Cyber security: van kostenfactor naar topprioriteit

In augustus lag de productie bij Jaguar Land Rover bijna zes weken stil. Grote delen van de fabrieken in het Verenigd Koninkrijk werden getroffen. Productiefaciliteiten moesten stilgelegd worden en dealernetwerken geïsoleerd. De geschatte schade: ongeveer twee miljard euro.

Aanvallers legden de webshop van de Britse retailer Marks & Spencer lam. Zes weken lang konden klanten niet zoals gewoonlijk bestellen. De misgelopen omzet, extra kosten voor noodmaatregelen en reputatieschade bedroegen in totaal bijna 350 miljoen euro. 

In de VS en Canada stuitten klanten soms op lege schappen: de groothandel United National Foods kon in juni een aantal weken niet leveren, omdat het bestelsysteem uitviel na een cyberaanval. Het gevolg: een verlies van bijna 400 miljoen euro.

Cyber security verschijnt meestal aan de kostenkant: het levert geen producten, geen machines en geen directe verkoop. Tegelijkertijd: de kosten van adequate beveiliging zijn bijna altijd lager dan de kosten van een ernstig beveiligingsincident. Een ernstige aanval kan immers een heel jaar winst opslokken en resulteren in contractuele boetes en schadeclaims. Het kan leiden tot sancties. En de doorslaggevende factor: een ernstige aanval schaadt het vertrouwen van klanten, partners en investeerders.
Voor bedrijven betekent dit het volgende: Beveiliging moet een integraal onderdeel zijn van risicomanagement en hoort hoog op de agenda te staan van het management en de Raad van Toezicht - ongeacht de bedrijfstak of bedrijfsgrootte. 

Naast het zakelijke perspectief zijn er ook duidelijke wettelijke vereisten. Dit zijn onder meer voorschriften inzake gegevensbescherming, sector- of landspecifieke IT-beveiligingswetten en vereisten uit voorschriften voor gezondheid en veiligheid op het werk en operationele veiligheid, als IT-storingen de veiligheid van mensen kunnen aantasten. Daarnaast beschrijft de Europese richtlijn voor netwerk- en informatiebeveiliging (NIS2) de beveiligingsverplichtingen voor een groeiend aantal bedrijven. Bedrijven moeten daarom niet alleen "iets doen" voor beveiliging, maar ook een verifieerbaar passend beschermingsniveau vaststellen en dit voortdurend herzien.

Om cyber security systematisch in plaats van selectief te benaderen, volgen veel organisaties gevestigde normen zoals het NIST Cybersecurity Framework (CSF) en de ISO/IEC 27001-norm voor managementsystemen voor informatiebeveiliging. Het NIST-framework beschrijft beveiliging aan de hand van vijf kernfuncties: Identify, Protect, Detect, Respond, Recover. Deze kunnen heel goed worden overgezet naar een praktische beveiligingsstrategie.

1. Identificeren (Identify)
Het doel is transparantie: wat moet worden beschermd, waartegen en met welke prioriteit? Dit omvat de registratie van IT- en OT-systemen (operationele technologie), applicaties, gegevens en bedrijfsprocessen. Maar ook de beoordeling van bedreigingen, kwetsbaarheden en de impact op het bedrijf. Hiervan worden vervolgens beschermingsdoelen en veiligheidseisen afgeleid.

2. Beschermen (Protect)
In deze functie worden maatregelen geïmplementeerd die aanvallen bemoeilijken of de gevolgen ervan minimaliseren. Dit omvat netwerk- en segmentatieconcepten, het verharden van endpoints, servers en cloudomgevingen, evenals identiteits- en toegangsbeheer inclusief sterke authenticatie en rolgebaseerde toegang. Dit omvat ook het versleutelen van gevoelige gegevens en het trainen en sensibiliseren van werknemers.

3. Opsporen (Detect)
Aangezien geen enkele bescherming absoluut is, is het vermogen om aanvallen snel te detecteren cruciaal. Voortdurende beveiligingsbewaking van systemen, netwerken en cloud workloads detecteert dergelijke aanvallen. Beveiligingsplatforms analyseren loggegevens en events. Daarnaast geven dreigingsinformatie (threat intelligence) en gedragsanalyses aanwijzingen voor aanvallen. Vervolgens activeren ze duidelijke alarm- en escalatiemechanismen. Hoe eerder een aanval wordt herkend, des te minder schade er wordt aangericht. Bij T-Systems hebben we bijvoorbeeld Security Operations Centres (SOC) en bieden we Managed Detection and Response Services (kortweg MDR-services). Hierdoor kunnen bedrijven hun relevante systemen 24/7 bewaken zonder dat ze hiervoor hun eigen teams hoeven op te zetten. Verdachte activiteiten worden geanalyseerd, geëvalueerd en - afhankelijk van de overeenkomst - direct beantwoord met eerste tegenmaatregelen. Dit maakt een einde aan "blind vliegen" binnen het eigen netwerk.
 
4. Reageren (Respond)
Als zich een beveiligingsincident voordoet, dan bepaalt de kwaliteit van de reactie de omvang en duur van de impact. Dit omvat voorbereide incident-response-plannen en playbooks, een goed opgezet incident-response-team en gestructureerde forensische analyses om de oorzaak, verspreiding en impact te begrijpen. En tot slot: professionele interne en externe communicatie.

5. Herstellen (Recover)
Na een incident moeten systemen en processen zo snel en gecontroleerd mogelijk worden hersteld. Dit werkt alleen met robuuste back-up- en restore-concepten en business-continuity- en disaster-recovery-plannen. Dit alles moet worden geoefend door middel van zogenaamde "fire drills" en systematische "lessons learned" om de veerkracht verder te vergroten.

Het gebruik van generatieve AI, copilots en AI-services uit de cloud verhoogt niet alleen het innovatietempo, maar ook het aanvalsoppervlak. Veel bedrijven vragen zich af: hoe kunnen we AI productief inzetten zonder intellectueel eigendom, gevoelige gegevens of compliance in gevaar te brengen? Bij T-Systems gebruiken we AI in onze eigen beveiligingstechnologieën - bijvoorbeeld in SOC- en MDR-services, in de correlatie van gebeurtenissen, in gedragsanalyse en in de geautomatiseerde afleiding van tegenmaatregelen - om aanvallen sneller te detecteren, nauwkeuriger te beoordelen en effectiever te stoppen. Het doel is om AI aan te bieden in een gecontroleerde, controleerbare en regelconforme omgeving - als enabler voor efficiëntere processen, betere beslissingen en nieuwe digitale bedrijfsmodellen.

In gesprekken met klanten en op vakbeurzen wordt het heel duidelijk op welke onderwerpen de focus ligt: 

1. 24/7-cyber defense en managed detection & response
Veel bedrijven realiseren zich dat traditionele perimeterbeveiliging niet langer voldoende is. Ze zijn specifiek op zoek naar diensten die aanvallen continu monitoren en evalueren en, idealiter, automatisch initiële tegenmaatregelen in gang zetten. Wij positioneren ons hier met een schaalbaar SOC- en MDR-aanbod voor zowel middelgrote als grote organisaties.

2. Veilige en soevereine cloud- en netwerkarchitecturen
Cloudgebruik, locatieonafhankelijk werken en gedistribueerde locaties vereisen nieuwe benaderingen voor netwerk- en toegangsbeveiliging. De focus ligt op architecturen die gebaseerd zijn op duidelijke Zero Trust-principes, veilige toegang tot applicaties mogelijk maken en tegelijkertijd voldoen aan de wettelijke vereisten voor gegevensbescherming, gegevensopslag en soevereiniteit.

3. Beveiliging voor productie en kritieke infrastructuren
Met name in de industriële omgeving neemt de druk toe om productiefaciliteiten en OT-netwerken beter te beschermen - niet alleen tegen klassieke malware, maar ook tegen gerichte manipulatie die direct ingrijpt in fysieke processen. T-Systems bundelt IT- en OT-beveiligingsexpertise voor sectoren als productie, energievoorziening, transport en gezondheidszorg.
Deze aandachtspunten vormen de kern van wat nu wordt beschouwd als "state of the art" op het gebied van cyber security: continue monitoring, veerkrachtige architecturen en een geïntegreerde kijk op IT, OT en bedrijfsprocessen.

Ongeacht de bedrijfstak of bedrijfsomvang kunnen er enkele duidelijke aanbevelingen worden gedaan: 

1. Begin met een standplaatsbepaling
In plaats van onmiddellijk individuele producten of tools te introduceren, zou de eerste stap een gestructureerde assessment moeten zijn: Waar staan we met de NIST-functies? Welke systemen, gegevens en processen zijn kritisch? Welke wettelijke vereisten zijn van toepassing?

2. Maak van beveiliging een absolute topprioriteit
Cyber security maakt deel uit van risicobeheer en corporate governance. Duidelijke verantwoordelijkheden, regelmatige rapportage aan het management en een gecoördineerde aanpak met compliance, gegevensbescherming en gespecialiseerde afdelingen zijn cruciaal.

3. Verander de mindset van "We zijn veilig" naar "Assume breach"
Aanvallen zullen plaatsvinden - de vraag is hoe goed je bent voorbereid. Bedrijven moeten ervan uitgaan dat individuele beschermingsmaatregelen op een bepaald moment worden omzeild. Zij moeten zich richten op snelle detectie, gestructureerde respons en veerkrachtig herstel. Managed-Detection-and-Response-Services vormen hier een belangrijk onderdeel.

4. Integreer beveiliging in digitaliserings- en cloudprojecten
Nieuwe applicaties, cloudmigraties of remote-work-concepten moeten vanaf het allereerste moment worden ontworpen met een beveiligingsarchitectuur. Het is veel efficiënter om beveiliging in de planning te integreren dan om deze later "aan te bouwen".

5. Blijf verbeteren
Beveiliging is geen project, maar een proces. Terugkerende assessments, penetratietests, bewustmakingsmaatregelen en testoefeningen voor incident response en recovery zorgen ervoor dat de beveiligingsorganisatie gelijke tred houdt met de dreigingssituatie en de eigen digitalisering.

De grote cyberaanvallen van 2025 tonen aan hoe snel een technisch incident kan omslaan in een totaal economisch verlies. Wie cyber security nog steeds vooral als een kostenpost ziet, onderschat het risico voor de omzet, de reputatie en de naleving van de regelgeving.

Frameworks, zoals het NIST Cybersecurity Framework en ISO/IEC 27001, bieden een duidelijke structuur om holistisch over beveiliging na te denken - van identificatie, bescherming en detectie tot respons en herstel. Dit maakt van cyber security niet alleen een verplicht programma, maar ook een cruciale factor voor stabiele, betrouwbare en toekomstbestendige digitalisering.