CFO's en cyberbeveiliging: de grootste bedreigingen en hoe ze voorkomen kunnen worden
Mark Jackley | Content Strategist | 27 maart 2024
Cyberaanvallen vormen voor de meeste organisaties een groot financieel risico en daarom spelen Chief Financial Officers een belangrijke rol op het gebied van cyberbeveiliging. Zij werken nauw samen met Chief Information Security Officers (CISO's) om potentiële bedreigingen te prioriteren op basis van de financiële risico's, het bedrijf dienovereenkomstig te beschermen en uiteindelijk te helpen deze risico's te beperken.
Waarom moeten CFO's zich bezighouden met cyberbeveiliging?
Cyberaanvallen kunnen organisaties op verschillende manieren geld kosten. In 2023 bedroegen de gemiddelde kosten van een datalek voor organisaties wereldwijd $4,45 miljoen, volgens een onderzoek van IBM en het Ponemon Institute. Bijna 95% van de aanvallen wordt uitgevoerd voor financieel gewin, en niet om politieke, maatschappelijke of persoonlijke redenen, volgens het onderzoeksrapport van Verizon over datalekken in 2023.
Vertrouwelijke data, zoals creditcardnummers van klanten en netwerkwachtwoorden van werknemers, zijn een favoriet doelwit. Hetzelfde geldt voor het welbekende contante geld, dat wordt binnengeharkt via nepfacturen van leveranciers, salarisfraude en ransomware-aanvallen. Volgens een onderzoek uit 2023 van het Center for Controllership van Deloitte denkt bijna de helft van de senior leidinggevenden dat de aanvallen op boekhouding en finance zullen toenemen. En dan zijn er nog de financiële kosten van reputatieschade als gevolg van een beveiligingslek.
De nieuwe regelgeving van de Amerikaanse Securities and Exchange Commission heeft ook de aandacht van CFO's. De SEC heeft regels opgesteld die openbare bedrijven verplichten om investeerders te voorzien van "voor de besluitvorming nuttige" informatie over cyberbeveiligingsincidenten, samen met periodieke updates over hun cyberbeveiligingsprogramma's. De regels lijken ook te vereisen dat de SEC binnen vier dagen op de hoogte wordt gesteld als een bedrijf vaststelt dat een cyberbeveiligingsincident "van materieel belang" is, d.w.z. een incident dat de meeste investeerders als belangrijk zullen beschouwen.
Een ander wettelijk voorschrift is de Federal Information Security Management Act (FISMA), die vereist dat federale instanties in de Verenigde Staten beveiligingsmaatregelen voor de hele organisatie ontwikkelen, documenteren en implementeren. Naleving van de wet is voornamelijk de verantwoordelijkheid van de CISO, maar CFO's van overheidsinstellingen moeten zich bewust zijn van de vereisten.
Voornaamste conclusies
- Als experts op het gebied van risicobeheer moeten CFO's samenwerken met CISO's om cyberbedreigingen en -bescherming te prioriteren op basis van het financiële bedrijfsrisico.
- Om cyberrisico's te kunnen beoordelen, moeten CFO's een gedegen kennis hebben van cyberaanvaltechnieken en van de strategieën en technologieën die worden gebruikt om ze te bestrijden.
- Steeds vaker dragen CFO's bij aan cyberbeveiligingsplannen, beoordelen zij beveiligingsbudgetten en controleren zij de effectiviteit van de voorbereidingen inzake de beveiliging.
Uitleg over CFO's en cyberbeveiliging
CFO's zijn geen experts op het gebied van cyberbeveiliging, maar wel experts op het gebied van risicobeheer. Dit maakt hen natuurlijke bondgenoten van de CISO, die verantwoordelijk is voor de bescherming van de systemen en data van de organisatie. CFO's moeten worden geraadpleegd over cyberbeveiligingsplannen en ervoor zorgen dat deze een afspiegeling zijn van het algehele financiële risico van het bedrijf. Waken zij voldoende over systemen waarin de meest gevoelige en waardevolle data van de organisatie worden verwerkt en opgeslagen? Helpen ze werknemers in de hele organisatie bij het herkennen van frauduleuze e-mails, telefoontjes en andere soorten fraude? Als de belangrijkste waakhond op het gebied van risicobeheer moet de CFO erop kunnen vertrouwen dat het niveau van het cyberrisico van de organisatie aanvaardbaar is.
CFO's dienen ook te rapporteren over regelgeving die cyberbeveiliging omvat. Ze zijn nauw betrokken bij de naleving van regels die zijn vastgelegd door onder andere de Amerikaanse Securities and Exchange Commission en in de Algemene Verordening Gegevensbescherming van de Europese Unie en de California Consumer Privacy Act. CFO's werken samen met algemeen adviseurs, interne auditors, CISO's en anderen om naleving te waarborgen. Ze krijgen te maken met vragen van de raad van bestuur over openbaarmakingen van cyberincidenten en met jaarlijkse openbaarmakingen van cyberrisicobeheer, -strategie en -governance.
Bij het streven naar naleving moeten CFO's een aantal belangrijke factoren tegen elkaar afwegen. De SEC vereist bijvoorbeeld openbaarmaking van alle 'materiële incidenten' die investeerders belangrijk vinden. Uiteraard gebruiken CFO's financiële maatstaven om te bepalen wat van materieel belang is en dus wat ze openbaar moeten maken, maar ze moeten ook rekening houden met meer kwalitatieve factoren, zoals de gevolgen voor de reputatie van zelfs een kleine aanval op klantgegevens.
De vijf grootste cyberbeveiligingsrisico's voor CFO's
In deze online bedrijfswereld wordt de 'bedreigingsvector' voor cyberaanvallers steeds groter, omdat bedrijven applicaties sneller en voor meer gebruikers dan ooit uitrollen. Ook integreren bedrijven steeds meer applicaties met systemen van leveranciers, partners en andere derden.
Ongeacht de omgevingen waarop ze zich richten, proberen aanvallers altijd nieuwe manieren om cyberverdediging te omzeilen. CFO's hoeven niet elke technische nuance te begrijpen, maar ze moeten wel de meest effectieve technieken van aanvallers begrijpen. Veel aanvallen zijn nieuwe varianten van de onderstaande vijf basissoorten.
1. Compromitteren van zakelijke e-mail
Compromitteren van zakelijke e-mail (BEC, Business Email Compromise) is een cyberaanval waarbij e-mail wordt gebruikt om mensen te manipuleren. Aanvallers proberen de ontvanger bijvoorbeeld te verleiden om geld te sturen via een frauduleus verzoek om geld over te maken of middels een nepfactuur van een leverancier. Dergelijke BEC-aanvallen zijn meestal gericht op teams die de boekhouding, financiën en inkoop doen of de salarissen verwerken. BEC is een soort phishingaanval. Bij andere vormen van phishing wordt geprobeerd om ontvangers over te halen om wachtwoorden vrij te geven, creditcardnummers te verstrekken of op malwarelinks te klikken.
E-mailbeveiligingsbedrijf Abnormal Security meldt dat in de eerste helft van 2023 het aantal BEC-aanvallen met 55% is toegenomen ten opzichte van de eerste helft van 2022.
2. Aanval op de supply chain
Zoals de term al doet vermoeden, zijn aanvallen op de supply chain gericht op iets dat een bedrijf koopt van leveranciers, meestal een softwareprogramma. Door misbruik te maken van een kwetsbare plek in een softwareprogramma, kan de aanvaller via een achterdeur toegang krijgen tot meerdere bedrijven die de software gebruiken. De aanvaller krijgt toegang tot privé-netwerken, inclusief intellectuele eigendommen, data van klanten en andere informatiebronnen.
3. Openbaar toegankelijke database
Openbaar toegankelijke databases zijn databases die dienen ter ondersteuning van een openbare website of applicatie en die niet worden beschermd door beveiligingsmaatregelen zoals het verplicht invoeren van gebruikersreferenties, een veilige configuratie, adequate beveiligingsinstellingen of toezicht bij de implementatie van databases. Hierdoor vormen ze een gemakkelijke prooi. De toename van werken op afstand tijdens de COVID-19-pandemie zorgde voor een toename van onbeveiligde data en daaruit voortvloeiende aanvallen. In 2023 ontdekte het in Singapore gevestigde beveiligingsbedrijf Group IB bijna 400.000 van dergelijke databases op het open internet. Na de ontdekking van dit probleem deden eigenaren van databases er gemiddeld 170 dagen over om het op te lossen, waardoor er een risico ontstond op datalekken en vervolgaanvallen op werknemers of klanten, zo ontdekte Group IB. In een onderzoek uit 2022 van beveiligingsprovider Kroll gaf 53% van de organisaties aan dat aanvallen op openbare databases resulteerden in een inbreuk op het netwerk.
4. Insiderbedreigingen
Een insider is een (voormalig) werknemer, aannemer, verkoper of andere partij van wie de speciale toegang tot de systemen en netwerken van een bedrijf een beveiligingsrisico kan vormen. Insiders kunnen in twee categorieën worden onderverdeeld: zij die met opzet de systemen van een bedrijf platleggen en data stelen en zij die onopzettelijk een gat in de beveiliging veroorzaken omdat ze geen beveiligingstraining hebben gehad of simpelweg procedures niet volgen. De gemiddelde totale kosten van een incident met een insiderbedreiging voor een organisatie stegen van $ 15,4 miljoen in 2022 naar $ 16,2 miljoen vorig jaar, volgens onderzoek door IT-verkoper DTEX Systems en het Ponemon Institute, gebaseerd op een steekproef van organisaties in verschillende branches en van verschillende grootte.
5. Ransomware
Ransomware is een vorm van malware die door aanvallers wordt gebruikt om data van een bedrijf te versleutelen, vaak via gecompromitteerde software of nep-e-mails. Vervolgens wordt er losgeld geëist om de versleuteling te verwijderen. Wanneer ransomware wordt geactiveerd, krijgen werknemers geen toegang tot belangrijke systemen en data, kunnen ze niet werken en komen de activiteiten tot stilstand totdat de organisatie het geëiste losgeld betaalt en de toegang weer normaal wordt. Sommige bedrijven besluiten dat het betalen van losgeld minder kostbaar is dan operationele downtime, vooral als de cyberverzekering een deel van de verliezen dekt. Er is echter geen garantie dat aanvallers na betaling een decoderingssleutel zullen leveren om de data vrij te geven. Volgens Sophos, een leverancier van beveiligingsoplossingen, bedroeg de gemiddelde betaling voor ransomware in 2023 $ 1,54 miljoen. In oktober 2024 beloofde het Counter Ransomware Initiative, een door de VS aangestuurde groep van overheidsorganisaties in 50 landen, dat ze nooit losgeld zouden betalen aan cybercriminelen.
| Belangrijke statistieken van cyberaanvallen |
|---|
| 55% Procentuele toename van aanvallen waarbij zakelijke e-mail wordt gecompromitteerd (BEC-aanvallen) tussen januari en juni 2023 |
| $ 138 miljard Geschatte wereldwijde kosten van aanvallen op de supply chain in 2023 |
| 74% Percentage van organisaties dat in 2023 als matig tot zeer kwetsbaar voor bedreigingen van binnenuit wordt beschouwd |
| $ 1,54 miljoen Gemiddelde betaling voor ransomware in 2023 |
Bronnen: Abnormal Security, Cybersecurity Insiders, Sophos
De rol van de CFO op het gebied van cyberbeveiliging
CFO's werken niet alleen samen met CISO's om de prioriteiten van cyberrisico's vast te stellen, maar helpen hen ook steeds vaker bij het opstellen van een beveiligingsplan, het maken van een beveiligingsbudget en het bewaken van de prestaties en voorbereidingen op het gebied van beveiliging.
Inzicht krijgen in cyberbeveiligingsrisico's
Om de risico's van cyberbeveiliging inzichtelijk te maken, prioriteren CFO's deze op basis van financiële risico's. Dit betekent bijvoorbeeld dat er wordt samengewerkt met CISO's om ervoor te zorgen dat belangrijke applicaties - applicaties waarin gevoelige data en betalingen worden beheerd - adequaat worden beschermd. Het kan zijn dat er voor verschillende rollen verschillende toestemmingsniveaus nodig zijn om toegang te krijgen tot data en transacties uit te voeren. Dit noemen we het principe van de minste privileges. Zo kan een supply chain manager toestemming nodig hebben om een inkoopsysteem binnen te gaan en transacties uit te voeren of goed te keuren. Een boekhoudspecialist heeft misschien geen toestemming nodig om in dat systeem te werken, maar heeft wel toegang nodig om te kunnen werken in boekhoudkundige en financiële systemen. Ook geldt dat alleen geautoriseerde werknemers betalingen aan leveranciers mogen instellen.
Applicaties met hoge prioriteit zijn te vinden in de boekhouding en finance (debiteuren en crediteuren), supply chain-activiteiten (inkoop) en HR (salarisadministratie). In sommige branches, zoals de financiële dienstverlening en de gezondheidszorg, is de bescherming van apps waarin data van klanten of patiënten worden beheerd, extra belangrijk.
"Cyberbeveiliging is voor iedereen anders", zegt Aman Desouza, Senior Product Director bij Oracle en voormalig directeur van strategieën voor governance, risico en compliance bij het wereldwijde fintechbedrijf Broadridge Financial Solutions. "Sommige applicaties zijn veel belangrijker dan andere. CISO's moeten samenwerken met CFO's, en soms met andere directieleden, om bedrijfsrisico's te prioriteren en de kroonjuwelen te beschermen. En soms moet de CFO bereid zijn om de denkwijze van de CISO uit te dagen."
Bij het beoordelen van de mogelijke impact van aanvallen moeten CFO's verder kijken dan alleen de onmiddellijke financiële schade Ze moeten ook rekening houden met de blijvende gevolgen voor de productiviteit, merkreputatie, klantrelaties en naleving van wettelijke voorschriften.
Een cyberbeveiligingsplan ontwikkelen
Alhoewel de structuur van bedrijven varieert, is het plannen van cyberbeveiliging een functieoverschrijdende aangelegenheid die meestal in de eerste plaats op de schouders van de CISO rust. Maar omdat cyberaanvallen ernstige risico's vormen voor de bedrijfsresultaten, moeten CISO's met CFO's overleggen bij het opstellen van plannen. Met de nieuwe SEC-regels zijn CFO's van beursgenoteerde bedrijven in de VS ook verplicht om bepaalde informatie over risicobeheer, strategie en governance op het gebied van cyberbeveiliging in hun jaarverslagen op te nemen, dus moeten ze op dat gebied nauw met CISO's samenwerken.
Alle plannen moeten een beoordeling van het cyberbeveiligingsrisico omvatten. CFO's bepalen het cyberrisico op basis van de waarde van verschillende data, plus de potentiële juridische kosten en reputatieschade van beveiligingsincidenten. CFO's houden ook rekening met de risico's van het uitbesteden van de opslag van gevoelige data aan derden, met name de gevolgen voor de dekking van cyberbeveiligingsverzekeringen, en de risico's van niet-naleving van SEC- of andere regels.
Een ander cruciaal aspect van de planning: een evaluatie van de huidige beveiligingstools en -processen. CISO's evalueren tools op basis van hun technische mogelijkheden. CFO's willen weten of tools en gerelateerde processen waardevolle activa kunnen beschermen, met name apps voor financiën en betalingen. Door middel van kosten-batenanalyses kunnen CFO's ook investeringen in beveiligingstechnologie evalueren, een perspectief dat CISO's helpt wanneer zij het beveiligingsbudget aan CEO's en directies moeten presenteren.
De beste plannen zijn flexibel, zodat bedrijven zich kunnen aanpassen aan nieuwe risico's zoals AI-gebaseerde deepfakes, waarbij een uiterst realistische imitatie van topmanagers kan worden gemaakt. Er is een geval bekend waar tijdens een conference call een deepfakevideo werd gebruikt om een financieel medewerker ertoe over te halen $ 25,6 miljoen naar de bankrekeningen van de aanvaller te sturen, zo meldde CNN. Bij adaptieve plannen wordt ook ruimte gemaakt voor de nieuwste beveiligingstools, waarvan sommige gebruik maken van, jawel, generatieve AI om netwerkafwijkingen en schadelijke activiteiten sneller op te sporen.
Een budget voor cyberbeveiliging opstellen
Net als bij het cyberbeveiligingsplan neemt de CISO het voortouw bij het indienen van een voorstel voor een budget voor cyberbeveiliging. Bij de meeste bedrijven nemen de CFO's deel aan het proces door het budget te beoordelen, vragen te stellen en aanbevelingen te doen. Bij het beoordelen van de beveiligingsuitgaven onderzoeken CFO's investeringen in mensen met specialistische kennis, technologieën om aanvallen op te sporen en te bestrijden, en tools om cyberrisico's en naleving van beveiligingsregels te bewaken.
Volgens een studie uit 2023 van beveiligingsadviesbureau IANS Research stegen de budgetten voor cyberbeveiliging in de budgetcyclus 2022-2023 in bescheiden mate. Zo verhoogden technologiebedrijven hun beveiligingsbudgetten gemiddeld met slechts 5%, tegenover een stijging van meer dan 30% in de cyclus 2021-2022. Vergeleken met andere branches hebben technologiebedrijven met 19,4% echter de grootste beveiligingsbudgetten in verhouding tot de totale IT-uitgaven. De detailhandel daarentegen besteedt gemiddeld 7,2% van de IT-budgetten aan beveiliging.
Als er weinig geld is, stellen CFO's moeilijke vragen. Komt het voorgestelde budget overeen met de bedrijfsdoelstellingen? Worden de inspanningen om de organisatie te beschermen en de risico's te beperken voldoende gefinancierd?
Middelen toewijzen voor cyberbeveiliging
Als het budget voor cyberbeveiliging eenmaal is vastgesteld, bekijkt de CISO of de middelen daar worden ingezet waar ze het hardst nodig zijn om de risico's te beperken, of het nu gaat om het inhuren van vakkundige professionals, het uitbreiden van beveiligingsopleidingsprogramma's voor werknemers, het aanschaffen van nieuwe beveiligingssoftware of het overstappen op een veiliger bedrijfsmodel in de cloud. Ook hier speelt de CFO een adviserende rol en zorgt hij of zij ervoor dat de toewijzingen de prioriteiten van de financiële risico's weerspiegelen. Voorbeeld: zal een organisatie het risico op inbraak verkleinen en data beter beschermen door geld toe te wijzen aan tools voor meervoudige verificatie dan wanneer zij een vergelijkbaar bedrag uitgeeft aan personeel of procesverbeteringen?
Prestaties op het gebied van cyberbeveiliging monitoren
Het cyberbeveiligingsplan omvat metrics voor prestatiemonitoring, die laten zien of de huidige risiconiveaus al dan niet acceptabel zijn. De CISO kijkt naar metrics zoals de gemiddelde tijd die nodig is om aanvallen te detecteren en er actie op te ondernemen. De CFO richt zich meer op de beveiligingsgereedheid dan op de prestaties van technologie en processen. "Meestal willen CFO's bewijs dat de beveiligingsprogramma's goed ontwikkeld zijn," legt Desouza uit. "Ze zoeken naar indicatoren zoals geautomatiseerde monitoringtools of trainingen in beveiligingsbewustzijn die werknemers leren om BEC- en phishing-aanvallen te herkennen. Voor de CFO gaat het meer om voorbereiding dan om andere zaken."
De kosten van het verwaarlozen van cyberbeveiliging
Als bedrijven cyberbeveiliging verwaarlozen (of er niet genoeg aandacht aan besteden), kan de prijs hoog oplopen, met als gevolg verlies van data, geld en/of intellectueel eigendom. De kosten omvatten ook verminderd vertrouwen van klanten, geannuleerde bedrijfsorders, koersdalingen, negatieve krantenkoppen en juridische sancties. Dark Reading rapporteerde dat een beveiligingsinbreuk uit 2017 die veel publiciteit kreeg, de aandelenkoers van het bedrijf binnen een week met 31% deed dalen en dat het twee jaar duurde voordat de koers volledig was hersteld. Het komt echter vaker voor dat de aandelenkoers onmiddellijk met slechts enkele procenten daalt.
De schade van wereldwijde cybercriminaliteit zal naar verwachting tegen 2025 oplopen tot $10,5 biljoen, volgens onderzoek uit 2022 van Cybersecurity Ventures. Cyberbeveiligingsbedrijf Deep Instinct meldde dat 75% van de beveiligingsprofessionals tussen 2022 en 2023 een toename van het aantal aanvallen ziet.
Op grond van de nieuwe SEC-regels voor openbaarmaking van cyberbeveiligingsdata moeten bedrijven "jaarlijks informatie openbaar maken over risicobeheer, strategie en governance op het gebied van cyberbeveiliging", aldus Erik Gerding, directeur van de afdeling bedrijfsfinanciering van de SEC, in een verklaring. Dit komt bovenop de verplichting om elk materieel cyberbeveiligingsincident openbaar te maken. Gezien deze vereisten moeten CFO's bij beursgenoteerde bedrijven erop kunnen vertrouwen dat ze de lopende cyberbeveiligingsstrategie en -praktijken van een bedrijf begrijpen. Ze moeten de kennis en relaties hebben om snel op de hoogte te zijn van relevante cyberbeveiligingsincidenten en de materialiteit van die aanvallen kunnen beoordelen. CFO's die deze vereisten verwaarlozen, stellen hun organisaties bloot aan boetes van regelgevende instanties.
Cyberbeveiligingsrisico's vanaf het begin voorkomen met Oracle
De suite Oracle Fusion Cloud Enterprise Resource Planning (ERP) met financiële, inkoop-, projectbeheer- en andere applicaties biedt beveiliging op basis van 'security by design'. Gecentraliseerde toegangscontroles kunnen de netwerkautorisatie vereenvoudigen en kunnen, samen met de beveiligingsfuncties die deel uitmaken van Oracle Cloud ERP, organisaties helpen bij het beheren van de nalevings- en wettelijke verplichtingen.
Oracle Risk Management and Compliance, onderdeel van de Oracle Cloud ERP suite, is een beveiligings- en auditoplossing met AI-tools voor het beheren van de toegang tot de financiële data van de suite, het detecteren van verdachte transacties en het bieden van waardevolle inzichten aan organisaties zodat deze voldoen aan de beveiligingsvoorschriften.
Veelgestelde vragen over de CFO en cyberbeveiliging
Wat doet de CFO op het gebied van cyberbeveiliging?
Als toezichthouder op het risicobeheer van de organisatie zorgt de CFO ervoor dat de cyberbeveiligingsinspanningen een afspiegeling zijn van de strategieën voor financieel risicobeheer. De CFO helpt de CISO inzicht te krijgen in de risicoprioriteiten binnen de onderneming en op basis daarvan beveiligingsplannen en budgetten op te stellen.
Welke certificeringen op het gebied van cyberbeveiliging moet een CFO hebben?
Een certificering die CFO's zouden moeten overwegen is het Maximizing Digital Operational Excellence Certificate, dat wordt uitgegeven door het American Institute of Certified Public Accountants en het Chartered Institute of Management Accountants. Hiermee wordt bevestigd dat financiële managers op de hoogte zijn van methoden om financieel bestuur, beveiliging en controle te versterken.
Wat zijn de belangrijkste verantwoordelijkheden op het gebied van cyberbeveiliging waaraan een CFO moet voldoen?
CFO's moeten er niet alleen voor zorgen dat cyberbeveiliging is afgestemd op financiële risico's, maar moeten CISO's ook helpen bij het bijstellen van beveiligingsplannen en budgetten, en prioriteit geven aan de bescherming van applicaties waarin kritieke data en betalingen worden beheerd. Voor de CFO's van beursgenoteerde bedrijven kan er ook wet- en regelgeving betreffende openbaarmaking gelden, afhankelijk van waar het bedrijf is gevestigd.
Bekijk 5 strategieën om kosten te besparen en de productiviteit te verhogen zonder nadelige gevolgen voor uw bedrijfsgroei.