Met alleen een cyberpolis herstart je je bedrijf na een cyberincident niet.
Je kan goed verzekerd zijn, en morgen toch in de problemen zitten na één cyberincident.
Dat is geen doemscenario. Dat is de realiteit wanneer een cyberpolis een bedrijf een gevoel van controle en veiligheid geeft, terwijl er een belangrijke nuance is tussen “we hebben iets geregeld” en “we kunnen blijven draaien”. Op het moment dat het echt misloopt, blijkt dat ze toch niet zo weerbaar en goed voorbereid zijn.
In de boardroom worden cyberrisico’s steeds vaker als financieel en juridisch topic behandeld, maar in de dagelijkse werking wordt het nog te vaak behandeld als een technisch probleem voor IT.
In deze eerste aflevering van de Cyfora podcast gaat Raf Van der Veken (Managing Partner bij Cyfora) in gesprek met Tom Van Britsom (Manager Business Development & Innovation en cyber insurance expert bij verzekeringsmakelaar en risicoconsultant Vanbreda Risk & Benefits). Beide heren zien dagelijks waar het misgaat, wat de financiële gevolgen zijn, en waarom sommige organisaties vooral hopen dat ze tot de volgende audit geraken.
Lees of beluister het volledige gesprek hieronder.
Een cyberpolis kan niet het enige vangnet zijn
Een cyberverzekering is tegenwoordig standaard geworden bij de meeste bedrijven. Tom ziet hoe deze verzekeringsoplossing de voorbije jaren evolueerde van een beperkte aansprakelijkheidsdekking naar een bredere mix van aansprakelijkheid, eigen schade, assistentie en preventie. Er zijn meer aanbieders, meer varianten en meer nuances.
Maar net die groei creëert een misverstand dat in boardroom gevaarlijk goed werkt: als de markt het aanbiedt, dan zal het wel de allesomvattende oplossing zijn.
Het is een comfortabele gedachte. Je koopt een polis, je krijgt een hulplijn, je kan “iets” voorleggen als de vraag komt. Alleen: een polis alleen maakt een bedrijf niet weerbaar. Het biedt je assistentie (juridisch, forensisch, etc) als het kwaad geschied is en betaalt een deel van de rekening.
Verliezen gebeurt zelden op de hack. Verliezen gebeurt tijdens de stilstand.
Cyberaanvallen zijn doelgerichter geworden. Cybercriminelen hebben interesse om in je business een zo groot mogelijke impact te bezorgen, zodat ze dit kunnen uitbuiten.
Tom benoemt het zonder omwegen: “Kantooromgevingen zijn digitaal. Productieomgevingen zijn geautomatiseerd. Logistiek is gekoppeld. Facturatie is een geautomatiseerd proces. Organisaties digitaliseren snel waardoor ze niet altijd beseffen hoe afhankelijk ze geworden zijn en hoe ze zich daartegen moeten beschermen.”
Wanneer dit alles stilvalt, is de schade zelden “een IT-probleem”. Het wordt onmiddellijk een continuïteitsprobleem.
En dat is de kern die in de boardroom moet landen: je verliest niet omdat iemand binnenraakt. Je verliest omdat je niet snel genoeg operationeel bent en opnieuw kan leveren, factureren, produceren, communiceren.
De grootste kosten zitten niet in de aanval zelf, maar in de nasleep. In het moment dat je experten nodig hebt om opnieuw op te starten. In de periode dat je niet operationeel bent. In afpersing die steeds agressiever wordt. Daarna gaat het over in claims, reputatie, aansprakelijkheid.
Niet omdat je IT-team niet hard genoeg werkt. Maar omdat je organisatie zich niet heeft voorbereid hoe te handelen in het geval van een incident.
Supply chain & 3rd party risk zijn niet enkel compliance-termen
Veel kmo’s noemen zichzelf “te klein om interessant te zijn voor cybercriminelen”. Dat is meestal een foute redenering met een gevaarlijk staartje.
Tom gebruikt een simpel voorbeeld: “Als je leverancier bent van een wereldspeler, als je een schakel bent in een supply chain, als je een ‘single supplier’-rol hebt in retail of industrie, dan maakt het niet uit of je organisatie klein of onbekend is. Dan ben je kritiek. Dan wordt cyberrisico geen IT-vraagstuk, maar een vraagstuk van leveringszekerheid, contractuele verplichtingen, boetes en omzetverlies.”
Supply chain & 3rd party risk zijn geen puur jargon. Ze leggen bloot hoe kwetsbaar bedrijven vandaag zijn. De vraag daarbij is of je je beloftes nog kan waarmaken wanneer je omgeving geraakt is door een cyberincident.
Waarom afvinken niet hetzelfde is al beveiligen
Vragenlijsten, frameworks, audits, spreadsheets: ze creëren het gevoel bij bedrijven dat controle een administratief proces is.
Tom is daar genuanceerd maar duidelijk over: “Ja, een verzekering werkt met vragenlijsten. Ja, er moeten zaken afgevinkt worden. Maar wie dat reduceert tot “quick wins” mist wat er echt gevraagd wordt. Want wanneer het incident zich aandient, helpt een incident response plan van vijftig pagina’s je niet.”
Je hebt dan geen behoefte aan documentatie. Je hebt behoefte aan daden. Aan een helder overzicht van hoe je bedrijf werkelijk werkt. Aan duidelijke afspraken over wie beslist, wie communiceert, wie leveranciers en klanten op de hoogte brengt, wie interne teams aanstuurt, wie media- en reputatierisico’s opvangt, ...
Veel organisaties optimaliseren voor een audit-dag, niet voor incident-dag. Terwijl incident-dag de enige dag is die telt wanneer zich een incident voordoet.
Medewerkers zijn zowel een zwakke schakel, als het herstelvermogen.
In bijna elke securitypresentatie komt dezelfde reflex terug: “De medewerker is het probleem.”
Tom draait het om. Omdat hij weet wat er gebeurt bij een bedrijf wanneer het fout loopt. “Ja, mensen klikken. Ja, social engineering werkt. Maar in een crisis zijn het ook je mensen die het verschil maken.”
Denk aan het communicatieteam dat de buitenwereld op de hoogte brengt. Collega’s die manueel werk overnemen. Teams die extra uren draaien om klanten niet te verliezen. Mensen die improviseren omdat de business moet blijven bewegen.
Je herstelvermogen zit niet enkel in technologie, maar ook in gedrag en organisatie. Daarom is trainen geen compliance-actie. Het is het bouwen aan een cultuur waar cybersecurity top of mind is en waarin het melden van een incident of afwijkend gedrag een automatisme wordt.
Cybersecurity vraagt meer dan een jaarlijks controle
Cybersecurity binnen je bedrijf verandert continu. Omdat ook je omgeving, je leveranciers, je mensen en je verzekeringsvoorwaarden veranderen.
Tom beschrijft hoe Vanbreda Risk & Benefits regelmatig sessies houdt met klanten waarin ze incidenten doorlopen, plannen tegen de realiteit houden, rollen testen, details rechtzetten. Zelfs iets alledaags als een veranderd noodnummer kan in een crisis een dure grap worden.
Dit is wat bestuurders moeten durven toegeven: jaarlijkse revisie geeft houvast, maar biedt op zich geen echte bescherming.
Wie vandaag wil overleven, moet continu weten waar de kwetsbaarheden liggen, zowel op vlak van technologie, mensen en bedrijfsprocessen. Niet één keer per jaar. Niet wanneer iemand het vraagt. Maar om voorbereid te zijn als het morgen fout loopt.
Weerbaar zijn is een keuze. Verzekeren is een gevolg.
Op het einde van het gesprek valt de vergelijking die blijft hangen: je hebt ook een autoverzekering, maar dat betekent niet dat je nooit een ongeval krijgt. Je onderhoudt je wagen. Je test je remmen. Je rijdt niet blind.
Een cyberverzekering werkt exact zo. Ze is geen vervanging. Ze is een aanvulling.
De markt dwingt die realiteit steeds harder af. Verzekeraars worden strenger omdat de rek eruit is: er werd jarenlang meer uitbetaald dan er binnenkwam. Dus komen er voorwaarden: MFA, back-ups, wachtwoordbeleid, training en preventie. Binnenkort komen er hoogstwaarschijnlijk meer controles, meer audits, meer “onder de motorkap” kijken.
Dat is de realiteit: sommige risico’s zijn niet langer verzekerbaar op basis van goede intenties alleen.
De verantwoordelijkheid ligt niet bij je IT-team. Die ligt bij jou als ondernemer.
Als bestuurder kan je cyberrisico blijven behandelen als een dossier dat je “hebt afgevinkt”. Of je kan het behandelen als wat het is: een strategische keuze over continuïteit, aansprakelijkheid en reputatie.
Je kan hopen dat een polis of technologie het oplost. Of vertrouwen op groene vinkjes die enkel bewijzen dat iemand een spreadsheet kan invullen. Begin met meten, begin met weten, begin met aantoonbare controle.
Cyfora bestaat precies om dat gat te dichten: tussen het verhaal dat je vertelt, en de implementatie van technologie en beleid die je straks moet verdedigen. Want verzekerd zijn is niet genoeg. Weerbaar zijn is waar het echt om gaat.
De eerste stap naar controle is weten waar je staat. Cyfora is de partner die de vertaalslag maakt van technisch risico naar bestuurlijke controle. Neem contact met ons op voor een vrijblijvend gesprek via info@cyfora.be.
Wil je meer weten over vanbreda Risk & Benefits? Bezoek hun website:https://www.vanbreda.be/
