Beursgenoteerde bedrijven rapporteren amper over securitymaatregelen

De onderzoekers rapporteren deze cijfers in het Cyber Security Annual Report dat ze dit jaar voor de eerste keer opstelden. Mr. dr. ir. Bernold Nieuwesteeg, een van de initiatiefnemers van het onderzoek, ziet vooral voordelen van transparantie over cybersecurity in het jaarverslag. “Op het moment dat je cybersecurity in het jaarverslag gaat benoemen, krijgt het ook gewicht in de organisatie. Je zorgt voor awareness over het thema in de rest van het bedrijf.”

Daarnaast geeft het institutionele beleggers of investeerders inzicht in hoe goed een bedrijf zijn beveiliging heeft geregeld. Volgens Nieuwesteeg zegt dat ook iets over de interne kwaliteitsbeheersing. “Als een bedrijf  er twee tot drie weken uit ligt, bijvoorbeeld door een security-incident, heeft dat heel nadelige gevolgen voor de omzet. Als institutionele belegger let je daar op. En een jaarverslag is één van de middelen om je daarover te laten informeren.”

Natuurlijk, zegt Nieuwesteeg, is het niet goed om te spreken over cyberincidenten die nog niet zijn opgelost. “Maar een jaarverslag verschijnt vier maanden na de afsluiting van een boekjaar, dan mag je hopen dat er toch wel over maatregelen gesproken kan worden.” Ook het argument dat het de concurrent zou helpen, gaat volgens hem niet op. “Bedrijven concurreren niet op security. En als bedrijf hoef je niet te rapporteren wat je zou kunnen schaden, je hoeft niet volledig transparant te zijn.” Hij denkt dat organisaties elkaar juist kunnen helpen door transparant te zijn over securitymaatregelen. “Zo kunnen bedrijven van elkaar leren. Het helpt dus om het algemene niveau van de cybersecurity omhoog te brengen. En dat is goed voor de maatschappij als geheel.”

Communicatie over interne regels of campagnes

De mate waarin bedrijven transparant zijn, verschilt per onderneming.  Ahold, Unibail-Rodamco, Akzo-Nobel en Van Lanschot zijn het meest transparant over de maatregelen die ze qua cybersecurity hebben genomen: zij melden zes of meer specifieke cybersecuritymaatregelen. Dat zijn maatregelen als een  benoeming van een information security officer, interne regels die gelden en de organisatie van cybersecurity-awarenesscampagnes en workshops.

Welke maatregelen een bedrijf in het jaarverslag zou moeten noemen, hangt af van het bedrijf, zegt Nieuwesteeg. “Een bedrijf waarvoor data heel belangrijk is, kan het beste melden hoe de bescherming van data is geregeld. Een bedrijf waarvoor ICT belangrijk is voor de dienstverlening, meldt hoe het zich verdedigt tegen DDoS of ransomware.” Volgens Nieuwesteeg is het ook belangrijk dat de effectiviteit van de maatregel wordt gerapporteerd.

Enkele bedrijven meldden in het jaarverslag ook dat ze een cybersecurityverzekering hebben afgesloten. Onderzoeken zijn er niet eenduidig over of dat verstandig is. Melden dat er een verzekering is, kan criminelen in de kaart spelen. “Maar je zou ook kunnen zeggen dat beursgenoteerde ondernemingen veel maatregelen moeten nemen om zich überhaupt te kunnen verzekeren en dat zegt iets over dat de bescherming goed geregeld is.”

De Cyber Security Annual Report (CSAR) Index is dit jaar voor het eerst opgesteld door mr. dr. ir. Bernold Nieuwesteeg en mr. dr. Eva Eijkelenboom. Zij keken naar de jaarverslagen van de beursgenoteerde ondernemingen die in oktober 2019 waren genoteerd aan de AEX, AMX en AScX.