Weerbaarheid: van bewustwording naar actie

Richard Weurding, algemeen directeur van het Verbond van Verzekeraars, prikkelt het panel met stellingen en vragen over weerbaarheid. De deelnemers Jos Baeten (Voorzitter Verbond van Verzekeraars), Sophie in ’t Veld (tot voor kort Europarlementariër), Hendrik Schimmelpenninck van der Oije (Executive Consultant van Verbondspartner Fox-IT) en Focco Vijselaar (Algemeen directeur van VNO-NCW) mochten meteen aan de slag met de stelling: Nederlandse bedrijven zijn onvoldoende voorbereid op sabotage en oorlogsdreiging.

“Het korte antwoord is ja. Het lange antwoord is; maar we zijn ermee bezig”, reageert Vijselaar. “Wij hebben van de overheid drie scenario’s gekregen. 72 uur zonder elektriciteit. 72 uur zonder internet. En een NAVO artikel 5 situatie aan de oostgrens van Europa, met alle logistieke gevolgen voor Nederland. Dan moet je niet alleen denken aan corridors voor defensiematerieel. Maar óók aan de ziekenhuisbezetting, want Nederland heeft een verplichting in het opvangen van gewonden. En als er geen elektriciteit meer is, komen mensen nog wel op kantoor? En vraag twee: hoe bereiken we elkaar?”

Baeten haakt daar op in: “Als sector hebben we plannen klaarliggen, maar ik denk dat we zelf moeten nadenken over hoe we onze scenario’s gaan testen. Staat het nummer van onze satelliettelefoon ergens op papier? En ja, ik heb contant geld thuis, maar ik realiseer mij nu ook, dat ik geen contact geld  bij mij heb.” En dat dit onverwachts problematisch kan zijn, vertelde iemand in de zaal die kort na aankomst in Spanje geconfronteerd werd met een grote stroomstoring. “We hebben moeten bedelen om geld, om water en een broodje te kopen, want echt niets deed het meer.”

Wat de digitale bedreiging betreft ziet Schimmelpenninck van der Oije  dat grotere complexere organisaties voor hackers een gemakkelijker doelwit zijn. Kleinere organisaties lopen daarentegen vooral tegen capaciteitsproblemen aan. ”Je hebt bedrijven die het goed doen, of niet goed doen, daar zit niet zo heel veel tussen. Zaak is dat je de grootste risico’s afweegt en daarmee een veel groter probleem voorkomt” zo stelt hij.

Eigen verantwoordelijkheid in Europa

Oud-Europarlementariër (D66) Sophie in ’t Veld wijst qua oorlogsdreiging op het belang om toekomstige investeringen in defensie democratisch in te bedden: “Het gaat niet alleen om hoeveel je aan defensie betaalt, maar ook vooral hoe je controleert wat er met het geld gebeurt. En ik zie dat dat nu niet op de juiste manier gebeurt en daar maak ik mij oprecht zorgen over.” Volgens In ’t Veld staan de nationale parlementen en het Europees parlement buitenspel. “Want deze discussie vindt niet of nauwelijks plaats.”

Baeten beaamt dat er een rol is voor Europa: “Inzicht in waar we investeren en met welke garanties, is belangrijk. Niemand wil investeringen in clusterbommen of investeren in wapens die gebruikt worden bij shoot outs. De vraag is: in wat voor type defensie investeer ik? En welke waarborgen liggen daaronder? Daar kan de Nederlandse overheid een rol in pakken.'' Vijselaar: “We moeten ons meer verenigen in Europa. Want als er één markt politiek is, dan is het de defensiemarkt.” Alle panelleden zijn het erover eens dat we wat defensie betreft veel meer moeten gaan samenwerken. 

Cyber en ketenafhankelijkheid: maak aanvalsoppervlak kleiner

“Als iemand jou echt gericht aanvalt, is het heel moeilijk om dat buiten de deur te houden”, zegt voormalig hacker Schimmelpenninck Van der Oije, die vroeger werd ingehuurd om ethisch verantwoord te hacken. “We zijn hier niet goed op voorbereid. Er is dertig jaar achterstallig onderhoud. Ook zie ik veel organisaties die focussen op het technische stuk, en minder op andere lagen. Stel dat het hele bedrijfsproces stilvalt, dan moeten er prioriteiten worden gesteld waarover eerder niet is nagedacht.”

Baeten wijst erop dat verzekeraars ook hun klanten kunnen helpen door gerichte vragen te stellen over weerbaarheid: “Zorgen dat we de vragen die we onszelf stellen ook aan klanten stellen. Zijn we echt voorbereid? Dekking voor een risico is één ding, maar voorkomen op de langere termijn is belangrijker. Als we kennis kunnen inzetten om binnen de sector te delen en uit te dragen aan onze klanten dan is dit een hele goede eerste stap.”

In ’t Veld: “Al heel veel jaren maak ik me grote zorgen over de enorme afhankelijkheid van Amerikaanse bedrijven en dan gaat het echt niet alleen maar over Facebook. Veel draait op Amerikaanse systemen. Vijselaar: “De gemiddelde ondernemer heeft een heel portfolio aan legacy systemen en dit zijn vaak zwakheden. Dat aanvalsoppervlak kleiner maken om het in termen van de hackers te zeggen, is iets wat veel ondernemers zouden moeten doen.”

Rol van verzekeraars

“Is een sabotageaanslag gedekt door een verzekeraar? Ja of nee?” vraagt Richard Weurding vervolgens aan de zaal. “Wat is het type aanval en wat is de daadwerkelijke geleden verzekerde schade?” is de wedervraag.
Een herverzekeringsmakelaar in het publiek reageert: “Dat hangt inderdaad af van de situatie. Herverzekeraars zijn goed op de hoogte vanuit de NHT-regeling en de clausules over molest. Het onderscheid tussen wanneer iets groot en klein molest is, is niet eenduidig. Dan moet je kijken naar de specifieke omstandigheden.” 

Baeten trekt de discussie weer breder: “Als we ons echt maatschappelijk verantwoord voelen, wat kunnen en willen we dekken? Hoe kunnen we klanten helpen om weerbaar te zijn? Wat gaat de situatie nu zijn als we niet in oorlog zijn, maar wel transport vanuit de Rotterdamse haven door Nederland hebben naar het front. Is dat dan oorlog? Hier moeten we samen naar kijken als sector. En hier hebben we nog wel een weg in te gaan. Onze kerntaak is het organiseren van solidariteit en ervoor zorgen dat die op een betaalbare manier toegankelijk is. Als er nieuwe risico’s komen, moeten we onszelf dan niet de vraag stellen of we in staat zijn collectiviteit te organiseren voor een betaalbare prijs?”