Sjaak Schouteren over ‘cyber’, blockchain en de risico’s van The Internet of Things
Voor Sjaak Schouteren zijn ‘cyber’ en alle zaken die daarmee samenhangen, al zeven jaar zijn ‘ding’. Hij ziet dat de combinatie van blockchain, The Internet of Things en Big Data voor grote veranderingen gaat zorgen. Ook in de verzekeringsmarkt. Welke rol kun je als de Risk & Insurance Manager claimen in alle digitale ontwikkelingen?
Young Insurance en LeadInSurance
Sjaak, onder meer bekend als mede-oprichter van YoungInsurance en LeadInSurance , is na een aantal jaren Aon sinds een tijdje partner van het European Cyber Team van JLT Specialty met standplaats Rotterdam. JLT is een specialist broker, en richt zich op een aantal specifieke marktsegmenten met specifieke producten en oplossingen. Zoals op het gebied van ‘cyber’. Sjaak is binnen het Europese cyber team verantwoordelijk voor Benelux, de Nordics en zal ook geregeld in Oost en Centraal Europa bij klanten zijn gezicht laten zien. De eerste ervaringen met zijn andere teamleden is goed bevallen, zowel qua kennis als ook competenties. ‘Ik heb het gevoel in de Champions League te zijn beland.’
Menselijk falen is het grootste risico
Hij kijkt terug op zeven jaar ervaring met ‘cyber’: ‘In die begintijd wisten maar weinigen waarover het ging. Een jaar of drie geleden ontstond er een fase waarin je met name met IT'ers om de tafel zat. Die hadden toen nog vaak een houding van: dus jij komt ons vertellen wat we niet goed doen. Terwijl het daarover niet moet gaan. Ik praat eigenlijk nooit inhoudelijk over IT. Je kunt me er van alles over vertellen, een ICT'er weet altijd meer van zijn eigen systeem. Het enige dat ik durf te stellen is: vanwege de enorm toegenomen afhankelijkheid van geautomatiseerde systemen en processen kan het goed fout gaan en het gaat ook een keer fout. Dat kan komen door acties van criminelen van buitenaf, maar ook door menselijke fouten in de eigen organisatie of door systeemfalen. Juist de menselijke fouten zijn het grootste risico.’
Maar de tijden veranderen snel: ‘Nu word ik vaak gevraagd door IT'ers om aan het bestuur uit te leggen dat de afhankelijkheid van geautomatiseerde systemen veel groter is dan men zich beseft en dat uitval grote consequenties heeft voor de hele business, zowel operationeel als voor je reputatie.’
De kroonjuwelen van de organisatie
Daarom wil Sjaak in gesprek met alle belanghebbenden binnen de organisatie: van de CFO tot en met de operational manager, de mensen van marketing, de Risk & Insurance Manager, HR en Legal. En de mensen van IT. ‘Het is de kunst om met elkaar te bepalen wat nu feitelijk de kroonjuwelen van het bedrijf zijn. Waarvan krijg je echt buikpijn als er iets gebeurt? IT’ers kunnen uiteraard alleen kijken naar systemen waarvan ze het bestaan weten, maar er is ook heel veel shadow-IT. Marketing heeft bijvoorbeeld zonder overleg met ICT een softwaretool aangeschaft en data verzameld om nieuwsbrieven naar klanten te sturen.
Adequaat reageren
Omdat Legal, ICT en Sales van nature niet snel met elkaar in overleg treden, weet men vaak niet wat er allemaal gebeurt binnen de organisatie. En hoe kan je adequaat reageren op een cyber incident als je niet weet wat de (potentiele) impact is? Hoe zit het met de aansprakelijkheid, wat voor invloed heeft dit incident op de betrokkenen, leveranciers, andere stakeholders en onze eigen business? Allemaal vragen die je alleen kunt beantwoorden als je alle interne stakeholders hierin betrekt.
De kroonjuwelen verschillen per bedrijf, per moment (bijvoorbeeld seizoensinvloeden) en per functie. ‘Voor een online retailer is de website heel belangrijk, voor een productiebedrijf is dat de applicatie voor supply chain management. Voor een opdrachtgever in de foodsector bleek zelfs dat de impact ook uit onverwachte hoek kan komen. In dit geval was het etiketteringssysteem de crux. Want volgens de wet mag er niet worden uitgeleverd zonder de vermelding van een houdbaarheidsdatum op het etiket. Valt zo’n systeem uit, dan kun je niks maar heb je wel al veel waarde toegevoegd aan je product en dus is de impact het hoogst.
Sjaak Schouteren: ‘Het bestrijden van cyberrisico’s heeft weinig zin als het bestuur van de onderneming er niet volledig achter staat.’
Hoe krijg je de kroonjuwelen op tafel?
Het belangrijkste is om met elkaar te bepalen hoe zaken in de praktijk gaan en waar zich risico’s bevinden. Vaak gaan in dat soort sessies de ogen pas echt open, ervaart Sjaak. Een voorbeeld: ‘Bij een Nederlandse vestiging van een Japans bedrijf meldde de Security Officer trots dat niemand in het bedrijf op een link klikte die men niet begreep. Daarvoor golden strakke protocollen. Terwijl uit interviews met operationele mensen was gebleken dat ze bij het opstarten van hun werkzaamheden elke dag eerst moesten klikken op een Japanstalige link om vervolgens in een Engelstalig logistiek systeem te kunnen komen. Niemand trok de betrouwbaarheid van de Japanse link in twijfel. De Security Officer keek daar natuurlijk zeer van op.’
Hiaten tussen theorie en praktijk
Om de hiaten tussen theorie en praktijk aan te tonen, is benchmarking belangrijk, naast de inzet van geavanceerde hulpmiddelen (tooling). Sjaak: ‘Die is eventueel ook beschikbaar voor de NARIM-leden. Naast Risk & Insurance managers zien we dat deze hulpmiddelen ook vaak worden ingezet door IT'ers om – bijvoorbeeld – bij investeringsvraagstukken inzicht te krijgen in kwetsbaarheden en wat daaraan is te doen.’
AVG (de Algemene verordening gegevensbescherming)
Ook op het gebied van de aanstaande invoering van de AVG in mei is er nog veel onwetendheid, vindt Sjaak. ‘Ik heb vorig jaar zeker zestig presentaties gehouden over het onderwerp. Ook bij dit onderwerp geldt dat je in gesprek moet met mensen vanuit meerdere disciplines. De Risk & Insurance Manager hoort daar zeker bij.
‘Er zijn bedrijven die stellen dat de nieuwe GDPR-wetgeving bij hen niet erg speelt, bijvoorbeeld omdat ze naar eigen zeggen over weinig data van klanten beschikken. Zo gaf een retailer aan dat ze alleen zaken doen met dealers. Toen ik doorvroeg welke data ze van personen hadden verkregen na hun Facebook campagne zes maanden daarvoor, bleef het stil. Dat moesten ze even bij Marketing opvragen. Daarna vroeg ik wat voor data ze van mij hebben als ik via de dealer een product terugstuurde. Wat bleek: deze data ging voor analyse naar hun moederbedrijf buiten de EU. Iets wat nu ook al niet mag zonder mijn toestemming.’
De rol van de Risk & Insurance Manager
De Risk & Insurance Manager moet een belangrijke rol claimen, vindt Sjaak. Als spin in het bekende web. Op het gebied van ‘cyber’ gebeurt dat nog veel te weinig.
'Het bestrijden van cyberrisico’s heeft alleen zin als het bestuur van de onderneming er volledig achter staat.' Dus is het zaak hen het belang van maatregelen uit te leggen in zo eenvoudig mogelijke bewoordingen. ‘In veel verkennende gesprekken leg ik een casus voor: je komt op kantoor en de gegevens op de belangrijkste systemen blijken encrypted te zijn. En als er niet binnen twee uur wordt betaald, komen de eerste gegevens op straat te liggen. De vraag is dan: wie trekt als eerste het gele hesje aan? Wie neemt actie? Bij een brand weten we het bij een cyber incident niet?'
Ransomware: wel of niet betalen?
Dus ook bij ransomware is afstemming cruciaal, gaan we bijvoorbeeld betalen of niet. Er is in de ervaring van Sjaak een groot verschil tussen hackers die met hagel in het rond schieten en meer geavanceerde hack-pogingen.
Je hebt voor de verschillende situaties een apart business plan nodig. Welke ransomware betreft het, wat is de impact op de organisatie en haar stakeholders, zijn de personen en de ransomware met wie je hebt te maken “betrouwbaar” genoeg? Pas dan komt de vraag aan de orde of je zou moeten betalen en - zo ja – hoe. In zo’n geval, ga je samen met het panel van de cyberverzekering om tafel om een business plan te maken en indien nodig onderhandelen met de criminelen. Het zijn risicoafwegingen om je gegevens terug te halen. Het is te makkelijk om te zeggen dat je nooit zult betalen. Dit jaar is er weer een bedrijf failliet gegaan omdat de eigenaar uit principe niet wilde betalen. Een mooi principe maar er staan nu wel 22 mensen op straat.’
Blockchain
Met name de combinatie van blockchain, The Internet of Things en Big Data zal de komende tijd voor veel verandering zorgen in verzekeringsland, verwacht Sjaak. Eerst in de commodity markt maar daarna ook in de grootzakelijke markt. ‘De rol die de Risk & Insurance Manager kan spelen, bevindt zich met name aan de voorkant, bij de opzet van een blockchain en het doel waarvoor je dit hulpmiddel inzet. De discussie over nullen en enen aan de voorzijde is essentieel.
Het zou voor onze markt een hele mooie toevoeging zijn die veel transacties die geen waarde toevoegen automatiseert en meer ruimte biedt om waarde toe toevoegen daar waar het het meest nodig is. Wel moet je jezelf altijd afvragen waarom je de blockchain-techniek wilt gaan gebruiken en wat de toegevoegde waarde is. Want blockchain is slechts een tool, een hulpmiddel. Geen doel op zich.’
The Internet of Things: veel toepassingen zijn slecht beveiligd
Beangstigend is The Internet of Things, stelt Sjaak vast. Dit wordt ook gepusht vanuit de overheid. Maar veel toepassingen zijn slecht beveiligd. Als er dan wat gebeurt, wie is dan verantwoordelijk? Die autonoom rijdende auto’s gaan er ongetwijfeld komen, maar de vertraging zit aan de voorkant, want wie gaat bepalen wie aansprakelijk is als het mis gaat? Dat wordt de rem richting snelle implementatie. Er staan op internet lijsten van mensen die een koelkast hebben die bijhoudt hoe vaak je de koelkast opent en wat er in je koelkast zit om (op termijn) ook zelfstandig bestellingen te plaatsen bij de supermarkt. Maar dan kunnen mensen dus ook nagaan wanneer je niet thuis bent, want dan gaat de koelkast niet open. Wel zo makkelijk voor inbrekers.
Over al dit soort zaken zullen we moeten nadenken. Nogmaals: dat kan alleen door er met alle betrokkenen over te spreken. Het zou een mooie rol als aanjager en coördinator kunnen zijn voor mensen met verstand van risico’s. De Risk & Insurance Manager dus.’
