Eric Van Cangh: "Cyberveerkracht is een must-have mindset"

De ingenieur chemie was altijd al geboeid door informatica: zo begon hij te coderen in zijn kinderkamer, zette hij in het nog prille internettijdperk als kot-student een project op en is zijn huidige rol die van "Mr. Cybersecurity" bij Agoria.  

Hoe ben je bij Agoria terechtgekomen en wat is jouw rol? 

Het was Georges Ataya, hoogleraar en academisch directeur aan de Solvay Brussels School, die kwam aanzetten met het idee om te solliciteren bij Agoria.  Nu heb ik al een jaar de leiding over de bedrijfsgroep Cybersecurity.  Ik heb altijd in IT gewerkt, bij ING acht jaar waarvan vijf op het domein van disaster recovery & business continuity, met andere woorden "IT resilience". Dat is het basisconcept van cyberveiligheid.

In een notendop: het is mijn rol om cyberveiligheid bij alle leden van Agoria op de agenda te zetten. Ik wil de boodschap overbrengen dat investeren in cyberveiligheid geen kostenpost is maar een toegevoegde waarde, die met twee sleutelwoorden kan worden omschreven: "trust" en "resilience".  Vertrouwen scheppen, met name bij klanten, en zorgen voor continuïteit van de business wanneer zich een incident voordoet.  Beide zijn nauw met mekaar verweven, want laten zien dat je kunt doorgaan met je werk en dat je niet omvalt in het geval van een fysieke of cyberramp vergroot het vertrouwen van de buitenwereld. Die veerkracht is een heuse must-have mindset voor iedere onderneming, elke dag weer.

Hoe goed zijn Belgische ondernemingen over het geheel genomen voorbereid op het vlak van cyberveiligheid?

Dat hangt af van het soort onderneming.  Bedrijven zoals banken en verzekeraars zijn prima bij de les en getuigen van een grotere maturiteit t.a.v. cyberveiligheid omdat ze in een gereglementeerde omgeving actief zijn: ze hebben wettelijke verplichtingen die ze op dat gebied moeten naleven.  

In niet-gereglementeerde omgevingen hangt het af van de grootte van de onderneming.  Kleinere ondernemingen zijn minder goed beschermd omdat ze maturiteit missen. In België telt 97% van de bedrijven minder dan tien personen.  Ook al begrijp ik perfect dat die zko's noch de tijd noch de energie hebben om te investeren in cyberveiligheid, ze blijven wel belangrijke potentiële doelwitten.  Te meer omdat ze vaak leveranciers zijn van grotere ondernemingen ...

De onachtzaamheid van veel ondernemingen t.a.v. hun toeleveringsketen is onthutsend.  Grote ondernemingen hebben niet altijd een nauwkeurige lijst van al hun leveranciers en onderaannemers. En er is in niets voorzien om het veiligheidsniveau van die leveranciers te valideren. We weten echter dat kleinere ondernemingen niet noodzakelijk de cybermaturiteit hebben die aansluit bij het niveau van de eisen die hun klanten hebben.  

Hoe zit het met de cyberveiligheid in maakbedrijven?

Die ondernemingen zijn duidelijk kwetsbaar voor cyberaanvallen omdat ze vaak werken met verouderde productieapparatuur ("legacy-systemen") die nochtans steeds sterker geconnecteerd wordt.  In de industrie wordt IT al te vaak weggezet als een kostenpost en dus als een hinderpaal beschouwd.  

We plannen een roadshow in ondernemingen om bedrijfsleiders bewust te maken van het belang van cyberveiligheid.  Ik zal de leden van Agoria trouwens ook uitnodigen om een CyRO (Cyber Relation Officer) aan te wijzen, d.w.z. een persoon in iedere onderneming met wie ik over dit onderwerp kan communiceren en aan wie ik uitnodigingen voor onze events (academy, workshops enz.) kan richten.

Aarzel alvast niet om onze Masterclass Academy over cyberveiligheid te volgen om inzicht te krijgen in het belang en om in 30 stappen de basis te verwerven (zie link hierna).

Aan welke dossiers werk je momenteel?

Er is natuurlijk de studie over cyberveiligheid die op 16 november werd uitgebracht en waarin we verschillende aanbevelingen doen die we vervolgens onder de aandacht zullen brengen van zowel politici op verschillende beleidsniveaus als de leden van de cybercommunity (ondernemingen, de onderwijswereld enz.).

We willen ook synergieën tot stand brengen met de Belgische Defensie, in het kader van het STAR-plan – Security/Service-Technology-Ambition-Resilience – dat onder leiding van minister van Defensie Ludivine Dedonder is opgesteld en waarin de toekomstige beleidslijnen van Defensie zijn vastgelegd.  Bovendien heeft de DIRS (Defence Industry and Research Strategy), waarin voor synergieën tussen Defensie en de industrie wordt gepleit, 15 speerpuntdomeinen gedefinieerd waaraan tot 2030 een budget van meer dan 1,8 miljard euro zal worden besteed, met cyberveiligheid als topprioriteit.

Voorts zullen we dankzij de BSDI- en CMiB-leden bijdragen aan de vijfde component van Defensie (na Land, Zee, Lucht en Medisch), nl. het Cybercommando, waarvan de aftrap is gepland op 19 oktober.  Ik zal Agoria vertegenwoordigen in het panel.

Om al die redenen hebben we binnen CMiB een groep CMiB for Defence opgericht, die op 1 december e.k. voor het eerst de koppen bij mekaar zal steken (uitnodigingen volgen).

Wat vind je het leukst aan je rol bij Agoria?

De contacten, daar hoef ik niet over na te denken.  Het feit dat we de ondernemingen en de partners van de community kunnen samenbrengen rond de problematiek van cyberveiligheid en dat we echt impact kunnen hebben.

Enkele voorbeelden van vragen die u als lid van Agoria aan Eric kunt stellen:

• We zijn aangevallen, wat nu?
• We willen processen opzetten om onze veerkracht te verzekeren, hoe doen we dat? Hoe begin je eraan? 
• Ik wil op de hoogte blijven van de activiteiten van de CMiB-groep.
• Welke nieuwe regelgeving is er in de maak? Wat zijn de gevolgen voor mij? 
• Wat moet ik doen om compliant te zijn?  
  PS: voor vragen over regelgeving en compliance zal Eric u in contact brengen met Arnaud Martin, expert Digital & ICT Standardisation bij Agoria.
• Ik ben op zoek naar hulp van een geschikte cybersecurity-expert om mijn onderneming te beschermen.