Meijers: Over de andere werkelijkheid
Tom Rijgersberg is Senior Practice Leader bij Meijers en gespecialiseerd in cyber security. In zijn werk komt hij regelmatig bij klanten over de vloer. Dan valt hem op dat zij er over het algemeen veel vertrouwen in hebben dat de beveiliging van hun systemen op orde is en dat een cyberaanval hen niet zal raken. Maar hij ziet ook een andere werkelijkheid.
Het risico van een cyberaanval wordt nog teveel onderschat. Tom Rijgersberg: ‘Alle statistieken laten zien dat het cyberrisico in 2022 het nummer-1 risico voor ondernemers is. Probleem is dat het zeker voor een niet IT-specialist een complex onderwerp is. Het cyberrisico werd ook lang als een IT-risico gezien en niet als een bedrijfsrisico. Hackers verstoren de drie-eenheid binnen cyber: beschikbaarheid, integriteit en de vertrouwelijkheid van informatie, het zogenaamde BIV-model. IT-providers zijn vooral goed in de B van beschikbaarheid. Doordat de integriteit en de vertrouwelijkheid ook worden geraakt, komt de continuïteit van de onderneming in gevaar met mogelijk een faillissement als gevolg.’
Kwetsbaar
Grote corporates zijn al jaren met cyber bezig. Zij hebben security teams opgezet, security budgetten gereserveerd en zij werken met security partners. Tom Rijgersberg: ‘Het niet-corporate bedrijfsleven is nog heel kwetsbaar. Het MKB beseft dat niet voldoende en ze denken dat ze niet interessant zijn. Hackers versturen echter een spervuur van aanvallen. Gaat er ergens een “deur” open, dan komen ze in actie.’
Geïnformeerd verzekeringsbesluit
In veel gevallen wenden bedrijven zich bij security-vragen tot hun IT-provider. Tom Rijgersberg: ‘IT-dienstverlening en cyber security zijn twee verschillende ambachten. Een IT-provider is niet juridisch eindverantwoordelijk voor de veiligheid, hij zorgt er primair voor dat de systemen draaien. Bij een datalek blijft de wettelijke aansprakelijkheid bij het bedrijf in kwestie liggen en is eigen bedrijfsschade niet of beperkt verhaalbaar. Het is niet het doel van Meijers om iedere relatie een cyberpolis te laten tekenen. Wij willen dat zij een geïnformeerd verzekeringsbesluit nemen. De hoofdboodschap in onze gesprekken is uit te leggen wat een cyberverzekering is, hoe hoog de premie is en wat de klant daarvoor krijgt. Continuïteit is altijd een belangrijk onderdeel in ons adviestraject. We laten de klant nadenken: besluit hij geen verzekering af te sluiten, kan hij de schade dan dragen? Zo neemt hij een weloverwogen besluit.’
Systeemrisico
Het vertrouwen in software vormt volgens Tom Rijgersberg tegenwoordig ook een groot risico. ‘Er zijn recente voorbeelden waarbij veel gebruikte software kwetsbaar blijkt te zijn, het zogenaamde systeemrisico. De organisatie heeft aan preventie en detectie gedaan, de security is op orde, er is een verzekering afgesloten, maar er zit een levensgroot gat in bijvoorbeeld de software van Microsoft of er zit een lek in gratis software die door velen wordt gebruikt. Dan kunnen hackers alsnog naar binnen. Dit is ook een groot risico voor verzekeraars en je ziet nu dat zij zich tegen dit soort risico’s gaan beschermen. In de meest extreme situaties zouden zij clausules in hun polis kunnen opnemen waarin ze het systeemrisico volledig uitsluiten. Dat kan nog interessante juridische kwesties opleveren, want wanneer is iets een systeemrisico en hoe ga je dat meten?’
Unieke positie
Hij besluit: ‘Ik werk al vele jaren in de cyber security en merk dat mensen mij vertrouwen als ik met ze praat over cyber. Ik denk dat we bij Meijers op dit gebied een unieke positie bekleden.’
