Transcript
Cybercriminaliteit is niet iets waar alleen grote bedrijven mee af te rekenen krijgen. Ook jij als organisator of eventbedrijf, groot of klein, loopt risico's. Hoe goed je je ook beveiligt, hackers weten meestal toch een weg te vinden.
Dag Peter, welkom in de studio.
Dag Kevin, dank je voor de uitnodiging.
Graag gedaan. Cybercriminaliteit vandaag, dan denk ik toch meteen, dat is iets waarvan de grote bedrijven last hebben.
Wel, daarmee is het eigenlijk begonnen, met die grote bedrijven. Dat is aantrekkelijk, dat komt in de media. Voor die mannen is dat ook een uitdaging.
Met die mannen bedoel je die hackers?
Ja, die hackers en al die anderen, die denken dat ze daaraan iets kunnen misdoen. Nu, wat we de laatste tijd wel hebben vastgesteld, meer en meer, uit onderzoek zeker ook gebleken vorig jaar, is dat er heel wat meer op die kleinere bedrijven wordt geconcentreerd. Vorig jaar denk ik dat, van alle cyberaanvallen, ongeveer één derde echt op de kleinere bedrijven, op de KMO's gericht is.
En waar zijn die hackers dan op uit?
Op verschillende dingen. Je hebt er onder andere die het puur voor de fun doen. Die zeggen: ok, we hebben dat kunnen doen, we zijn daar binnen geraakt. Je hebt er die het misschien uit een bepaalde ideologie doen. Die denken: kijk, hier loopt iets mis.
Ik ben het niet eens met dat bedrijf.
Voilà, we willen dat aan de kaak stellen. Je hebt er die het puur voor het geld doen. En dan op bepaalde, verschillende, manieren voor dat geld. Ofwel een soort losgeld loskrijgen, ofwel ergens data loskrijgen van bedrijven. Dat kunnen stelen en dan verkopen aan partijen, die daarvan op één of andere manier misbruik kunnen maken.
Als ik het goed begrijp, elke KMO, eventbedrijf of organisator, die een eventwebsite heeft: allemaal hackbaar en allemaal een risico.
Ja, ze zijn allemaal een risico. Nu, ik wil er ook niet voor zorgen, dat al die mensen morgen allemaal slapeloze nachten hebben. Maar nu heb ik vanmorgen toevallig in De Tijd gelezen, dat er dit jaar reeds 2.000 bedrijven, KMO’s, slachtoffer zijn geweest van aanvallen met ransomsoftware. Ik weet niet of u dat iets zegt?
Ransomsoftware? Nee, leg eens uit.
Eigenlijk is dat gewoon het gijzelen van het netwerk. Men gijzelt het netwerk en vraagt losgeld om dat terug vrij te geven. Men doet dat soms bij particulieren, vraagt men 200-300 euro. Men doet dat ook bij grotere bedrijven.
Is er zo ook eens niet een ziekenhuis geweest?
Klopt, dat is zowat het meest bekende en het meest in het oog springende geval dat er ooit is geweest. Dat was in de Verenigde Staten. En daar heeft men, denk ik, 900 patiënten moeten verhuizen. Omdat het ziekenhuis niet meer aan de medische gegevens van de patiënten kon.
Maar dat gebeurt dus ook bij een KMO, een klein bedrijf?
Ja, dat gebeurt zelfs bij particulieren. Zover gaat het soms. Maar dat gebeurt, bijvoorbeeld, dikwijls ook op individuele pc's. Mensen die thuiswerk hebben, boem, die hebben één of ander ding gedaan. Dat komt daarop en dat sluit zich volledig af. En dan krijgt men een melding: betaal mij 500 euro en we laten u terug vrij. Of dat dan altijd vrijkomt, dat weten we niet.
Wat is dan de oplossing, Peter? Beveiligen?
In ieder geval. Waar ik in eerste instantie aan denk, is het belangrijkste om de mensen bewust maken van de risico's. Dat is iets wat we nog veel te weinig zien. We hebben allemaal de gewoonte, ikzelf soms ook, dat geef ik toe, ik kom 's avonds thuis, pc open en beginnen maar. En er komt van alles op uw scherm. We moeten mensen echt bewust gaan maken van, let op, u krijgt bepaalde boodschappen op uw scherm. U moet een update doen, maar u zit in een bedrijfsnetwerk, denk toch eens na. En dat voelen we toch, die bewustmaking van de mens is zeer belangrijk. En natuurlijk een goede beveiliging. Goede procedures binnen het bedrijf.
Maar dan nog zien we dat vaak de hackers toch de slimste zijn. Ondanks goede beveiliging.
Ja, voilà. We lopen altijd een beetje achter, denk ik. Want anders was er ook geen hacker meer op de wereld, als we die altijd voor zouden zijn. Maar ja, bon, ze blijven oplossingen of gaten vinden. En dan moet men ofwel zijn systemen aanpassen voor de volgende keer. Of een verzekering afsluiten, dat kan natuurlijk ook altijd. Maar in mijn ogen blijft dat nog steeds de laatste stap.
Jij bent geen informaticus.
Absoluut niet.
Of netwerkbeveiliger.
Ook absoluut niet.
Jij zit hier als verzekeraar. Maar wat hebben verzekeringen hier dan mee te maken?
Ik heb daarover lang nagedacht. Hoe zit dat eigenlijk ineen, wat zouden wij moeten doen? Wat is verzekeren? Voor mij blijft dat de laatste stap in het hele verhaal. Uiteindelijk moet je gaan kijken: waar zijn de risico's? Wat zijn de risico's? Waar loopt men een risico? Men kan dat op verschillende manieren doen. Ik heb ondertussen ook gezien, er is een soort cyberbeveiligingsgids, van de Vlaamse Overheid of van de Belgische Overheid, met een zelftest in. Er zijn verschillende online testen, zodat men zelf kan gaan kijken: heb ik een risico, waar kan dat zich bevinden? Als men weet wat die risico's zijn en men kan die benoemen, kan men die proberen verminderen. Of uit te sluiten. Uitsluiten kan je met sommige risico's, maar niet met allemaal. Verminderen is zeer belangrijk. Door de mensen bewust te maken, goede beveiliging, goede procedures binnen het bedrijf.
Het kan al zo simpel zijn als we regelmatig onze paswoorden updaten, niet?
Zo'n domme dingen, ja. Eigenlijk gewoon enkele simpele procedures. En op het einde heeft men dan een restrisico. Dan moeten mensen, de bedrijven, gaan beslissen: wat gaan we daarmee doen? Gaan wij dat zelf dragen? Kunnen wij dat zelf dragen? Gaan we dat overdragen aan een verzekeraar? En tegen welke voorwaarden? Wat gaan we daarmee nemen? Want je hebt dan allerlei keuzemogelijkheden. Dan is het aan het einde van de rit: gaan we dat doen, gaan we dat niet doen?
Als eventorganisator heb je vaak een database, met de gegevens van duizenden bezoekers. Je wilt niet meemaken dat die op straat komen te liggen. De imagoschade die daaraan gekoppeld is, is gigantisch groot. Maar wat kunnen jullie, als verzekeraar, dan concreet als service gaan bieden?
Wat u daar vertelt, gaat eigenlijk over het feit van schending van beschermingen van privacygegevens.
Ja, of zelfs het andere: ransomware een week voor uw evenement is dramatisch.
Ja. Of diefstal bijvoorbeeld. Dat gebeurt ook veel. Diefstal van virtueel geld gebeurt heel dikwijls. Het is niet de eerste bank die plotseling een paar miljoen kwijt is.
Vaak merken ze het pas veel later.
Als het kalf verdronken is, ja. Nee, wat kunnen wij doen? Je kan daar verschillende zaken in nemen. Bijvoorbeeld wat u zegt, dat krijgen we nu ook. Wat is er op komst voor ons? Dat is heel belangrijk om weten. Dat is alles wat de Europese Unie aan het opleggen is. Er komt een Data Protection Law, Data Protection Regulation. Ze zijn nog niet zeker van de naam, denk ik. Ofwel weet ik hem nog niet juist. Maar die is op komst. Dat is een regelgeving van de Europese Unie, die naar een lokale wetgeving moet gaan vertaald worden. En waar je bijvoorbeeld krijgt: alle gegevens worden gestolen. Mensen hun adresgegevens, hun betaalgegevens. Wat zegt die wet? Je gaat al die mensen moeten inlichten. Dat gaan enorme kosten zijn. Je gaat die allemaal moeten aanschrijven. Die kosten, bijvoorbeeld, kunnen verzekerd worden. Maar, bijvoorbeeld, die mensen hebben daardoor schade geleden. Die schade kan verhaald worden op het bedrijf waar die gegevens gestolen zijn. Ook die schadevergoedingen, bijvoorbeeld, kunnen daarin zitten. Er kunnen boetes opgelegd worden en die zijn echt niet van de poes. Ik denk dat Europa nu als standaard heeft gezegd: tot 20 miljoen euro en tot vier procent van de wereldwijde omzet. Dat is enorm. En dan mag je kiezen wat het hoogste is, zoiets. Ik bedoel, dat zijn zaken die allemaal mee kunnen worden verzekerd.
Maar boetes ook?
Boetes ook.
Kan je dat met mijn verkeersovertredingen ook doen?
Nee, dat is een ander verhaal. Nee, maar dit gaat echt over boetes op die privacy-schendingen. En dat zijn zaken voor de verzekeraars. Natuurlijk, als je die 20 miljoen krijgt, je zal geen enkele verzekering vinden die 20 miljoen gaat afdekken. Dat ga je echt beperken tot bepaalde … Nu ja, die 20 miljoen.
Ja, laat ons daar niet van uitgaan.
Dat zal ook niet zijn voor een klassieke KMO.
Als we Apple of zo zijn.
Voilà, dan spreken we daarover.
Maar misschien hebben die ook niet die verzekering nodig.
Die dragen dat zelf wel. Die hebben die cash liggen, denk ik.
Maar okay, dat kan jij dus ook afdekken. Maar is er dan ook nog verdere begeleiding in hoe je het dan aanpakt?
Ja. Bijvoorbeeld het verhaal dat we zojuist hadden, van die ransomware. Dan bieden de meeste verzekeringen ook crisismanagement aan. Men heeft een voorval. Veel KMO's staan erbij, kijken ernaar en zeggen: wat moeten we hiermee doen? Die mensen zorgen ook dat daar een soort crisiscentrum is, waarmee men direct contact kan opnemen. Die ook onmiddellijk, in functie van de antwoorden die men krijgt, gaan analyseren: wat zijn de mogelijkheden, wat kunnen we doen? Gaan we afkoppelen? Gaan we bepaalde acties ondernemen? Gaan we losgeld betalen? Die gaan u daar mee in begeleiden. De kosten die die mensen maken, worden ook door die verzekering terugbetaald. Eigenlijk is dat een soort derde-betalersysteem. De verzekeraar betaalt direct aan het crisismanagement.
Ja. Maar dan kan je wel rekenen op advies, van: okay, hoe moet ik dat hier gaan aanpakken?
Dan spreek ik wel over verzekeraars die daar ver in staan. En dan spreken we over de grote, internationale, corporate verzekeraars. Laat ons zeggen, bij Belgische verzekeraars is dat nog niet echt doorgedrongen, die zaken.
Okay, maar je vindt ze wel op de Belgische markt?
Je vindt ze absoluut op de Belgische markt. Maar het zijn niet de bekende namen.
Het klinkt dan wel als iets heel duur. Of is het betaalbaar voor een KMO, om je hiervoor te verzekeren?
Het is in ieder geval betaalbaarder geworden. Het was vroeger zeer duur. Want ja, wie nam dat? Dat waren de mensen die een risico vormden. Ja, dan krijg je een soort anti-selectie. Dus de risico's gaan veel moeten betalen. Ondertussen zien we dat die bewustwording bij bedrijven toch meer en meer wordt en dat het eigenlijk meer en meer onderdeel gaat uitmaken van het volledige verzekeringspakket. En die prijzen zijn toch redelijk gezakt. Laat ons zeggen: vanaf 1.000 euro begint dat. Waar eindigt dat?
Per jaar of per maand?
Per jaar. Waar eindigt dat? Dat weten we niet. Dat hangt ervan af. Er zijn een paar parameters. Onder andere: de grootte van het bedrijf. Onder andere: activiteit. Wat doen die mensen? Welke gegevens hebben die? En de kapitalen die u kiest. Ik wens zoveel of ik wens zoveel. En dat zijn eigenlijk de 3 belangrijkste parameters, op basis waarvan dat wordt vastgesteld. Maar neem, voor een gemiddelde KMO, tussen de 1.000 en de 2.500 euro.
In ieder geval bedankt voor je uitleg.
Graag gedaan.
Om ons in ieder geval bang gemaakt te hebben voor die cybersecurity.
Nee, de mensen moeten zeker hun slaap niet laten. Maar het is het snelst groeiend risico dat wij nu in verzekeringen meemaken. Wat wij gezien hebben: grote risico's worden eigenlijk kleiner en kleiner gemaakt. Maar dit is iets nieuw en je voelt: men zoekt zijn weg nog.
Okay, ça va Peter. Dank je wel voor je komst naar de studio.
Graag gedaan.
En u, beste kijker, bedankt voor het kijken en alweer tot volgende week.
