Draaiboek bij een ransomware-aanval
Zijn de RvC en RvB bereid losgeld te betalen of niet?
Bij risicomanagement is het gelukkig al lang niet meer zo dat enkel gedacht wordt aan financiële risico’s of aan compliance. In het jaarlijkse onderzoek van Europese internal auditorverenigingen (Risk in focus 2022) geven de internal auditors aan dat cybersecurity het hoogste risicogebied is en blijft: ‘vier op de vijf (82%) organisaties noemen het een van de belangrijkste risico’s waarmee ze worden geconfronteerd, mede versterkt door het thuiswerken en de operationele verstoringen door de pandemie’. Hebben we daar draaiboeken voor en zijn die actueel? En zijn we bereid losgeld te betalen? En, als we daartoe niet bereid zijn, hoe lang denken we dat vol te kunnen houden?
>
In het Grant Thornton commissarissen benchmarkonderzoek 2019/2020 hebben we verschillende soorten risico’s onderzocht. We hebben bijvoorbeeld per risico gevraagd naar het belang voor de organisatie. Ook hebben we gevraagd aan de respondenten of ze vonden dat een internal auditor (wanneer van toepassing) of een externe accountant daar iets van moest vinden. Of geen van beide natuurlijk, dat kan ook. Een derde verdieping is dat we vroegen naar de bescherming tegen calamiteiten en hebben ingezoomd op noodscenario’s en/of draaiboeken die dan worden gehanteerd. Verschillende profielen respondenten (benchmarks) vonden het (zeer) wenselijk dat er draaiboeken zijn voor bijvoorbeeld cybercrime, brand, voor levering van defecte producten/diensten en voor handelen in strijd met de wet, gedragscode of privacywetgeving. Maar uit de interviews en de antwoorden in de enquête bleek dat veel respondenten niet wisten of zo’n draaiboek in de organisatie aanwezig was en, zo ja, of dat geactualiseerd was en periodiek geactualiseerd werd. Zoals in onderstaande tabel te zien is, leverde dat veel verbeterwensen op, weergegeven als ‘oranje’ en ‘rode’ vlakken. Een hierbij onderzocht aandachtspunt is cybercrime.
Van de 18 benchmarks kennen er 17 een veranderwens voor de aandacht van risicomanagement met betrekking tot het verongelukken van de CEO. Eenzelfde resultaat geldt voor het verongelukken van de voorzitter van de RvC. Beide onderwerpen gaan over succession planning: opvolging. 16 benchmarks noemden het publiek optreden van een klokkenluider een verbeterwens als aandachtsgebied vanuit risicomanagement. Eenzelfde score geldt voor het niet volgen van de principes van duurzaam ondernemen. 13 benchmarks zien in negatieve publiciteit een verbeterwens en 9 benchmarks zien dat in terrorisme-risico. 8 benchmarks willen verbetering zien in het aandachtsgebied van cybercrime.
>>
Tabel: Veranderwensen en aanwezigheid van noodscenario’s/ draaiboeken
In de tabel zijn de verbeterwensen weergegeven met oranje en rode vlakken. De in de kolommen weergegeven benchmarks zijn: het basisprofiel (afgekort als bapr, de beursgenoteerde onderneming), het midden en kleinbedrijf (MKB), de woningcorporatie (Corp), de zorg/welzijnssector (Zorg), de Voorzitter van de rvc/rvt (VZ), de vrouwelijke commissaris (VR), de bestuurder/lid RvB (DIR) en de internal auditor (IA). Oranje betekent een forse verbeterwens, rood is een urgente verbeterwens. B.P. is een bespreekbaar punt, dat wil zeggen dat de instemming in de wenselijke situatie onder de 3.2 (op een vijfpuntsschaal) is gelegen.
>>>
Betaling losgeld?
In het verlengde van het wel of niet paraat hebben van een draaiboek hebben we een jaar later gevraagd naar de bereidheid tot het betalen van losgeld bij een cyberaanval. We hebben zowel gevraagd of de RvC als de RvB volgens de respondent hiertoe bereid zal zijn. Hoever bent u bereid te gaan met wel of juist niet betalen van losgeld? Weet u hoe uw collega’s in de RvC daarover denken en hoe de RvB daar over denkt? En misschien is de mening van de medewerkers en de klanten ook van belang, hoe denken zij hierover? Principieel zegt nagenoeg iedereen ‘nee: wij betalen geen losgeld’. Maar hoelang houden we dat vol? Wat als ‘we zingen het wel drie maanden uit’ niet genoeg is, wat als ‘iemand het product of de dienst hard nodig heeft, omdat de klant anders in de problemen komt’, wat als het maar 50 euro kost om die container op tijd door de douane te krijgen? Die ambigue houding bleek ook uit de antwoorden. De scores zaten grotendeels rond deels eens/deels oneens. Ene kant, andere kant. Bovendien weinig of geen verander- of verbeterwensen. Uit de gehouden interviews bleek dat het merendeel van de geïnterviewden cybercrime wel op de agenda heeft gehad, maar het betalen van ransomware niet. Kennelijk heeft ons onderzoek ze op een idee gebracht: op de vraag welke onderwerpen de respondenten uit dit onderzoek op hun RvC-agenda gingen zetten naar aanleiding van hun deelname aan het onderzoek scoorde het losgeld hoog. Ruim boven integriteit en duurzaamheid, die ook veelvuldig werden genoemd, kwam (het betalen van losgeld bij) ransomware naar boven als de nummer één.
>>>>
Verzekering afsluiten?
Inmiddels zijn er diverse aanbieders op de markt die een verzekering aanbieden voor het geval dat er losgeld betaald moet worden vanwege een ransomware-aanval. Het aantal aanbieders lijkt ook te zijn toegenomen. Dat is ook de commissarissen niet ontgaan, zo blijkt uit ons winteronderzoek in 2020. Maar het is niet duidelijk of zij het wenselijk vinden om daar een verzekering voor af te sluiten. Voor zowel de respondenten uit de profitsector als de non-profitsector is een ransomeware-verzekering een bespreekbaar punt. Wij zijn geen experts op dit gebied maar het lijkt ons de moeite waard dit bij evaluatie van uw draaiboeken mee te nemen.
Over het onderzoek
Inmiddels zijn er diverse aanbieders op de markt die een verzekering aanbieden voor het geval dat er losgeld betaald moet worden vanwege een ransomware-aanval. Het aantal aanbieders lijkt ook te zijn toegenomen. Dat is ook de commissarissen niet ontgaan, zo blijkt uit ons winteronderzoek in 2020. Maar het is niet duidelijk of zij het wenselijk vinden om daar een verzekering voor af te sluiten. Voor zowel de respondenten uit de profitsector als de non-profitsector is een ransomeware-verzekering een bespreekbaar punt. Wij zijn geen experts op dit gebied maar het lijkt ons de moeite waard dit bij evaluatie van uw draaiboeken mee te nemen.
Ook deelnemen?
Bent u commissaris/toezichthouder, bestuurder, secretaris van de RvC of internal auditor en wilt u volgende keer ook deelnemen, stuur dan uw contactgegevens naar Dirk-Jaap Klaassen (dirk-jaap.klaassen@boardinbalance.com). Wij nemen dan contact met u op voor het maken van een afspraak zo gauw we met de volgende editie beginnen. Respondenten geven aan dat deelname hen tot denken aanzet en helpt met het formuleren van agendapunten voor de RvC. U krijgt nieuwe inzichten en draagt via ons onderzoek bij aan goed bestuur.
Oscar Toebosch is researcher/consultant en mede-oprichter van Board in Balance, een onafhankelijke organisatie die evaluaties van raden van commissarissen en raden van toezicht uitvoert en onderzoek verricht naar governance. Één van deze onderzoeken is het Grant Thornton Commissarissen-benchmarkonderzoek, naar het functioneren van het commissariaat in al zijn facetten.
Oscar Toebosch
Partner Board in Balance
Oscar, ik wil graag meedoen aan jullie onderzoek
Vergelijkbare artikelen
Kennisbank
Wij delen graag onze kennis
We hebben inmiddels al meer dan 250 artikelen in onze kennisbank opgenomen. En deze stellen wij graag aan u beschikbaar!
Vacatures
Diverse organisatie hebben vacatures
Vacatures in Limburg, Brabant en Gelderland binnen private en publieke organisaties overzichtelijk gepresenteerd.