Transcript
Dag Stef, welkom in de studio.
Dank u, Kevin.
We gaan het vandaag hebben over data security. Dat klinkt niet meteen heel sexy. Maar het is toch superbelangrijk, hé?
Ja, absoluut. Zeker de dag van vandaag, ja.
Ja, want misschien...
De aanleiding voor het gesprek was een stuk de NIS2-wetgeving, die er op Europees niveau aan zit te komen. Dat kan, misschien, dan een ver-van-mijn-bed show voor veel kijkers en luisteraars zijn.
Maar kan je eens kort schetsen: wat is dat precies?
Ja, eigenlijk is heel dat NIS-verhaal er al in 2016 gekomen. Dat is een Europees initiatief om de lidstaten eigenlijk weerbaarder te maken. Op cyberniveau dan. Nu komt daar een tweede versie uit, die gaat verbreden. Verbreden in de zin van: op welke sectoren, op welke bedrijven, is die NIS-regelgeving van toepassing?
Waar we in het begin keken naar zuiver die instanties van publiek belang, ik denk maar aan energie, watervoorziening en dat soort zaken, wordt dat nu uitgebreid naar elk bedrijf, groot of klein, dat een maatschappelijk belang heeft. Of dat met zoveel persoonlijke data bezig is, dat het een heel grote impact kan hebben, moest er iets gebeuren.
Ik denk, bijvoorbeeld, aan voedingsindustrie. Als daar iets fout loopt, dan is het wel serieus natuurlijk. En daarom dat men in dat NIS2-verhaal gaat verstrengen, richting bepaalde bedrijven. En zeker ook de ecosystemen van bepaalde bedrijven, denk aan klanten en leveranciers die mee in de supply chain van zo'n bedrijf zitten. Daar gaat men voor de digitale weerbaarheid strengere regels opleggen.
En daar denk ik dat ook meteen de link naar de evenementensector zit. Er zijn heel weinig...
Enfin, er zijn er wel...
Maar er zijn heel weinig bedrijven die misschien vandaag zelf zodanig groot zijn, dat ze met NIS2 direct in aanraking komen. Maar heel veel van die bedrijven in onze sector, zitten wel in dat ecosysteem, in die supply chain, van bedrijven die wel aan die voorwaarden gaan moeten voldoen. En eigenlijk komt het erop neer: heel veel van die grote bedrijven gaan verwachten van hun leveranciers dat ze op data security-vlak een aantal maatregelen gaan moeten nemen. En ik denk dat dat eigenlijk een interessante is om als uitgangspunt te nemen.
Ja, dat klopt. En eigenlijk zou buiten heel dat NIS2-verhaal, wat dan wettelijk voorzien wordt, zou je eigenlijk, als klein en als groot bedrijf al de plicht moeten hebben om met cyberveiligheid bezig te zijn. NIS2 legt echt wel zeer strenge straffen op. Voor bedrijven die er helemaal niet mee bezig zijn. Dus ja, het kan niet langer een ver-van-uw-bedshow blijven.
Maar dat is het voor veel kmo's of mkb's in Nederland moet ik dan zeggen, wel hé. Want iedereen denkt van: ja, dat is voor de grote bedrijven want wat kunnen ze bij mij komen halen? Maar ja, jij zit natuurlijk in de verzekeringswereld rond die cybersecurity. Ik denk dat jij het elke dag ziet dat het wel degelijk die kmo's zijn.
Wel, het zijn de namen zoals HPE en Microsoft en Limburg.net die het nieuws halen, natuurlijk. Maar in diezelfde periode gaan er een veelvoud van de kmo's, die ondergaan hetzelfde lot. En misschien met veel ergere gevolgen. Als in faillissement, tout court.
Zo verregaand?
Zo erg. 65% van de kmo's die getroffen worden door een ransomware aanval, gaat binnen de zes maanden failliet. Gewoon omdat die recoverykost van zo'n incident zo groot is.
Je moet je eigenlijk voorstellen: zet vandaag alle systemen uit. Al wat je van software, infrastructuur, hardware gebruikt. Zet dat allemaal uit. Alle communicatie die je geautomatiseerd hebt. Gedigitaliseerd hebt. Met uw klanten, uw leveranciers. Zet dat allemaal uit. Gooi bij voorkeur wat data weg. Zorg ervoor dat je een aantal systemen niet terug kunt opstarten. Als je die test doet, dan weet je door welke moeite je eigenlijk moet gaan. Om zo'n aanval te boven te komen.
De meest smerige aanvallen, die gebeuren op vrijdag. Die hackers weten dat ook: dan is iedereen richting het aperitief. Maar dan slaan die hackers natuurlijk toe. Die weten dat, als je niet goed voorzien bent, je de expertise niet gaat vinden om u boven dat incident te helpen. En het is zo simpel als in: alle systemen worden tegelijkertijd gelockt. Je moet dan ransom, losgeld, betalen, om terug up and running te komen.
Dat is een type incident natuurlijk. Een ander type incident kan zijn dat men uw data steelt. Dat men dat gaat verhandelen op het darkweb. Dus zeker in de evenementensector, waar toch heel veel data rondgaat, persoonlijke data, is dat veel waard. En waarom is dat veel waard? Omdat die hackers de identiteiten proberen over te nemen. Om bepaalde malafide praktijken te kunnen gaan toepassen. En in die zin is het natuurlijk ook een probleem van de kmo, de mkb. Net zij worden zeer sterk geviseerd. Omdat de beveiliging doorgaans wat slechter is. Men denkt: het geld is bij de groten te halen. Bij de HPE's, de Limburg.net's en de Microsofts. Maar niks is minder waar en die hackers die weten dat ook, natuurlijk.
Die grote bedrijven, die zijn bezig met cyberveiligheid. Die kleinere bedrijven denken: het geld is bij de grote te halen, dus we moeten eigenlijk niks doen. Ja, dat weten die hackers ook natuurlijk. Dat weten die cybercriminelen natuurlijk.
Ja en meer nog: heel vaak proberen ze bij de grote binnen te geraken, via een kleine onderaannemer. Om toegang te krijgen tot dis systemen. En dan heb je niet alleen de miserie zelf. Maar ook nog eens de aansprakelijkheid ten opzichte van een eventuele klant die je hebt.
Ja en daarom dat die NIS2-regelgeving ook zover gaat als het ecosysteem van de bedrijven rond u. Je wordt echt verplicht, als bedrijf, als management team, om bepaalde cyberveiligheidsmaatregelen te nemen. Doe je dat niet, dan staan daar geldboetes op, die echt niet min zijn. Alsook hoofdelijke aansprakelijkheid van de management teams. Dus: wordt er effectief niks gedaan rond cyberveiligheid en er gebeurt iets in dat ecosysteem, dan kan je zelf, als management team, hoofdelijk aansprakelijk worden gesteld. Je kan zelfs uitgesloten worden van het uitvoeren, beoefenen van een functie.
Dus dat gaat toch wel heel, hel ver.
Dat gaat inderdaad heel ver. Maar aan de andere kant ook logisch, want het is een belangrijk topic.
Nu, ik kan me voorstellen dat we nu iedereen die aan het kijken of aan het luisteren is heel goed bang hebben gemaakt. Dat is ook niet de bedoeling natuurlijk. Als...
Ik vertrek eigenlijk ergens vanuit die kmo of mkb, omdat dat het gros van ons publiek is.
Hoe pak je dat aan? Hoe ga je ervoor zorgen dat je enerzijds, op cybersecurityvlak de juiste maatregelen gaat treffen? Maar anderzijds ook uw risico's kunt gaan indekken.
Ja, als cyberverzekeraar zeggen wij dat ook: je moet integraal inzetten op veiligheid. En dan het restrisico eigenlijk gaan verzekeren.
Hoe kan je integraal inzetten op cyberveiligheid? Er zijn een aantal maatregelen die je zelf kan nemen. Zonder teveel IT-technische kennis. En in tweede instantie moet je je laten bijstaan door de nodige expertise. Ieder zijn vak. Ieder zijn stiel. Voor heel het cyberverhaal is dat net hetzelfde natuurlijk.
Ik probeer veel de vergelijking te maken met het huis. Het kantoor. Met ramen en deuren. Dat sluiten wij gewoontegetrouw als we vertrekken. Het concept van een sleutel, een badge, een alarmcode, dat kennen we allemaal. In de digitale wereld zijn die digitale ramen en deuren er ook. Maar die zijn zo gigantisch veel meer. Als ik velen vraag wat DNSSEC, SPF, DMARK-configuratie is, het is nogal evident dat de mensen het horen donderen in Keulen. Maar net daarom dat je je moet laten bijstaan in heel dat cyberverhaal.
Als we 's avonds in onze zetel liggen te scrollen om nieuwe schoenen te kopen, dan verwachten we gewoon dat die pagina en die schoenen mooi op ons scherm komen. Maar tussentijds, in die communicatie van u thuis, op die laptop, tot en met de man die dan de schoenen aanbiedt, daar gebeurt zoveel, dat het aantal digitale ramen en deuren, die dan elk hun zwakheden hebben, exponentieel groeit. Dat is gigantisch groot. Daarom: laat u bijstaan met de nodige expertise. Om iets aan cyberveiligheid te doen. Is dat het auditen van uw huidige omgeving? Is dat het instellen van multifactor authentication? Of wat dan ook. Sterk inzetten op beveiliging. Het sluiten van de digitale ramen en deuren.
En dan de maatregelen die je zelf kan nemen. Ik denk dat het veelal nog gebeurt dat men gebruikersnamen en paswoorden op heel veel verschillende sites herhaalt. Want dat is gemakkelijk. Maar dat is natuurlijk wel de pap in de mond geven aan die hackers. Die moeten dat maar automatiseren om met uw credentials ergens te willen inloggen. En plots zijn ze ingelogd op een Booking.com en hebben ze uw creditcardgegevens. Dat zijn stappen waarmee we echt wel zelf kunnen beginnen. Verschillende paswoorden. Gebruik een paswoordmanager die dat dan voor jou...
Ja maar kies wel een veilige.
Kies een veilige. Ook daar.
Want er zitten er daar ook met gaten in.
Helaas, niks is 100% veilig. Dat is helaas waar. Maar het zal alleszins al veel veiliger zijn dan overal dezelfde sleutel voor elke deur te gebruiken natuurlijk.
Er zijn ook heel goede overheidsinitiatieven, de dag van vandaag. Ik denk aan Safeonweb. Die hebben een campagne waarin ze heel veel informatie verspreiden. Ze hebben zelfs een CyberFundamentals Framework, dat je kan gaan gebruiken om intern in uw bedrijf te gaan adopteren. Maar ook heel gemakkelijke dingen. Een browserextensie die aangeeft of een website oké is of niet. Ze hebben een mobiele app die u waarschuwt als er weer een grootschalige campagne vanuit de naam van Fluvius wordt gevoerd.
Want daar zit vaak heel erg het probleem, hé. Hackers doen zich voor als partijen waar je contact mee hebt. Als je medewerkers...
Dat heb ik bij ons ook zelf gemerkt in het bedrijf. We steken heel veel tijd in ook iedereen daar attent op te maken. Wat de gevaren zijn. Een stuk educatie zit daarin. Maar ja, zo een mail van een Fluvius krijgen. Per ongeluk op een link klikken. En voor je het weet heb je iets geïnstalleerd en is heel uw netwerk geïnfecteerd.
Die awareness, authenticiteit van mails verifiëren en zo verder, is wel een heel belangrijke. Heel belangrijk en ook heel moeilijk. Ik kan u zeggen: we zijn dagdagelijks toch bezig in die materie, ook ik moet soms twee keer kijken of iets legitiem is of niet. Dus de tijden van de Nigeriaanse prins die in slecht Nederlands zijn erfenis aan het verdelen was, dat is gedaan.
Ja, we waren allemaal schatrijk geweest, hé.
Dat is helaas gedaan. Het is allemaal wel zeer professioneel. Die hackerorganisaties, die zijn echt wel goed georganiseerd. Dat zijn, ten andere, ook gewoon bedrijven hé. Dat zijn bedrijven waar HR, IT en finance ook te vinden is. Dus dat is ontzettend geprofessionaliseerd. De acceleratie die ChatGPT daarin veroorzaakt heeft, evengoed. Vandaar dat men ook correct en goed Nederlands kan schrijven.
En ik blijf het zeggen: de moderne crimiclown zit vanuit zijn luie zetel in het salon, met bier en chips, bedrijven af te persen. Die gaat niet meer op pad 's nachts, met een koevoet en een zaklamp in de hand. Nee, het is online te doen. En het is correct wat je aanhaalt, in die zin. De menselijke factor is daar oh zo belangrijk in. Ook vanuit de schadedossiers die wij zien, is de menselijke factor toch veelal één van de meest bepalende. Je kan 84 firewalls en 134 antivirussen installeren. Zolang niet elke medewerker in uw bedrijf ook aware is van het gevaar, zal het gevaar natuurlijk aanzienlijk blijven.
Ja, nu je zegt natuurlijk al enerzijds van: vraag professionele hulp. Ik denk: eentje die wij, - en ik denk dat je het er wel mee eens zal zijn, zelf ook hebben gezien, en vanuit eventplanner hebben wij ook net daarom een ISO-certificering gehaald, als je software kiest, zeker SaaS-oplossingen waar je data in de cloud zit, ga ook na: met wie werk je samen? Is dat een betrouwbare partij? Zo'n ISO-27001 certificatie is daar een goede maatstaf voor. Om te weten of die partij veilig is. Want jij kan alles goed doen. Maar als je dan vervolgens die data van die 16.000 bezoekers op je evenement ergens op een cloudservice zet, waar je niet van weet waar die terecht komen, ja, heb je weer zitten, hé.
Absoluut. Je slaat de nagel op de kop. Je kan dan zelf inderdaad wel heel goed inzetten op cyberveiligheid. Maar zijn uw klanten, uw leveranciers, dat ook aan het doen? En ik denk dat er weinig of geen zijn, die dan zeggen van: goh, we gaan nu die clouddienst of dat softwarepakket in de cloud afnemen. We gaan eens kijken wat de software bill-of-material is. Dat gaat niemand doen. Softwaregebruik brengt risico's met zich mee. Altijd. En als je ziet hoe hard bedrijven zoals een Microsoft, een HPE, inzetten op veiligheid en er dan toch nog poortjes openstaan, dat maakt de nood aan totale awareness eens zo groot.
Wel, want dat vraag ik mezelf ook altijd af: als hackers zelfs bij Microsoft binnenraken. Als kleine kmo, ik kan mijn best maar doen. En zelfs in dat geval kom ik misschien nog niet in de buurt van wat zij doen. Er gaan altijd gaten overblijven.
Er gaan altijd gaten zijn. Dat is zoals de klassieke inbreker. Als hij binnen moet zijn, zal hij wel binnen komen. En dan mag je nog een alarm hebben hangen. En dan mag je nog al je deuren en ramen op slot hebben. In de digitale wereld is het net hetzelfde verhaal. Als ze binnen moeten zijn, geraken ze wel binnen.
Maar daar zijn jullie dan ook natuurlijk een belangrijk stuk voor. Je gaf het daarstraks al aan. Je blijft met dat restrisico zitten. En dat wil je ook afgedekt hebben. Door, bijvoorbeeld, een verzekering.
Ja en wij willen daar vooral heel oplossingsgericht in zijn. Wij willen daar geen platte verzekering in zijn. Wij hebben gezien dat op het moment dat het fout loopt, dat je getroffen wordt, wil je vooral geholpen worden.
We hebben zo een bepaalde case gehad. Een bepaalde vestiging, verschillende filialen, uit elke printer, van elk filiaal, kwam, op hetzelfde moment, dezelfde brief gerold. No Escape Ransomware Group. Heel het software infrastructuurgebeuren gelockt. Ook weer op vrijdagavond gebeurd natuurlijk. Men heeft onmiddellijk naar een hotline kunnen bellen. Die dan ook meteen de nodige IT forensic services in gang zette. Alsook mogelijke juridische services. En ik belde de zaakvoerder de dag erna op. Om te vragen hoe het liep. Of hij goed geholpen werd. En hij zei: ja, we zitten nu wel even in de problemen natuurlijk. Het is een beetje zoeken hoe en wat. En hoe we er terug gaan bovenop komen. Maar ik was vooral content dat ik wist waar naartoe. Dat ik wist dat ik kon bellen. Dat ik wist dat de juiste mensen, met de juiste expertise, op dat moment onmiddellijk konden worden ingeschakeld.
Als er een incident gebeurt, van welke aard dan ook, want we zijn nu over ransomware en hackers en cybercrime bezig maar voor hetzelfde geld is het die SaaS-provider, die een verkeerde versie in productie zet, waardoor je eruit ligt en geen business meer kunt doen. Ook dat is een cyberincident. Maar, tout court, als het fout loopt, wil je vooral geholpen worden. En dat is cruciaal, zeker in die eerste momenten natuurlijk, om het verhaal goed aan te pakken.
Ja, ik kan me voorstellen dat je op de volgende vraag niet gaat willen antwoorden. Maar ik ga ze toch stellen. Omdat het iets is wat heel vaak in de gedachten rondgaat. Ransomware: betaal je of betaal je niet?
Uiteindelijk is het betalen van ransomware mee opgenomen in de polis. Dus moest dat gebeuren, dan dekt de polis dat. Maar de tendens is, over het algemeen, door de verschillende verzekeraars, om het niet te doen. Het funden van die criminele organisaties, is iets wat die organisaties overeind houdt, natuurlijk. En zolang men blijft betalen, gaan die ook blijven zoeken, natuurlijk. Sowieso zijn er al wel wat uitsluitingen richting terroristische organisaties. Stel dat een gekende terroristische organisatie dan losgeld eist, daar zal niet aan betaald worden, sowieso. En de tendens is om er toch proberen bovenop te komen, zonder dat de ransomware betaald wordt. Stel dat je toch ransomware zou betalen, dan is het ook maar zozeer de vraag of dat het dan effectief oplost. Of men dan effectief alles terug gaat vrijgeven. Of al hetgeen vrijgegeven is, dan terug gezond is. Wie weet wat zit daar nog allemaal onder? Onder de motorkap te borrelen.
Of de lock er na een week niet gewoon terug op gaat.
Absoluut. Zeker en vast, ja. Dan kan je blijven betalen. En zo gebeurt het ook, hé. Want die hackers nemen de tijd.
In het geval van de Stad Antwerpen is dat ook zo, hé. Dat is een super georganiseerd verhaal. Waar de ene groepering verantwoordelijk is voor het planten van heel het malwareverhaal. En dan een andere voor de data-extractie. En dan wat onderhandelingen doen en dergelijke meer. Het blijft een ontzettend moeilijk verhaal om te kunnen bijhouden. Die hackers, die criminelen, hebben geen morele waarden. Die hebben geen ethiek. Die hebben geen morele muren waar ze tegenaan lopen. Wij wel natuurlijk. Alle leveranciers van security en dergelijke meer, wij zullen altijd met wetgeving en ethiek moeten rekening houden. Dus die criminelen zullen altijd wel een stapje voor zijn. Is het dan dat we morgen geen ransomware meer betalen op de manier dat het vandaag de dag verloopt? Ja, wellicht zullen ze er wel iets op verzinnen hé. Morgen.
Ja, dan zoeken ze een andere manier.
Je zegt net, zo'n verzekeringspolis, stap 1 is begeleiding als het misloopt. Dat is natuurlijk super belangrijk. Anderzijds heb je ook, je hebt het daarstraks al gezegd, schade.
Wat is in zo'n polis typisch wel en misschien ook niet verzekerd? Waar je je wel bewust van moet zijn.
Ja, pure phishing bijvoorbeeld. Dat is iets wat wij niet verzekeren. Als in het whatsappje dat door de dochter wordt gestuurd van: mama, ik heb geld nodig. Maar het moet toevallig op een nieuw rekeningnummer worden overgeschreven. Dat zijn gevallen die wij niet dekken. Vanaf dat er sprake is van intrusie, een vermeende inbreuk op persoons- of bedrijfsgegevens, systeemfalen, beveiligingsfouten en dergelijke meer, dan treedt die polis wel in gang. En wij doen dat op winstverliesdekking. Wij doen dat op eigen schade en kosten. Wij doen dat op aansprakelijkheid. En op cybercriminaliteit. Dat zijn eigenlijk de vier pijlers in ons verhaal.
Dus, gesteld dat u, als bedrijf, in zo'n situatie komt te zitten, is de eerste taak die u moet doen naar die 24/7 hotline bellen. Dat is een lokaal bedrijf. Die mensen springen desnoods in de auto om u ter plekke te komen helpen. IT forensic services gaan het probleem proberen te lokaliseren, isoleren, remediëren, samen met een IT-partner, als dat nodig is. Dat zijn ook kosten, onderzoekskosten, die worden gedekt door die polis. Stel dat er juridische services aan te pas moeten komen, communicatie met klanten, leveranciers, met de overheid...
Ja, want er zijn ook verplichtingen op een gegeven moment.
Absoluut. Je bent inderdaad verplicht van dat aan te geven, aan de overheid. Naargelang de zwaarte van het incident. Dat zijn ook kosten die daarin gedekt worden. Dat is eigenlijk zowat het belangrijkste in heel het verhaal.
Ja, ik kan me voorstellen dat een aantal kijkers, luisteraars, zeggen van: goh, dat is een polis, die hebben we nog niet. Eigenlijk, het is een beetje...
Ja, in Vlaanderen zeggen we vaak de familiale. Maar dan de familiale voor uw cybersecurity.
Ja.
Als bedrijven zeggen van: oké, dat is toch interessant om aan onze verzekeringsportefeuille toe te voegen. Nemen ze rechtstreeks contact met jullie op? Is dat via de makelaar? Of hoe loopt dat precies?
Ons primaire verkoopkanaal is de makelaar, inderdaad. Dus contact opnemen met de makelaar is natuurlijk een eerste goede stap. Informeren, websitegewijs. Kan ook natuurlijk. En we hebben normaal gezien ook de nodige presence op de socials, vooral LinkedIn dan, bijvoorbeeld. Waarin we toch de actua proberen vast te nemen om ons verhaal te duiden, natuurlijk. Om het belang daarvan te duiden.
Ja maar dat is vandaag zeker goed gelukt, Stef. Dank je wel om dat hier in de studio te willen komen vertellen.
U bedankt voor de uitnodiging, Kevin.
Graag gedaan.
Merci.
En u, beste kijker, bedankt voor het kijken en alweer tot volgende week.