Welkom bij Compliance Adviseert, met experts, adviseurs, bestuurders en de business bespreken we Risk & Compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen, want voor het juiste en rechte pad bestaat geen navigatiesysteem. Deze podcast wordt mede mogelijk gemaakt door Deloitte, De Volksbank, Hyarchis en Osborne Clarke. Je host is Jeroen Broekema.
Jeroen: Welkom, luisteraars, bij een nieuwe aflevering van Compliance Adviseert. Hartstikke leuk dat je luistert en vandaag hebben we weer een hele interessante aflevering, namelijk met Job Kuijpers, de CEO en medeoprichter van Eye. We gaan het hebben over cyber risico’s, over preventie daarvan, maar ook over verzekeren. En natuurlijk komen we aan de compliance kant terecht gedurende het gesprek, want hier zitten heel veel compliance kanten aan. Allereerst, Job, leuk dat je er bent!
Job: Dankjewel! Leuk om hier te zijn.
Jeroen: Ja, hartstikke leuk. Ik ben benieuwd om het over jou te hebben, wie ben je en wat is je achtergrond?
Job: Ik ben één van de oprichters van Eye Security, een bedrijf dat we een kleine vier jaar geleden hebben opgericht. Daarvoor ben ik veertien jaar voor de Nederlandse inlichtingen- en veiligheidsdienst werkzaam geweest en steeds meer in dat cyberdomein terechtgekomen. Uiteindelijk, vanuit dat cyberdomein, ben ik ook dit bedrijf gestart.
Jeroen: Je werkte bij de veiligheidsdienst, dat klinkt echt totaal anders dan ondernemerschap, of is dat niet zo?
Job: Dat klopt. Mensen die me goed kennen, hebben me altijd gevraagd, “Hoe kan je nu veertien jaar bij de overheid werken?” Tegelijkertijd, werken voor die inlichtingen- en veiligheidsdienst is één van de meest mooie plekken waar je kan werken. Je werkt met alleen maar hele slimme jongens en meisjes. Je doet heel zinvol werk en werk dat echt iets toevoegt. Je gaat eigenlijk constant van de ene crisis naar de andere crisis en dat maakt het werk gewoon enorm spannend en leuk en verslavend.
Jeroen: Zit daar ook een vorm van ondernemerschap in die baan?
Job: Ja, zeker. Vanuit die inlichtingendienst is het werk heel operationeel, dus vanuit de wet is er een bepaalde taak, er moet iets uitgevoerd worden, je moet een informatiepositie creëren op bijvoorbeeld de Russen, dat is heel bekend. Om dat vervolgens te gaan uitvoeren, vergt behoorlijk wat ondernemerschap. Dus veel kwaliteiten van ondernemers zijn vaak ook heel gunstig, zeker bij de wat meer uitvoerende instanties binnen de overheid.
Jeroen: Mooi! En ook andersom dus, als je daar gewerkt hebt kan je ook gewoon een bedrijf beginnen?
Job: Ja, zeker. Daar zijn wij gelukkig het bewijs van en we zijn niet de enigen die daar het bewijs van zijn.
Jeroen: Zijn er meer mensen die het doen?
Job: We hebben meer succesvolle bedrijven die opgezet zijn door mensen uit de inlichtingen- en veiligheidsdienst. Een heel mooi voorbeeld vind ik de Triangular Group van Ray Klaasens en Onno van Boven. Jongens die ook bekend zijn van het programma Kamp van Koningsbrugge, een schitterend mooi bedrijf.
Jeroen: Zat je ook aan de cyber kant?
Job: Ik ben daar langzaam ingegroeid. Ik ben heel klassiek begonnen met spionage in het buitenland. In die operaties zat er altijd wel een cybercomponent in. Zodoende kwam ik steeds meer in dat cyber landschap terecht. Zo ben ik erin gegroeid, maar ik ben van huis uit een politicoloog, ik heb een MBA, ik ben geen techneut.
Jeroen: Wat trok je aan aan de cyberwereld?
Job: De enorme impact, twee kanten op. Dus de enorme impact als het gaat over informatie verzamelen. Aan de klassieke spionage kant, als je in het buitenland probeert een stuk informatie te krijgen, is dat veel werk. Dat vaak ook met enig risico gepaard gaat. En dan kom je thuis en dan hebben je collega-hackers een veelvoud aan informatie binnengehaald met een veel mindere effort. Dus dat vond ik altijd heel interessant. En ook de andere kant, als je je daartegen wil verdedigen, de complexiteit die dat in zich heeft. En die complexiteit toch weer vertalen naar de gewone mensenwereld. Voor mij was dat vaak richting een minister of richting de bestuurders. Dat heb ik altijd aantrekkelijk gevonden.
Jeroen: En dan komt er dus blijkbaar een moment dat je bij de AIVD werkt en denkt, “Ik ga iets op cybergebied doen in de verzekeringswereld buiten de AIVD.” Hoe kwam dat tot stand? Wat was de trigger? Hoe lang heeft het geduurd voordat je daadwerkelijk bent begonnen met dit bedrijf?
Job: Dat ging redelijk snel. De laatste jaren bij die dienst was ik verantwoordelijk voor de beveiliging van staatsgeheimen en het cyberprogramma. Met mijn collega’s waarschuwden wij vaker grote ondernemingen dat er andere mensen op hun netwerk zaten dan hun eigen medewerkers. Heel vaak waren die problemen ontstaan bij bedrijven in het middensegment, de toeleveranciers van de grote bekende Hollandse namen. Het viel ons op hoe weinig adoptie van moderne technologie daar heeft plaatsgevonden, hoe moeilijk het is voor die ondernemers om keuzes te maken van, “Wat moet ik nou doen?” En we dachten, “Dat moet anders kunnen, dat moeten wij veel makkelijker kunnen maken.” Ik had ook altijd al het idee van, “Je moet het uiteindelijk zien als een risico vraagstuk.” Het is geen beveiligingsvraagstuk, voor een ondernemer is het een risico waar hij van af wil. Hij wil niet nadenken over individuele beveiligingsmaatregelen. Neem een vergelijking met brand, ik weet ook niet wat voor merk brandmelders we hebben en hoeveel wat voor sprenkelinstallaties erop hangen. Ik wil gewoon dat het verzekerd is, de brandweer checkt af en toe dat het goed is in het pand en daar heb ik vertrouwen in. We hebben gekozen om exact diezelfde aanvliegroute ook voor cyber te hebben.
Jeroen: Je hebt het samen met anderen opgericht?
Job: Ja, samen met Piet Kerkhofs, onze CTO. Hij was lead bij de hackers bij de militaire elitaire dienst. En Vincent van de Ven, hij was hoofd Cyber Operaties bij de AIVD. Met z’n drieën zijn we gestart, vrij snel zijn er meer mensen uit de elitaire dienst erbij gekomen. Zodoende hebben we het bedrijf neergezet.
Jeroen: Uiteindelijk werken er nu heel veel mensen vanuit de inlichtingendienst bij jullie?
Job: Er werkt best wel een groep jongens en meisjes die uit de inlichtingen- en veiligheidsdienst komt bij ons. Maar dat zijn wel allemaal mensen die daar meer dan tien jaar gewerkt hebben en ook echt toe waren aan een andere baan. Dat zijn ook mensen die anders naar Google of andere bedrijven gegaan zouden zijn en zich gelukkig aan ons hebben kunnen verbinden.
Jeroen: Dus de AIVD is niet boos op jullie?
Job: Nee, integendeel. Wij merken altijd nog dat we een hele prettige samenwerking hebben. Voor de dienst is het ook belangrijk dat er een goede cyber security industrie in Nederland is om al die bedrijven te helpen. Puur omdat de overheid het niet op hun eentje kan.
Jeroen: Hadden jullie ervaring in de financiële sector? Want je zit nu in de insurance, in de verzekeringen.
Job: Die was heel beperkt, die hebben we echt vanaf het begin extern binnengehaald. Mensen vanuit de verzekeringsmakelaars, vanuit de verzekeringsindustrie hebben we naar ons toe gehaald om enerzijds het eigen volmacht bedrijf neer te zetten. We zijn zelf een verzekeringsbedrijf, en mensen uit die verzekeringsmakelaarswereld snappen hoe die verzekeringen geadviseerd worden, hoe dat proces werkt. Zo zijn we dat gaan opbouwen. Maar die kennis hebben we echt inderdaad aan ons verbonden, die hadden we niet zelf in huis.
Jeroen: Wat vond je ervan toen je als semi-buitenstaander naar die verzekeringsmarkt keek?
Job: Het is een markt die ook zijn eigen dynamiek en complexiteit kent, soms ook best een complexe markt. Maar toch heb ik nog steeds het idee dat het makkelijker is om vanuit de cyberwereld en die cyber kennis de verzekeringsmarkt in te gaan dan dat het voor verzekeringsmensen is om omgekeerd die cybermarkt in te gaan. Ik denk dat dat ook de kracht is van ons bedrijf. Aan de andere kant is het ook niet altijd makkelijk, onderschat niet de complexiteit van de verzekeringsmarkt. Maar ik heb wel het idee dat die stap makkelijker te maken is dan andersom.
Jeroen: Je zegt, “We waren verbaasd dat er voor dat middenbedrijf relatief weinig georganiseerd is.” Voor dat grote bedrijf is er dus blijkbaar veel meer, is dan mijn conclusie?
Job: Het grote bedrijf is er natuurlijk al veel langer mee bezig, neemt het veel langer serieus. De grote banken in Nederland zijn al heel lang bezig met hele goede cyber security. Wat je ziet, is dat het type programma’s die zij maken en waar zij gebruik van maken hele grootschalige programma’s zijn die passen bij dat soort ondernemingen. Bij een middenbedrijf ondernemer past dat niet, die hebben iets anders nodig. De ene heeft een Mercedes-busje nodig en een andere Volkswagen Golf en je kan niet iedereen in datzelfde model stoppen. Dus die programma’s waren veel te duur en veel te kostbaar en wat die programma’s ook probeerden te doen, is proberen – 100% veiligheid bestaat niet – heel dicht bij 100% veiligheid te komen. Een Rabobank of een ING probeert daar heel dichtbij te komen, omdat elke procent dat ze het niet zijn hen heel erg veel geld kost. En het is heel kostbaar om dat laatste stukje op te lossen. Wat wij zeggen is, “Laten we de maatregelen treffen die makkelijk te nemen zijn waardoor we 90-95% van dat risico meteen weghalen en de rest van het risico is uiteindelijk veel goedkoper om in die verzekering te zetten.”
Jeroen: Bij die grote bedrijven zijn er Chief Information Security Officers en hele teams. Jij focust je op middenbedrijven en niet op het kleine bedrijf? Vooral de bovenkant MKB?
Job: Bij kleine MKB’s zie je nog steeds dat daar de stap naar cyber security best wel groot is. We richten ons op het segment tussen de tien en vijfhonderd miljoen omzet. Dat zijn de bedrijven die allemaal weten, “We moeten deze stap nu zetten, we moeten dit serieus nemen.” Ik kom echt nooit meer ondernemers tegen die doen alsof dit geen probleem zou zijn. Ze zeggen allemaal, “We moeten hier iets mee.” Maar ze vinden het heel lastig om die keuzes te maken, en ze kunnen zeker niet eigen cyber security programma’s bouwen zoals een ASML dat bijvoorbeeld kan.
Jeroen: Waar ligt het bij die middenbedrijven belegt? Zit dat gewoon bij de CEO/founder of is er toch nog iemand die specifiek op de IT-kant hiermee bezig is of is het overal en nergens?
Job: Wat wij heel vaak tegenkomen, is toch wel een wat gestresseerde IT-afdeling, die rapporteert aan een CFO. Waarbij een CFO toch niet meer helemaal vertrouwt op het kunnen van de IT-afdeling, maar vaak ook van de IT-toeleverancier, degene die al die werkplekken levert. Als je een transportbedrijf hebt met 300 miljoen omzet, de jongens die IT doen, doen het hartstikke goed. Maar om het hele risico op hun schouders te leggen, ze snappen ook wel dat dat geen goed idee is. Dan zie je toch dat die CFO’s aan die boardroom wat meer gaan nadenken over, “Moeten we niet extern hulp gaan zoeken voor dat risico?”
Jeroen: Waar komen ze dan meestal als eerste terecht?
Job: Wat wij vaak zien, is dat dat de verzekeringsmakelaars zijn. Die verzekeringsmakelaars praten met de ondernemers over het risico en omgekeerd zien we dat die bedrijven vaak die makelaars vragen, “Hebben jullie producten, kunnen jullie ons een verzekering bieden om dat risico af te dekken?” Dan wordt het meteen voor de makelaar en ook voor het bedrijf heel snel heel complex. Die makelaar wil natuurlijk graag helpen, dat is vaak een grote klant van hen. Er lopen heel veel verzekeringspolissen bij zo’n bedrijf. Maar die weet ook, als je een transportonderneming hebt met 300 miljoen omzet, dat is niet heel makkelijk te verzekeren voor cyber risico. Dus dat gaat om het invullen van honderden vragen met een hele onzekere uitkomst en als ze dan al een polis krijgen, wordt die vaak tegen het einde van het jaar opgezegd of extreem verhoogd. Dat is waar wij een oplossing bieden door te zeggen, “Bij ons zijn er maar een aantal vragen en we kunnen dat binnen 24 uur beveiligen en verzekeren.” Dus dat is zowel voor de makelaar als voor de klant zelf een veel prettigere customer journey waar ze doorheen gaan.
Jeroen: Daar ga ik straks zeker nog even op doorvragen. Nog even over het bedrijf Eye Security, hoe groot zijn jullie nu? Ik zag recent een funding ronde, een heel serieus bedrag van hele serieuze venture capital partijen. Hoe hard zijn jullie gegroeid het afgelopen jaar?
Job: We zijn nu met 120 man actief op drie locaties, in Den Haag, Düsseldorf en Gent in België. We bedienen nu honderden klanten in Nederland, België en Duitsland. Dat gaat van ziekenhuizen tot logistieke bedrijven, maakindustrie, grote advocatenkantoren.
Jeroen: En die klanten komen heel makkelijk binnen?
Job: We moeten hard werken om klanten te vinden, absoluut. Maar wat je wel ziet, is dat de co-bereidheid en ook de noodzaak voor een transparantere oplossing waarbij het gewoon heel duidelijk is, “Dit is wat je betaalt en daarbinnen zitten alle maatregelen en wordt het hele risico afgedekt”, daar is veel vraag naar.
Jeroen: Ik noemde het al even, je hebt net veel geld opgehaald. Waarvoor is dat allemaal nodig en hoeveel was het precies?
Job: We hebben nu 36 miljoen in de laatste ronde opgehaald. Dat was een ronde die we hebben gedaan met JP Morgan, maar ook met de eerdere investor, Bessemer Venture Partners en TIN Capital. Dat was een Haagse cyber security investeerder. Einde november zijn wij een gesprek aangegaan met potentiële investeerders omdat we zagen dat de cijfers in de Duitse markt echt heel erg positief waren. Ook sneller dan we aanvankelijk gedacht hadden. Toen heb ik een aantal investeerders opgebeld waar we ook vorig jaar al mee gesproken hadden die uiteindelijk vorig jaar niet meegedaan hebben, omdat we een andere keuze hadden gemaakt. We zijn toen voor Bessemer gegaan. “Kijk gewoon eens naar de cijfers, vertel mij wat jullie ervan denken.” Dat is eigenlijk heel snel in een sneeuwbal gegaan, we hadden al voor Kerst term sheets getekend en we zijn die ronde met elkaar ingegaan.
Jeroen: Waar is het geld voor nodig?
Job: Het geld is echt helemaal bedoeld voor de Duitse markt.
Jeroen: Puur voor de expansie daar?
Job: Ja, echt puur voor de expansie in Europa.
Jeroen: En dat is dan waarschijnlijk vooral mensen? Of is het ook heel veel tech?
Job: Aan de sales- en marketing kant is dat mensen en investeringen die je daar maakt. Het is ook een stukje service delivery waar we extra investeren en daarnaast blijven we ook gewoon door ontwikkelen aan ons platform. Daar gaan ook extra kosten in zitten, daar kun je nu ook net weer een stukje ambitieuzer in zijn.
Jeroen: Je zei net heel mooi, “Vaak moeten mensen heel veel vragen invoeren voordat ze überhaupt een antwoord krijgen en dan wordt het na een jaar weer opgezegd”, et cetera. Maar blijkbaar kan het bij jullie dus heel snel, hoe komt dat?
Job: Het komt omdat wij in staat zijn om die risicomaatregelen die we treffen heel goed te converseren. Dus we weten, als we deze maatregelen allemaal treffen, dan brengen we dat risico terug naar een bepaald percentage. In de verzekeringswereld heet dat ‘loss ratio’. Dus hoeveel verlies ga je op zo’n polis lijden? Omdat we dat bedrag heel scherp in kaart kunnen brengen en per maatregel kunnen duiden, hebben wij verzekeraars en herverzekeraars achter ons staan die zeggen, “Als dat zo is, willen we jullie graag helpen en dan hebben we eigenlijk al die vragen ook niet meer nodig want jullie kunnen dat loss ratio precies op de juiste manier inschatten.” Dat is heel waardevol voor hen.
Jeroen: Die maatregelen nemen jullie voor hen of hoe moet ik dat zien? Stuur je daar een team naartoe of hoe gaat dat? Moeten ze het zelf doen?
Job: Nee, dat is echt ons tech platform. Dat is een platform waarbij we integreren met ofwel bestaande software die er draait bij de bedrijven als ze al allemaal beveiligingssoftware hebben draaien. Ofwel zit het in dat platform, dan krijgen ze van ons gewoon die software die ze nodig hebben om ze beter te beveiligen. En wij kijken met die software, “Gebeuren er gekke dingen op die systemen?” We grijpen ook direct in.
Jeroen: Dus heel praktisch, zo’n klant komt op jullie platform terecht als het ware. Dat betekent dus ook, de maatregelen die je vandaag neemt zijn misschien nu toereikend, maar over een paar maanden moeten weer allemaal dingen toegevoegd worden. Net zoals je met je iPhone een update doet, dan wordt het bij hen ook geüpdate, moet ik het zo zien?
Job: De klant hoeft daar niet over na te denken. Dus onze garantie naar de klant toe is, “Je hebt altijd de beste technologie draaien, daar zijn de beste mensen die met die technologie meekijken als er iets gebeurt en daarop ingrijpen. Als het toch mis gaat, zijn die restrisico’s verzekerd.” Maar wat wij willen, is dat die ondernemer daar helemaal niet mee bezig moet zijn. Die moet zich bezighouden met ondernemen, het is gewoon een risico dat hij afdekt. Net zoals ik ook niet weet wat voor sprenkelinstallaties ik heb hangen, welke rookmelders, zo is het ook voor de meesten van die ondernemers. Welke technologie wij gebruiken, laat dat gewoon bij de specialisten, dat is uiteindelijk voor hen niet zo relevant.
Jeroen: Maar de ondernemer moet dus wel precies al deze dingen blijven doen om verzekerd te blijven?
Job: Ja, ze moeten wel gebruik blijven maken van het platform en binnen dat platform geven we ook aanbevelingen. Dus als wij zien dat zij bijvoorbeeld een update moeten draaien – heel vaak is dat de IT-leverancier – dan moet dat ook gebeuren. Dan wijzen we dat aan, dat heet dan een kritische update, daarvan willen we dat die uitgevoerd wordt. We willen ook dat minimaal 85% van hun systemen door onze software gedekt wordt. Als we zien dat er heel veel systemen zijn die nog niet door ons gemonitord worden, dan bewegen we ze ook daarnaartoe. Maar zolang ze daarbinnen blijven, kunnen ze ook gebruikmaken van die verzekering.
Jeroen: Je moet het dus constant in de gaten houden? Gaat dat technologisch?
Job: Dat doen wij 24/7.
Jeroen: Ook dat mensen al die updates daadwerkelijk doorvoeren, dat ze niet allerlei computersystemen buiten jullie platform aan het gebruiken zijn? Stel, er komen een paar nieuwe BV’tjes bij in een groep van een groot middenbedrijf, dat die BV’s ook alweer po diezelfde structuur zitten.
Job: Ja, dan zien we dat meteen. 24/7 kijken we naar alles wat er in hun cloud omgeving gebeurt op alle besturingssystemen. Dus alle laptops, desktops, en we kijken naar de buitenkant van dat bedrijf. Dat is ons platform, dat is allemaal geautomatiseerd. Waarbij we constant kunnen zien, “Daar zijn er te veel apparaten die niet gemonitord zijn. Daar is een kritieke kwetsbaarheid die nog niet gepatcht is, maar wel heel erg noodzakelijk is.” Zo ondersteunen we constant die klant met de juiste stappen zetten en ook dat hun IT-team zelf niet hoeft na te denken, “Welke stap moet ik nou eerst zetten?” We helpen met de prioritering van, “Zet eerst deze stap, dat heeft het meeste effect.”
Jeroen: En doordat jullie al deze preventieve maatregelen doorvoeren bij die bedrijven zijn blijkbaar die premies ook omlaag te brengen? Of is dat niet zozeer zo?
Job: Dat is exact wat wij doen. Dus uiteindelijk gaan wij dan weer naar die herverzekeraars. Het gemiddelde van de markt is nu 70%, dus dat betekent dat voor elke 100 euro premie er 70 euro uitgekeerd moet worden. Dat is best veel voor die verzekeraars. Maar wij brengen dat naar een percentage onder de tien, daar valt heel veel waarde vrij en wij vinden dat die waarde bij de klant hoort. Daar gaan wij het gesprek over aan, daarmee zijn we in staat om goedkopere premies neer te leggen.
Dit is Compliance Adviseert.
Jeroen: Een gewetensvraag, maar na hoe lang denk je eigenlijk te weten dat het daadwerkelijk werkt? Hoeveel jaar moet je dit hebben gedaan voordat je kan zeggen, “De ‘N’ is groot genoeg, wat wij doen verdedigt dermate sterk die bedrijven dat het ook echt uit kan dat er die korting op die premie bedongen wordt bij die makelaars”?
Job: Dat gaat best snel. Uiteindelijk gaat het per besturingssysteem, hoe vaak wordt zo’n besturingssysteem aangevallen? Hoe vaak komt zo’n aanvaller met succes binnen? Hoe vaak ben je in staat om dat op te merken? En hoe vaak ben je in staat om daar ook iets aan te doen? Vorig jaar hebben we 11.000 van dat soort meldingen gehad, dat zijn er best wel veel. Daarmee kan je hele scherpe inschattingen geven over waar die risico’s zitten en hoe groot ze zijn. Als je een bepaalde maatregel doet, heel simpel, wij reageren nu binnen drie minuten op iets wat kritisch mis is bij zo’n bedrijf. Je kan ook zeggen, “Ik doe het op één minuut of drie dagen.” Om daarnaar te kijken, “Wat gebeurt er als je dat verandert?”, krijg je een effect van: als we daar iets meer kosten in zetten, heeft dat heel veel effect. Maar als we een hele andere maatregel doorvoeren, heeft dat minder effect. Dat is constant erbij blijven en daarnaar kijken. Daarvoor hebben we een risk intelligence team dat de hele dag met die data bezig is en daar zinnige informatie uithaalt over risico.
Jeroen: Als ik een camerasysteem thuis ophang, plak ik misschien ook wel stickers op mijn raam van, “Ik heb dit allemaal hangen.” Is dat hier ook zo, dat bedrijven zeggen, “Ik heb dit allemaal via Eye Security geregeld”? Heeft het een bepaalde afschrikkende werking op die manier? Of werkt het zo niet?
Job: Aanvallen gebeuren op dit moment nauwelijks gericht. Dus aanvallen gebeuren op industriële schaal, men maakt gebruik van phishing campagnes. Heel veel phishing mails worden gestuurd, of stukjes kwetsbare software worden misbruikt op industriële schaal. Dan komen ze bij duizenden bedrijven binnen. Dan pas gaat zo’n aanvaller aan de slag. Dus in die zin is het niet gericht en het is niet zo dat die aanvaller naar een website zit te kijken en denkt, “Daar ga ik naar binnen.” Dus we zien wel het omgekeerde, dat bedrijven het vaak prettig vinden als we hen toch vertellen dat ze beschermd worden. Richting onze klanten en richting onze achterban willen we laten zien dat we dit serieus doen. Maar richting aanvallers, ik denk dat die waarde beperkt is. Wat wel zo is, is dat het type software die we gebruiken, de meest geavanceerde cyber security software, dat we gewoon weten en we zien dat ook in bepaalde postings die de aanvallers zelf doen, als ze die tegenkomen, dat ze dat heel onprettig vinden. Omdat ze weten, “Dat type software is heel lastig voor ons om te bewegen op zo’n systeem, dus dan gaan we toch liever gewoon weer naar het volgende bedrijf toe.
Jeroen: Gaat het dan mis? Zijn jullie dan de verzekeraars die primair bezig zijn, “Moet hier wel of niet uitgekeerd worden, klopt alles?” Of zijn jullie ook de partij die daadwerkelijk een team daarheen stuurt om te helpen?
Job: Wij zijn de partij in eerste instantie die helpt. Dus ons belangrijkste doel is voorkomen dat iets gebeurt bij zo’n bedrijf.
Jeroen: En als het misgegaan is?
Job: Als het misgegaan is, in de beginfase heb je een hele technische fase. Dat gaat over de aanvaller proberen uit het systeem te krijgen. Dat is een proces dat we zelf doen, want we zitten in die systemen en we kunnen dat het snelste doen. Vanaf dat moment wordt het een verzekeringsincident, de law suggester, waar een partij met de verzekeraar gaat kijken, “Wat is er aan de hand? Moet er nog een advocaatkantoor naar kijken? Moet er nog andere ondersteuning bij komen?” Dus je wil wel een neutrale derde partij die nog even gaat meekijken, “Wat gebeurt hier? Hebben ook de jongens en meisjes van Eye wel netjes hun werk gedaan?”
Jeroen: Hebben jullie ook vaak moeten uitkeren?
Job: Nee. Even op tafel kloppen. We hebben nog nooit hoeven uit te keren. Dus dat zegt iets over de hele goede beveiliging.
Jeroen: Hoe lang doe je dit nu?
Job: We zijn nu vier jaar bezig. Dit gaat om honderdduizenden werkplekken. Dus die score is vooralsnog heel erg hoog, maar ook wij zijn realistisch. We weten niet wat we niet weten. De kwetsbaarheid die uiteindelijk iemand deze kerstdagen gaat treffen, is nog niet bekend. Dus wij kunnen ook niet garanderen dat we je daartegen 100% kunnen beschermen.
Jeroen: Klopt het als ik zeg dat als jij straks een paar honderdduizend klanten hebt, je hebt er nu natuurlijk nog beduidend minder, dat je dan nog veel sterker bent? Dat je dan nog meer weet en nog meer kan leren, bijvoorbeeld “In Duitsland hebben ze een aanval voor het eerst gehad op die en die manier. Dat gooien we gelijk op het platform zodat ze ook in het VK daar gebruik van kunnen maken”?
Job: Ja, dat klopt. Dat ligt eigenlijk aan een aantal zaken. Eentje is dat je steeds meer capability hebt om te bepalen wat de allerbeste technologie is die we kunnen inzetten voor onze klanten. Omdat dat software is, kun je dat heel makkelijk en heel snel verwisselen, dus je kan constant zorgen dat ze de beste technologie hebben. Daarnaast is het: wat is de kwaliteit van de mensen die je hebt? Het is voor ons nu best wel mogelijk, ik denk dat wij één van de beste groepen medewerkers hebben als het gaat om cyber security op dit moment in Europa. Maar het wordt steeds makkelijker om dat soort mensen aan je te verbinden. Je hebt een steeds leuker pad om ze te bieden. En hoe snel kan je reageren? Kan je binnen die drie minuten, zoals wij dat doen, reageren op iets wat mis is in zo’n onderneming? En hoe meer omvang je krijgt, dat helpt absoluut.
Jeroen: En kijkende naar die andere segmenten van de markt, naar boven toe, naar corporates en naar beneden toe, naar het kleine bedrijf. Ik kan me voorstellen, naar beneden toe in ieder geval, dat je ook versimpelde versies kan gaan gebruiken voor het kleine bedrijf met hele lage premies, maar ook misschien met maar een beperkte dekking. Maar dat je de basis in ieder geval op orde hebt, dat weet ik niet. Zou dat makkelijk kunnen?
Job: Zodra je in het kleinzakelijke komt, zie je dat de verzekerbaarheid nog best wel oké is. In die zin zit daar ook minder een probleem. Het is relatief eenvoudig om je risico af te dekken als ondernemer. Dus er zijn oplossingen, in die zin vind ik het ook voor mij minder dringend om daar nu iets aan te doen. Het is wel zo dat het nog steeds zo blijft dat 80% van de waarde in beveiligingswaarde komt van de mens die achter die software zit. Dus het blijven mensen die achter die software moeten zitten en dat maakt dat die kleinzakelijke markt een uitdaging is. De kleinzakelijke markt kan prima onze dienst afnemen, maar ze gaan je heel snel zien als de IT-leverancier. Als de laptop het een keer doet, hebben ze ook de telefoon. Bij middelgrote ondernemingen heb je daar wat minder last van.
Jeroen: Duidelijk. Maar goed, je zou de vergelijking kunnen trekken, je hebt natuurlijk nu heel veel neobanks waarbij je ook met niemand contact kan opnemen, je eigenlijk alleen maar alles zelf doet.
Job: Ik heb genoeg ideeën in mijn hoofd wat er nog allemaal zou kunnen op die markt!
Jeroen: En naar boven toe, naar corporates?
Job: Dat doen we al. Dus we werken veel voor echt grote bedrijven, beursgenoteerde bedrijven. Alleen, wat je daar ziet, is dat wij maar een heel klein deel zijn van die securityonderneming. Dus wat we daar doen is enkel die monitoring en detectie en die instant response. Dat stukje pakken we over. En voor de rest hebben zij securityteams waar wij het tweede- en derdelijns oppakken voor hen. Eigenlijk heel simpel, daar waar het voor hen te complex wordt, kunnen ze ons inschakelen.
Jeroen: Even wat getallen, ik weet niet wat je zo uit je hoofd weet. Maar in ieder geval even op hoofdlijnen, hoe groot is het cyberprobleem eigenlijk in Nederland of in de wereld?
Job: Er zijn sowieso heel veel statistieken te vinden. Het is ook lastig om het betrouwbaar te vinden. Wat ik een hele interessante vind, is dat één op de twintig bedrijven waar wij onze dienstverlening uitrollen al gehackt zijn. Als je dat met brand zou vergelijken, is dat één op de twintig bedrijven waar je een rookmelder ophangt en hij meteen gaat piepen.
Jeroen: Betekent dat dat ze ook daadwerkelijk schade hebben gehad?
Job: Nee, die zijn compromised. Dus dat betekent dat de aanvallen binnen zitten. Het is dan wachten totdat die aanvallers daar gebruik van gaan maken. Maar er zijn aanvallers binnen.
Jeroen: Je krijgt ze er niet meer uit?
Job: Nee, je krijgt ze er niet zomaar uit. Daarvoor heb je professionals nodig om ze eruit te halen. Dus dat gaat om gigantische aantallen in Nederland. Wat de overheid zelf zegt, en dat zien we ook terug als we naar die 11.000 meldingen krijgen waar ik het net over had, dan heeft één op de vijf bedrijven elk jaar een wat groter cyber incident. Dus data die op straat komt te liggen, ofwel dat de bedrijven stilstand ondervinden door een cyber incident.
Jeroen: En in financiële termen, de schade voor Nederland, is daar iets van bekend?
Job: Het totaal heb ik nu even niet voor ogen. Ik weet dat bij het kleine bedrijf de gemiddelde schade nu op 360.000 euro zit, en bij wat grotere bedrijven op 1,3 miljoen. Voor de hele grote bedrijven zijn de cijfers van de verzekeringsmakelaar AON 9% aandeelhouderswaardeverlies op het moment dat er zo’n incident is.
Jeroen: Omdat er een heel groot reputatierisico aan vast zit?
Job: Ja, stilstand, continuïteitsschade, omzetverlies.
Jeroen: Dat is dus gigantisch. Je snapt ook dat het criminele deel van deze wereld hier opduikt. De kansen zijn gigantisch, bijna een blue ocean in management termen.
Job: Vanuit de criminelen bekeken, zij er natuurlijk eindeloos veel potentiële slachtoffer. Zodra jij in een land kan acteren waarbij de overheid niet kan of niet wil ingrijpen tegen internetcriminaliteit, dat zijn best wel veel landen. In landen zoals Rusland waarbij de overheid gewoon niet wil ingrijpen tegen de criminelen. Ze vinden het prima als ze in het westen schade aanrichten. Maar er zijn ook landen zoals Nigeria en Vietnam en Peru waar cybercriminelen zitten en de overheid lukt het gewoon niet om daartegen in te grijpen. In die landen is het heel lucratief om dit soort aanvallen uit te voeren.
Jeroen: Daar denk ik dan altijd meteen aan, al die grote facturies waar mensen zitten, in Noord-Korea, dat soort beelden krijg je erbij. Maar zijn er ook hele serieuze succesvolle cyber tech teams bijvoorbeeld in Nederland actief?
Job: Ik denk dat het moeilijk is om dat vanuit Nederland met een grotere ransomware groepering, zoals wij die in Rusland kennen en Turkije en andere landen, te doen. Nederland heeft een hele goede hightech crime unit die heel erg goed in staat is om op te sporen. Het probleem is meestal dat aanvallen in het buitenland zitten. Als het dan zo is, blijkt er weer een vijftienjarige op een zolderkamertje te zijn die te ver is gegaan. Die wordt vervolgens dan wel gepakt. Om dat geavanceerd met een grotere groepering vanuit Nederland te doen, dat lijkt me best wel complex op dit moment.
Jeroen: Dus eigenlijk start het allemaal, of het allergrootste deel, uit failed states of in ieder geval staten die meewerken of niet willen ingrijpen of niet kunnen ingrijpen of zelfs bijdragen daaraan?
Job: Ja, exact.
Jeroen: Of het zelfs als businessmodel zien.
Job: Ja, volgens mij kwamen zelfs 75% van de aanvallen vorig jaar uit Rusland. Dus dat blijft nog steeds hoofdleverancier van cyberaanvallen.
Jeroen: Ik heb het eerder al gevraagd, waar wordt het belegd in het middenbedrijf? Maar als je die corporates ook bedient, zijn de compliance officers daarmee bezig, zijn de risicomensen bezig, de CISO’s, de tech, allemaal? Waar zit het meestal?
Job: Bij de grote corporates kom je heel snel bij de CISO’s uit, die hebben vaak ook meerdere security mensen in dienst, zoals hier ook bij ons werken. Die hebben vaak een eigen SOC (Security Operations Centre) draaien waarbij ze ofwel tijdens kantoortijden of 24/7 meekijken naar gekke gedragingen op die systemen. Daar zit dat meestal belegd, en wat je daar vaak ziet, is dat zij op zoek zijn naar als het complex wordt. Dus je moet je voorstellen, voor zo’n bedrijf – tenzij je bij de allergrootsten hoort – die securitymedewerkers hebben beperkt ervaring. Dus ze kunnen het vaak opmerken als er iets mis is. Maar zit zo’n geavanceerde groepering op systemen, dan hebben zij die strijd nog nooit gevoerd. Dan is het heel fijn om er jongens en meisjes uit de cyber security bedrijven bij te halen die dat dagelijks doen en die precies weten, “Dit zijn de stappen die we nu moeten zetten.” Je ziet ook waar het het meest hard mis gaat. Dat zijn die bedrijven waar men eerst zelf probeert die strijd aan te gaan en waar de IT-leverancier zelf probeert die strijd aan te gaan. Dat zijn eigenlijk de plekken van de grotere ransomware aanvallen die we zien of die we ook vaak in het nieuws zien. Vaak is dit eraan voorafgegaan.
Je luistert naar Compliance Adviseert.
Jeroen: Nu zie je ook allerlei nieuwe wet- en regelgeving komen vanuit Brussel en ook vanuit de nationale lidstaten. DORA, NIS2, et cetera. Wat voor impact heeft dat op jullie en op de mensen met wie jullie werken?
Job: Ik denk dat de komende NIS2 wetgeving heel veel impact heeft, omdat die best wel breed gaat. Er zijn steeds meer sectoren, er wordt steeds ruimer wanneer je eronder valt en wanneer je dus bestuurlijk aansprakelijk wordt als je niet de juiste maatregelen treft als onderneming. We weten dat bestuurlijke aansprakelijkheid over het algemeen ondernemers best goed beweegt richting actie. Dat hebben we ook bij de AVG gezien. Dus dat gaat veel impact hebben. En we zien dat ook terug, we zien ook die interesse vanuit die ondernemers, ze vragen ook ons daarnaar, “Met die dienstverlening, ben ik wel helemaal compliant voor NIS2? Hoe zit dat dan met DORA?” Dat komt het jaar daarop, dat ziet toe op de toeleveranciers van de financiële dienstverleners. Die gaat wel impact hebben. “Ben ik dan op orde? Ben ik dan compliant? Zijn de maatregelen die jullie doorvoeren de maatregelen die gevraagd worden?” Daar krijgen we heel veel vragen over.
Jeroen: En daar helpen jullie ook bij, om bijvoorbeeld al die checklists op te stellen aan de compliance kant?
Job: Nee. Ik geloof altijd in schoenmaker, blijf bij je leest. Wij doen de technische monitoring en detectie en instant response. Al het beleid en certificeringen, dat soort zaken. Voor een groot deel moet je dat zelf doen, maar daar zijn goede consultancy partijen voor die daarmee kunnen helpen. Wij doen de brandmelders en de blussers en de sprenkelinstallaties. Maar de plannen die daarachter liggen, dat moet de ondernemer zelf doen.
Jeroen: Die vergelijking met de brandblussers sluit goed bij me aan, dat maakt het heel visueel. Maar ik wil het nog met je hebben over wat voor soort concrete voorbeelden je kan geven over wat voor dingen jullie dan doen. Ik kan me voorstellen dat je het misschien niet extreem concreet kan maken, maar wel voor een leek op dit gebied zoals ik, wat zijn dan de dingen die je doet bij zo’n bedrijf om dingen te voorkomen?
Job: Dat is heel simpel. Je hebt de cloud omgeving, iedereen gebruikt Office 365, Google Workspace, iedereen heeft besturingssystemen, er zijn er eigenlijk maar drie in de wereld. Je hebt Linux, macOS en Windows, dat zijn de besturingssystemen, daar draait de hele wereld op. We zorgen dat we overal in staat zijn om te zien wat er gebeurt, verdachte gedragingen. Wat is verdacht gedrag? Stel je voor, je logt in vanuit Utrecht en drie uur later log je ineens in vanuit Moscow. Dat is gek, dat kan niet. Dat is een heel evident voorbeeld, maar wat er dan gebeurt, is dat er een melding van komt en een analist gaat meteen even meekijken, “Wat is er aan de hand?” Soms kan hij bij zo’n melding gewoon even een push berichtje sturen naar de gebruiker van, “Klopt het dat jij nu in Moscow bent?” Als hij “Nee” zegt, weet je dat er iets aan de hand is. Maar meestal gaat het om best wel complexe bestuursprocessen waar hele slimme jongens en meisjes meekijken. Die gaan dan kijken naar, “Is hier echt iets geks aan de hand of is er een logische verklaring voor wat hier gebeurt?” En dat is wat wij doen. Is er iets geks aan de hand, gaan we ook meteen aan de slag. Dan wachten we niet, dan doen we meteen de respons. Dat kan zo ver gaan totdat we echt het systeem isoleren, forensisch onderzoek doen, alles wat nodig is om die aanval onmogelijk te maken.
Jeroen: Waar zit de techniek en wanneer gaat het over naar mensen? De respons is nog allemaal technisch, maar als het bijna misgaat, komt er een mens bij?
Job: Ja, de techniek zit echt in XDR-producten, zoals dat tegenwoordig heet. Vroeger waren dat virusscanners. Virusscanners werken helaas niet meer. Dat weet iedereen inmiddels ook wel, anders hadden we ook dit gigantisch probleem niet dat iedereen heeft met een virusscanner. Maar wat een virusscanner doet, is stukjes kwaadaardige software herkennen waarvan we gewoon weten, “Als je dat ziet, is het echt een foute boel.” Het probleem is dat de aanvallen die nu plaatsvinden niet zozeer een kwaadaardig stukje software zijn, omdat iemand op een linkje klikt of omdat een wachtwoord geraden wordt of omdat een stukje software op jouw systeem gewoon kwetsbaar is waardoor die aanvaller binnen kan komen zonder dat je het überhaupt doorhebt. Dus wat je dan nodig hebt, is dat je niet alleen kijkt naar kwaadaardige software, maar je moet ook kijken naar, “Gebeuren er gekke dingen?” En eigenlijk is dat veel makkelijker voor ons om aanvallers te vinden.
Jeroen: Je bent constant gefocust op afwijkende patronen?
Job: Ja. We zijn constant op zoek naar, “Gebeurt er iets geks?” En als er iets geks gebeurt, is het veel makkelijker om dat te vinden. Als je jezelf moet verdedigen, is het altijd zo dat de andere duizenden keren kan schieten en jij hoeft maar één keer de bal te missen en het is een goal. Dat verandert zodra die aanvaller binnen zit op je systemen. Dan kunnen wij alles zien wat er gek is en wat afwijkt en die aanvaller moet elke keer opletten dat hij niet opvalt. Wil jij een heel bedrijf platleggen met bijvoorbeeld ransomware of grote hoeveelheden data stelen, dan moet je best wel wat stapjes in zo’n onderneming zetten. Dan moet je vaak naar meerdere besturingssystemen toe, je moet naar de admin accounts toe. En al die stapjes die je moet zetten, zijn bij ons rode vlaggetjes die omhooggaan waardoor we in staat zijn om die aanvaller te vinden voordat hij schade heeft aangericht.
Jeroen: Is de schade meestal gericht op daadwerkelijk het binnenhalen van data en dan uitonderhandelen en onder druk zetten om geld te krijgen? Ik noem het maar even afpersing. Of is het ook echt daadwerkelijk om de data zelf waar het om gaat? Dat de actoren data willen hebben van ASML of wie dan ook?
Job: Wat we de afgelopen twee jaar zien, is dat aanvallers twee dingen meteen doen. Ze stelen eerst de data en die staat dan ergens op een server in Rusland of in Vietnam. Vervolgens proberen ze data te encrypteren, dus helemaal op slot te zetten, die ransomware. Dan gaan ze losgeld vragen. De reden waarom ze beide doen, is omdat ze vaak helemaal niet weten wat voor bedrijf jij bent. Dat interesseert ze ook helemaal niet. Ze kijken naar hoeveel systemen het ongeveer zijn, dan kunnen ze wel $ 50.000 of $ 100.000 betalen. Dan vragen ze losgeld, maar ze weten niet wat bij jou het grootste probleem is. Is dat de continuïteit van die data? Ben je een logistiekbedrijf, kun je je voorstellen dat de continuïteit van data een heel groot probleem is. Maar of die contracten met Albert Heijn op straat komen, dat red je wel. Ben je een advocatenkantoor, als je drie dagen niet bij de informatie komt, is dat vervelend. Maar dat haal je in het weekend wel in met de stagiaires. Maar als die data op straat komt, is het een heel groot probleem. Dat is waarom ze beide doen, maar dat doen ze vooral ook omdat ze helemaal niet weten wie ze gehackt hebben.
Jeroen: Dat is toch ook wel raar, zeker grote bedrijven. Als je even googelt, weet je wat je kan gaan doen. Maar uiteindelijk is het dus wel gericht op primair losgeld?
Job: Het is alleen maar gericht op losgeld. Je hebt natuurlijk ook statelijke hackers en voor hele grote ondernemingen. Nogmaals, voor de ASML’s van de wereld is dat ook echt een issue, waarbij men probeert informatie te vinden. Maar voor de meeste bedrijven gaat het eigenlijk alleen maar om crimineel gedrag en crimineel gedrag gaat alleen maar om geld.
Jeroen: Heel duidelijk. Krijgen ze het vaak?
Job: Helaas wel. Dat is wel wat we zien.
Jeroen: Is dat dan via Bitcoin transacties? Is dat mijn beeld of is dat helemaal verkeerd? Wordt het ook gewoon overgemaakt?
Job: Nee, daar zitten wel altijd cryptomunten tussen, verschillende soorten cryptomunten worden veel gebruikt, omdat dat eenmaal makkelijker te verbergen is. En het is vervelend omdat wij zelf zien dat als wij bedrijven helpen, dat eigenlijk nauwelijks betaald hoeft te worden. Dus zodra ze een professioneel cyber security bedrijf inschakelen, lukt het bijna altijd wel om die bedrijven up and running te krijgen zonder te betalen. Maar vaak kom je bij zo’n bedrijf nadat er betaald is en toch blijkt dat de problemen stiekem nog best wel groot zijn en dat die betaling niet alles opgelost heeft.
Jeroen: Dat wilde ik vragen, het lijkt me zo dat het heel leuk is om een betaling te krijgen, maar hoe betrouwbaar is dan de tegenpartij die je niet kent?
Job: Daar zitten twee dingen aan. Ze zijn vanzelfsprekend niet betrouwbaar, want het zijn criminelen. Ten tweede, je betaalt om die data ontsleuteld te krijgen, maar je data is nog steeds gestolen dus hij kan nog steeds ergens op straat komen. En daar is een heel vervelend iets aan, want voor sommige bedrijven is dat niet zo erg. Dan denken ze, “Dat zal wel. Ik maak me er niet zo druk over, als we verder kunnen werken, is het prima.” Maar er zijn ook bedrijven waar die keuze gewoon niet zo makkelijk te maken is. Als je hele gevoelige data hebt die niet van jezelf zijn, maar het gaat bijvoorbeeld over minderjarigen of wat dan ook, dan kan die keuze veel moeilijker zijn.
Jeroen: En ook vanuit regulatory perspectief. Als jij denkt dat je het hebt opgelost met die betalingen en je denkt, “Dan hoef ik dus nu verder geen meldingen meer bij de privacywaakhond te doen of waar dan ook” en vervolgens blijkt het toch op straat te liggen…
Job: Wij adviseren altijd om meteen een melding te maken. Die autoriteit persoonsgegevens heeft echt geen tijd om zich bezig te houden met die bedrijven die gewoon netjes melding doen en hun best aan het doen zijn en proberen goed te doen. En om melding te doen bij de politie, aangifte te doen, ik weet dat de politie vaak niet in staat is om je direct als onderneming te helpen. Maar hightech crime kan met die hoeveelheid aan informatie heel veel doen om de grote groepering onderuit te halen. Dus meld het meteen en bespreek met specialisten wat je moet doen. Ga niet zomaar betalen, maar ga eerst met cyber security professionals en met juristen aan tafel over, “Wat is nou de beste stap?” Vraag ook hulp aan de politie over wat te doen. Leg je complexiteit en je probleem uit. Als het bijvoorbeeld om hele gevoelige data gaat, bespreek dat. Dan zul je zien dat je echt heel goed advies krijgt. Dat advies zal bijna altijd zien, “Niet doen.”
Jeroen: Jullie krijgen dus constant hits, er zullen ook hits bij zitten die wel logisch zijn. Dat verhaal van jou van “Nu in Amsterdam en in Moscow kan het een collega zijn die daar zit” of weet ik veel. Hoeveel false positives krijgen jullie? Is dat constant?
Job: Heel veel. Toevallig hoorde ik gisteren een verhaal van een bedrijf, “Ze hadden ons net uitgerold en op een gegeven moment zagen we iets geks. ‘s Nachts om drie uur waren er heel veel inlogpogingen vanuit België.” Maar wat bleek? Ze hadden een nieuwe stagiair aangenomen en die was ‘s nachts gaan proberen en het lukte gewoon niet om binnen te komen. Dus er kan altijd een uitleg zijn waarom je gek gedrag ziet op een systeem. Dat is ook helemaal niet erg. Maar waar het om gaat, is dat je dat constant kan zien en dat je ook kan ingrijpen.
Jeroen: Je werkt in de financiële sector, veel van de luisteraars werken in de financiële sector. Even los van welke data gestolen wordt, daar is reputatie natuurlijk de basis. Dat geldt voor elk bedrijf, maar op het moment dat men geen vertrouwen meer heeft in ABN AMRO, ING of Rabobank of welke andere grote financiële instelling in Nederland dan ook, kan dat natuurlijk tot hele enge situaties leiden. Als mensen geld gaan wegtrekken en het kan zelfs leiden tot een bankrun. In ieder geval in theorie, maar misschien ook in de praktijk. Als mensen een dag niet bij hun internetbankier komen en dan opeens wel en ze vertrouwen het niet meer, vertrouwen is alles. Maar waar ik naartoe wil, als je bij zo’n financiële instelling werkt en je wil meer weten over cyber, je wil er meer over leren of je bent compliance officer en je denkt, “Ik moet hier gewoon meer van weten”, wat voor tips heb je dan? Waar zou je starten?
Job: Verdiep je in het onderwerp. Het is sowieso een leuk onderwerp, het is een interessant onderwerp om je in te verdiepen. Ik denk zeker binnen de banken dat er heel veel kennis aanwezig is. De banken lopen altijd best wel voorop als het gaat over cyber security en ze zijn ook altijd heel transparant over “Dit is hoeveel we eraan verliezen, dit zijn maatregelen die we treffen, dit is hoe we onze klanten compenseren als het misgaat.” Dus ze zijn er altijd heel transparant over. Maar het is een onderwerp wat steeds meer facetten van bedrijfsvoering, van primaire businessprocessen raakt waardoor het gewoon makkelijk is als je er langzaamaan iets meer kennis over opbouwt.
Jeroen: Wat zijn dan bronnen? Waar denk je aan? Moet ik gewoon op YouTube gaan en allemaal dingen intippen? Of zijn er bepaalde boeken of bepaalde podcasts? Wat zou je mensen adviseren?
Job: Oud-oprichter van Fox-IT, Ronald Prins heeft een leuke podcast. Er zijn verschillende leuke podcasts over dit onderwerp. Er worden veel boeken over geschreven. Het is makkelijk om je erin te verdiepen.
Jeroen: Je hebt niet één bepaalde bijbel on top of your head waarvan je zegt, “Dat is echt de basis van cyber security”?
Job: Nee, niet echt.
Jeroen: We kunnen het later nog toevoegen.
Job: Ik zal er eens over nadenken.
Jeroen: Of een bepaald kanaal waarvan je zegt, “Dat is een goed startpunt.” Dat gaan we nog horen. Richting het einde toe werkende, ik ben ook nog heel erg nieuwsgierig naar de toekomst. Wordt cyber nou steeds geavanceerder? Bill Gates heeft ooit gezegd, “Op een bepaald moment krijg je gewoon nooit meer spam in je mailbox”, het lijkt nu wel die kant op te gaan. Vroeger had ik een ‘[email protected]’ adres en daar kreeg je allemaal rotzooi. Nu bijna niet meer op het adres dat ik gebruik. Gaat het die kant op of wordt het steeds geavanceerder en complexer om cyber veilig te blijven?
Job: Het is gewoon een wedloop tussen het verdedigen en het aanvallen. Wat je ziet in die wedloop is dat die techniek om je te verdedigen heel snel heel veel beter wordt en dat zie je dus in die percentages zoals ik die net kon geven. De risico’s heel erg laag brengen, kan inmiddels. Tegelijkertijd zie je dat de aanvallers steeds beter worden, dus die techniek is ook steeds meer nodig. Het nadeel van die wedloop is dat die adoptie van die techniek achter blijft. Dus ondernemers denken, “Ik heb vier jaar geleden firewalls laten plaatsen en multifactor authenticatie aangezet. Volgens mij moet ik nu toch wel goed zitten.” In de cyberwereld zijn dat al lang geen maatregelen meer die het verschil gaan uitmaken. Dus daarbij blijven, daar zit de complexiteit.
Jeroen: Even los van het promoten van Eye Security, want het klinkt als een heel erg goed bedrijf, waar moet je starten? Stel je bent CEO van een middenbedrijf, wat zou je als eerste doen?
Job: Ik zou gaan praten met je verzekeringsmakelaar. Je verzekeringsmakelaar is onafhankelijk adviseur. Die hebben, als het goed is, kennis over dit onderwerp, dit risico-onderwerp. Die kunnen je helpen kijken naar, “Zouden we dat risico kunnen afdekken?” En alleen al kijken naar, “Kan ik die cyberverzekering krijgen en wat zou die kosten?”, vertelt je al heel veel over dat risico. Als je meteen een cyber risicoverzekering kan krijgen, is dat misschien niet zo heel slecht. Kost het heel veel moeite om die te krijgen of is die extreem duur, dan is daar een reden voor. Dat is ook een reden voor jezelf om je te gaan afvragen, “Vind ik het een acceptabel risico?” Net zoals bij alle risico’s voor ondernemers moet je altijd de afweging maken, “Welke risico’s accepteer ik en welke wil ik toch liever afgedekt hebben?”
Jeroen: Mooi! Eigenlijk doe je op die manier op een relatief ontspannen manier een risicoanalyse vanwaar je staat als bedrijf ten opzichte van peers.
Job: Ja. En door gewoon je eigen vertrouwde onafhankelijke adviseur.
Jeroen: De laatste twee vragen van mijn kant. Wat doen jullie zelf om niet gehackt te worden? Want ik kan me voorstellen dat dat wel je nachtmerriescenario is.
Job: Eigenlijk de inzet van dezelfde technologie zoals we die bij klanten gebruiken. Die gebruiken we zelf ook. Dus we monitoren onszelf, net als een andere klant. Daarbovenop, als je een bedrijf hebt dat grotendeels bestaat uit mensen die uit de inlichtingen- en veiligheidsdienst komen, zijn er nog best wel wat vergaande maatregelen van segmentering en inscriptie, et cetera. Alle mogelijke manieren, als een aanvaller toch weet binnen te komen, dat die maar heel beperkt impact kan hebben. En zeker dat die niet bij klanten terecht kan komen.
Jeroen: Waar ik vooral als eerste aan moet denken bij een heel snel groeiend bedrijf, dat betekent heel veel nieuwe mensen. Je zei iets als “The human factor is de zwakste schakel.” Al die mensen aannemen, zeker ook nog in andere landen, lijkt me misschien wel het meest spannend.
Job: Daarvoor certificeer je, die zijn daar belangrijk voor. Dus alle certificeringen halen, we zijn laatst ook gecertificeerd door de Duitse inlichtingendienst, BSI, voor onze instant respons capability. Veel van onze medewerkers hebben de hoogste levels van veiligheidsonderzoeken qua betrouwbaarheid. Dus er ligt heel veel aandacht op, “Voldoen we aan de norm?” En dus ook met certificeringen, niet alleen zelf denken, “Dat zit goed”, maar er ook gewoon gedwongen met externe consultants doorheen lopen, “We hebben inderdaad echt overal over na gedacht” of “Er zitten inderdaad nog een paar gaten waar we nog eens opnieuw moeten naar kijken.”
Jeroen: Ik zei het al, de laatste vraag vanuit mijn kant voordat ik je ga bedanken. Is er nog iets waarvan je zegt, “Ja, Jeroen, we hebben veel besproken, maar dit wil ik toch nog een keer benadrukken” of “Dit hebben we nog niet besproken en dit zou ik graag nog even de revue laten passeren”?
Job: Wat ik zelf altijd zie, zijn die ondernemers waar we komen. Die zijn dan geen klant bij ons, maar die bellen ons omdat ze zo’n aanval ondergaan, een ransomware aanval. Dat is toch die enorme schok wat zo’n bedrijf teweegbrengt. Ik heb met regelmaat op vrijdagmiddag aan keukentafels met huilende ondernemers gezeten die gewoon niet weten of ze hun personeelssalaris kunnen betalen een week later of een familiebedrijf dat ze al drie of vier generaties hebben dit gaat overleven. Dus alleen dat al is voor mij altijd de oproep van, “Ga met die verzekeringsmakelaar praten en ga over dat risico nadenken.” Want je wil het gewoon niet meemaken en praat ook met die ondernemers. De meeste ondernemers zitten wel in een businessclub of ergens anders en kunnen ondernemers vinden die dit hebben meegemaakt. Praat over die ervaringen, want het heeft best wel veel impact en het is gewoon te voorkomen.
Jeroen: Heel veel dank, Job! Nog een mooie laatste uitsmijter, dank voor je tijd voor Compliance Adviseert. Job Kuijpers is de CEO en medeoprichter van Eye Security. Heel veel dank voor je tijd! Ik wijs er nu naar, we hebben een klein bedankje voor je om dat ook nog wat kracht bij te zetten. Nogmaals, heel fijn dat je dit wilde doen!
Job: Dankjewel!
Je luisterde naar Compliance Adviseert. Deze podcast werd mede mogelijk gemaakt door Deloitte, De Volksbank, Hyarchis en Osborne Clarke. Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt, ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren!