U was tot een jaar geleden cyber risk manager bij Deloitte, maar schrijft er nu pas een boek over. Hoe zit dat?
Ik was één van de leiders van het cyber team in Nederland, maar ik onderzoek nu hoe je exponentiële ontwikkelingen in de technologie kunt vertalen in business.
Hoe onderzoekt u dat?
In het afgelopen jaar heb ik tientallen interviews gehouden met CEO’s, CIO’s, CFO’s en CISO’s van private en publieke organisaties over de hele wereld. Uit al die gesprekken in de boardrooms is een soort positioneringsverhaal voor Deloitte voortgekomen. Ik dacht: ik heb er zo veel van geleerd – daar kan ik een boek over schrijven. En dat heb ik dus gedaan.
Is het boek met name bedoeld voor de bestuurskamers?
Het is een strategisch verhaal, een boek voor beslissers, die willen weten waarin ze moeten investeren. Maar het is ook bedoeld voor iedereen die geïnteresseerd is. Zo kunnen experts uit het boek halen hoe ze het aan leken kunnen uitleggen.
Waarom moeten bestuurders en managers het lezen?
Er wordt heel veel angst gezaaid en angst is een slechte raadgever. Er bestaat behoefte aan een inspirerend verhaal: Cyberrisico als kans.
Kwam Deloitte onlangs niet naar buiten met de alarmerende boodschap dat cyber crime Nederland jaarlijks 10 miljard kost?
Haha, ja. Daar heb ik ook aan mee geschreven. Maar dat is geen bangmakerij, want die 10 miljard is maar een fractie van wat de nieuwe technologieën opleveren. Ik zei voordat het onderzoek begon nog: misschien wordt de conclusie wel dat we te weinig risico nemen.
Zegt u: te weinig?
Ja. Alle organisaties zijn het doelwit van hackers en je kunt je nooit 100% beveiligen tegen cyber risico’s. Als je wilt meegaan met de technologische ontwikkelingen moet je accepteren dat het fout gaat. Maar wees wel weerbaar. Ik vergelijk het met het menselijk lichaam. Als je thuis blijft zitten, zal jou zeker niets gebeuren. Maar als je contact wilt hebben met andere mensen is er het risico dat je een virus oploopt. Je wordt dan af en toe verkouden of ligt een dag ziek op bed. Maar als het goed is werkt je immuunsysteem en bouw je door de ziekte weerstand op.
Dus we moeten meer naar buiten?
Als je de ontwikkelingen wilt volgen en open wilt communiceren met consumenten en burgers wel, ja. Een bureaucratische organisatie is heel robuust, maar kan niet omgaan met onzekerheden. Grote, gevestigde organisaties kijken jaloers naar startups die adaptief zijn, snel schakelen en de controle loslaten.
De controle loslaten - zeiden ze dat in de boardrooms?
Ja. voor creativiteit moet je medewerkers vertrouwen geven, dan nemen zij meer verantwoordelijkheid. Daardoor wordt je wel kwetsbaarder en zal het een keer misgaan, maar daar leer je van. Dat is dat bedrag van 10 miljard. Make your mistakes small fast and cheap. Dus probeer de schade wel te beperken.
U schrijft: je moet zo sterk, flexibel en weerbaar zijn als een ballerina…
Als je de organisatie een harnas aantrekt, klinkt dat heel veilig. Maar je kunt je niet snel omdraaien en als je van het paard afvalt, lig je weerloos op de grond. Een ballerina is kwetsbaar, maar ook heel wendbaar en sterk.
Wat kun je als ballerina uitrichten tegen hackers?
Het zijn niet allemaal geharde criminelen. Je hebt white hats, grey hats en black hats. De eerste groep bestaat uit hackers die op zoek gaan naar kwetsbaarheden en die organisaties beschermen tegen aanvallen van de black hats, de bad guys, de criminelen die stelen of schade aanrichten. Bij Deloitte zijn er zeventig tot tachtig mensen die hacken in opdracht van organisaties. De grey hats vormen vermoedelijk de grootste groep en zitten in een grijs gebied, dat een hellend vlak is. Ze opereren zonder toestemming, maar hebben niet per se kwade bedoelingen. Hoewel het slachtoffer het gewoon kan ervaren als vandalisme.
Om de vijand te bestrijden, moet je die begrijpen schrijft u.
Een mooi voorbeeld daarvan is generaal buiten dienst Dick Berlijn. Hij was commandant der strijdkrachten en tegenwoordig cyber risico-adviseur bij Deloitte. In een paneldiscussie vroegen ze hem eens of we Edward Snowden moeten zien als held of vijand. Berlijn antwoordde: ‘Als we het zelfreinigend vermogen van de samenleving als vijand gaan bestempelen dan zijn we ten dode opgeschreven.’ Ik vind dat een prachtig voorbeeld van een generaal die werkt vanuit een goed begrip van de andere kant.
Wat moet ik concreet doen als generaal van een onderneming of publieke organisatie?
In de eerste plaats zorgen voor overzicht. Grote organisaties hebben een bijna onoplosbaar probleem. De grote financiële instellingen weten bijvoorbeeld niet eens wat voor IT zij hebben. Eigenlijk zouden zij alle troep moeten weggooien en opnieuw moeten beginnen. MKB’ers hebben geen geld om een speciaal veiligheidscentrum in te richten, maar zijn klein genoeg om te kunnen monitoren of er iets vreemds gebeurt. Die hoeven niet de monitoring service van Symantec te kopen. Dat is voor hen ook veel te duur. maar ze moeten wel waakzaam zijn.
Werkt beveiliging echt niet?
In de zorgsector zijn er allerlei beveiligingsrisico’s bij nieuwe apparatuur en instrumenten. Instellingen willen de verantwoordelijkheid daarvoor zoveel mogelijk leggen bij de producenten en leveranciers. De producten moeten voldoen aan lange waslijsten van beveiligingseisen. Zij zullen op hun beurt contractueel willen vastleggen waar hun verantwoordelijkheid eindigt en die van de zorginstellingen begint. Dit leidt tot een compliance gedreven aanpak, waarbij cyberrisico’s een bedreiging zijn en innovatie wordt afgeremd. Cyberrisico’s worden hierbij alleen gezien als iets dat geld kost en eigenlijk niets oplevert.
Wanneer leveren cyber risico’s wel iets op? Met andere woorden: wat is de kans?
Wat managers moeten begrijpen is dat ze zelf cyberrisico creëren door voortdurende innovatie, de vrije stroom van informatie en door empowerment van hun mensen met krachtige informatietechnologie. Als je nu heel goed bent in het beheersen van cyber risico’s, dan kun je meer en sneller innoveren, meer waarde halen uit data en meer empowerment de organisatie inbrengen. Als je de medische technologie als voorbeeld neemt: de organisatie die snapt dat je door effectief cyber risicomanagement meer innovatieve medische technologie kunt realiseren, wordt de grote winnaar.
Wat is uw advies?
Durf kwetsbaar te zijn. Het gaat een keer mis, maar daar leer je van. Kwetsbaarheid is een kracht.