Als er één sector is waar security topprioriteit heeft, is het de financiële sector. Uit ervaring weet Kelvin Rorive waarom: “Banken zijn permanent doelwit. Dat heeft geleid tot volwassen governance, forse investeringen en security als boardroom-thema.”
Na zestien jaar in het bankwezen stapte hij over naar ICT Group, waar ICT TriOpSys onderdeel van is. Een nieuwe omgeving, maar met een vertrouwd risicoprofiel: “De gehele vitale sector doet qua dreiging niet onder voor banken,” zegt hij. “Toch zie ik dat veel organisaties nog te vaak vertrouwen op enkel compliance en certificeringen. Alsof enkel lijstjes voldoende bescherming bieden tegen statelijke actoren of geavanceerde ransomware.”
Volgens Rorive is de dreiging voor vitale infrastructuur structureel en divers. “China jaagt op informatie, Rusland en Iran willen ontwrichten en Noord-Korea zoekt financiële winst. Tegelijkertijd worden IT en OT steeds meer aan elkaar gekoppeld. Systemen die nooit ontworpen zijn voor veiligheid, staan ineens bloot aan digitale aanvallen. Daar komt ook nog eens AI bij, wat het speelveld nóg complexer maakt. De kwetsbaarheid van vitale infrastructuur is niet te onderschatten, met een impact die de hele maatschappij kan raken.”
“Vitale infrastructuur doet qua risicoprofiel op geen enkele manier onder voor banken.”
“Als je compliant bent, wil dat nog niet zeggen dat je veilig bent.”
Volgens Rorive wordt security te vaak teruggebracht tot checklists en certificaten. Hij waarschuwt daar niet blind op te vertrouwen: “Compliance en certificeringen zijn waardevol, ze vergroten volwassenheid en brengen processen op orde, maar ze zijn niet het einddoel. Ook kan er schijnveiligheid ontstaan. We krijgen soms honderden vragen in Excel-sheets die we moeten invullen. Dat kost enorm veel tijd en wat levert het in werkelijkheid op? Je kunt het formulier netjes afvinken, maar zegt dat iets over hoe je organisatie in de praktijk bestand is tegen een aanval?”
Op de vraag hoe wel, antwoord hij: “De lat moet omhoog. Echte weerbaarheid ontstaat pas door samenwerking, transparantie en het lef om te praten over kwetsbaarheden. Durf jezelf hardop af te vragen: wat bedreigt ons werkelijk, en hoe worden we daar weerbaar tegen?
Banken werden geen koplopers omdat ze dat wilden, maar omdat ze geen keuze hadden. De vitale sector heeft diezelfde urgentie, dus het wordt tijd om te investeren in security en governance.”
“Veel organisaties hebben last van cyberschaamte. Maar transparantie levert altijd meer op dan het kost.”
Cyberschaamte vergroot de schade.
Incidenten zijn onvermijdelijk. De vraag is hoe je ermee omgaat. Rorive ziet dat veel organisaties incidenten te lang stilhouden. “Cyberschaamte, noem ik dat. Maar transparantie levert altijd meer op dan het kost.”
Hij verwijst naar voorbeelden. “TU Eindhoven liet zien hoe je vertrouwen wint door openheid. Clinical Diagnostics deed het tegenovergestelde: wekenlange stilte, met alle gevolgen van dien voor partners en patiënten. Openheid is geen teken van zwakte, het is de enige manier om sterker uit een incident te komen.”
Aanvallers werken goed samen. Verdedigers moeten dat beter doen.
“De kern van weerbaarheid is makkelijker gezegd dan gedaan: samenwerken. Wat dat betreft hebben criminelen het makkelijk. Eén kwetsbaarheid is genoeg om toe te slaan. Voor verdedigers is de uitdaging vele malen groter: complexe systemen, talloze afhankelijkheden. Alleen met intensieve samenwerking en transparantie kun je dat aan. Netwerken met gelijkgestemden, partners en leveranciers maken het verschil. In het eerste uur van een aanval, ook wel het golden hour, maken de voorbereiding en samenwerken het verschil. Dus oefenen, scenario’s doorlopen en afspraken maken, dat is wat organisaties te doen staat.”
Hier raken ook bredere thema’s zoals ketenintegratie en de koppeling tussen OT en IT. “Juist daar zie je hoe belangrijk samenwerking is: geen enkele partij kan dit alleen oplossen.”
“De rol van de CISO verschuift.”
Hoe hij dit zelf in de praktijk brengt? “Security hoort thuis in de boardroom. Te vaak wordt security nog gezien als een IT-aangelegenheid. Maar in vitale infrastructuur zijn de risico’s te groot. “Mijn rol is niet om alles zelf te regelen, maar om de organisatie richting te geven en de dialoog te voeren met bestuurders. Alleen dan wordt security een duurzaam onderdeel van de strategie.”
“We kunnen alleen samen een vuist maken tegen aanvallers.”
Onze grootste opgave voor de toekomst.
“Dreigingen veranderen voortdurend. Compliance helpt organisaties volwassen te worden op het gebied van security en draagt zo bij aan meer veiligheid. Maar het is geen eindstreep. Wie compliance als einddoel ziet, loopt het risico een vals gevoel van veiligheid te ervaren.
Incidenten zullen altijd plaatsvinden. Het verschil zit in hoe we ermee omgaan. Alleen door samenwerking, vertrouwen en transparantie kunnen we echt weerbaar worden.”
Zijn oproep aan bestuurders en partners is simpel maar krachtig: “Investeer in vertrouwen. In je netwerk. Deel incidenten met elkaar. Oefen samen. Alleen zo maken we van vitale infrastructuur geen zwakke plek, maar een sterke vuist tegen aanvallers.”
