‘Keurmerk voor een veilig internet is hard nodig’, kopte het Financieele Dagblad begin deze week. Volgens het FD worden er wereldwijd per minuut tachtig apparaten aangesloten op het internet, maar komen deze onbeveiligd onze huiskamer of ons kantoor binnen. Tegelijkertijd hebben we te maken met een niet-gereguleerde sector die juist voor veiligheid zou moeten zorgen. Een dubbel probleem dus, signaleert de krant.
Het FD wordt op zijn wenken bediend. Samen met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV), Nederland ICT en publieke partners voert het Verbond van Verzekeraars oriënterende gesprekken over de ontwikkeling van een keurmerk. Ook onder verzekeraars bestaat de behoefte aan eenduidigheid in de adviezen die zij over cyberbeveiliging geven aan hun klanten, benadrukt Beleidsadviseur Marko van Leeuwen van het Verbond.
Op de Nederlandse markt bieden verschillende verzekeraars cyberverzekeringen aan. Eén daarvan is Chubb die ook een van de initiatiefnemers is om een keurmerk te ontwikkelen. De vraag naar een keurmerk of certificeringsregeling is groot, menen de initiatiefnemers. Met een keurmerk in de hand kunnen zowel bedrijven als particulieren makkelijker een vakkundig en betrouwbaar bedrijf inschakelen als zij hun cyberweerbaarheid willen vergroten.
“Daarnaast geven ook cybersecuritybedrijven steeds vaker aan behoefte te hebben aan certificering”, zegt René Corbijn, public policy manager bij Nederland ICT, de branchevereniging van ICT-bedrijven in Nederland. “Een keurmerk kan vraag en aanbod op het gebied van cybersecurity op een transparante wijze bij elkaar brengen. Wij dragen hier graag aan bij.”
Informatiegebrek
Zoals gezegd zijn er verschillende verzekeraars die cyberverzekeringen in Nederland aanbieden, maar het aanbod is nog beperkt. De verzekeraars baseren hun producten noodgedwongen op informatie uit andere markten. Van Leeuwen: “De markt voor cyber is nog relatief klein (met tien miljoen bruto premieomzet in 2015), maar groeit met tientallen procenten per jaar.”
Volgens Van Leeuwen is de behoefte aan een keurmerk ook bij verzekeraars groot. “Cyberrisico’s zijn een groeiend en moeilijk grijpbaar maatschappelijk probleem. Dat betekent dat samenwerking in de hele keten essentieel is. Zowel om het risicobewustzijn te vergroten als ook het gewenste niveau van bescherming te bereiken. Het dubbele probleem dus eigenlijk waar het FD het over heeft.”
Haast geboden
Als het aan de initiatiefnemers ligt, is enige haast geboden. Het cyberrisico ontwikkelt zich sneller dan ieder ander risico. “We kunnen nu al geregeld in de kranten lezen over een hack bij een bedrijf en dat wordt alleen maar erger. De initiatiefnemers pleiten daarom voor een objectieve methode om risico’s te bepalen, én te koppelen aan de gewenste beveiligingsmaatregelen en de daarbij behorende dienstverlening”, aldus Van Leeuwen.
Hij voegt eraan toe dat voor fysieke (inbraak)risico’s een dergelijk model allang bestaat, namelijk de zogenoemde VRKI (verbeterde risicoklassenindeling) en het daaraan gekoppelde BORG (certificering van het beveiligingsbedrijf) die door het CCV wordt beheerd. “Er wordt nu gesproken over een vergelijkbare opzet voor cyber.”
Menselijk falen
Deze Cyber VRKI, zoals het model vooralsnog is gedoopt, omvat naast technische ook organisatorische maatregelen. Van Leeuwen: “Veel risico’s ontstaan juist door menselijk handelen of falen. En net als in de fysieke wereld is een drie sterren slot alleen effectief als je die bij het verlaten van het pand ook echt op slot doet. Datzelfde geldt voor de cyberwereld. Computers, tablets, telefoons en alle andere apparaten die op het internet zijn aangesloten, zijn alleen goed beschermd als er een deugdelijke firewall is ingeschakeld, en de wachtwoorden goed zijn en ook goed worden beheerd. Als we met andere woorden cyberrisico’s objectief kunnen koppelen aan beveiligingsmaatregelen, dan kunnen bedrijven en particulieren gericht hun IT-beleid aanpassen en hun leverancier de juiste beschermingsmaatregelen laten treffen. Wij noemen dat een handelingsperspectief. Maar voordat je zover bent, moet je wel kunnen vertrouwen op bestaande (gecertificeerde) normen en procedures.” Het mag duidelijk zijn, besluit hij, dat enige haast is geboden.
Het streven is om de komende maanden intensief samen te werken met verzekeraars, cyber securitybedrijven, het bedrijfsleven en de overheid om ervoor te zorgen dat de eerste Cyber VRKI en een daaraan gekoppelde BORG in de eerste helft van 2018 operationeel kan zijn.
Was dit nuttig?