorg ervoor dat u de juiste back-ups hebt die op een externe locatie zijn opgeslagen... Dat is de beste verzekering tegen ransomware.

Cybersecurity is een onderwerp dat op managementniveau moet worden besproken en dat door het management moet worden verdedigd. Ik denk dat je het tastbaarder moet maken, bijvoorbeeld door te kijken naar een persoonlijke use case.

Het juiste evenwicht vinden

Soms is er een dilemma in cyberbeveiliging: als je alles op je netwerk in de gaten houdt, kan het dan niet gebeuren dat je verder gaat dan wat privacy toestaat?

Fons: Het is inderdaad een heel dun lijntje, maar dat is in de virtuele wereld niet anders dan in de fysieke wereld. Als de politie bij iemand thuis een huiszoeking doet, is dat ook een inbreuk op de privacy. Maar een noodzakelijke, misschien. Zo'n huiszoeking zal alleen gebeuren als er aanwijzingen zijn van een misdrijf. In de echte wereld hebben we meer ervaring met het vinden van het juiste evenwicht dan in de virtuele wereld. Er is meer ervaring en een beter juridisch kader. Het is minder duidelijk omschreven welke handelingen je wel en niet mag verrichten als bewaker van de veiligheid. Aan de andere kant moet je er als eindgebruiker niet van uitgaan dat een IT-beheerder al je bewegingen in de gaten houdt en vastlegt. Het is een kwestie van wederzijds vertrouwen, denk ik. Bedrijven implementeren beveiliging om goed te doen, niet om fout te doen. Natuurlijk kan een IT-beheerder zijn privileges overschrijden, net zoals een politieofficier zijn dienstpistool oneigenlijk kan gebruiken.

In dit verband rijst ook de vraag of een Data Protection Officer (DPO) of een Chief Security Information Officer (CISO) bij een audit van een bedrijf op illegale handelspraktijken kan stuiten. Is duidelijk omschreven wat er moet worden gedaan? Moet een DPO optreden als klokkenluider?

Fons: Een DPO zal altijd breed kijken, naar dataclassificatie, hoe gegevens worden opgeslagen... In een ideale wereld zullen illegale activiteiten worden voorkomen. Gebeurt het toch, dan zal een organisatie moeten beslissen of het iets is dat intern kan worden opgelost, dan wel of de autoriteiten moeten worden ingeschakeld. Daarom is het inhuren van een externe DPO altijd een goede zaak. Een externe DPO hoeft niet bang te zijn om zijn baan te verliezen door als klokkenluider op te treden.

Simac heeft een brede kijk op cyberbeveiliging

Zie je het als de rol van Simac om te blijven hameren op de ethische aspecten?

Fons: Dat moeten we zeker doen. En dat doen we ook. En ik denk dat het ons onderscheidt in de markt. Iedereen die met Simac heeft gewerkt of samengewerkt, weet dat we altijd verder kijken dan de techniek. Het zit in ons DNA om met een bredere blik te kijken en niet alleen op technische criteria te antwoorden. We verplaatsen ons in de klant en proberen te zien wat voor hun op de lange termijn belangrijk is. Dat is typisch de relatie die wij met onze klanten opbouwen.


Fons Quidousse
Fons Quidousse

Fons Quidousse is technical cyber security & network consultant bij Simac ICT België. Hij helpt zijn collega’s en klanten om de best mogelijke oplossingen te zoeken voor uitdagingen rond netwerken en beveiliging. Fons werkt bij Simac sinds oktober 2020.

Contacteer ons nu
Advies nodig over cyberbeveiliging?
Netwerken & security
Onze security specialisten helpen u graag.
Cybersecurity and ethics