Het Verbond van Verzekeraars werkt sinds vorig jaar september aan een Verbeterde Risico Klasse Indeling (VRKI), in eerdere berichten ook wel ‘cyberkeurmerk’ genoemd, voor ondernemers (MKB) waar. Ook particulieren van kunnen profiteren vertelt Kruyt.
Moeilijk grijpbaar maatschappelijk probleem
Door de groei van iT-toepassingen, en de daarmee samenhangende groei van cyberrisico’s, is volgens het Verbond een groeiend en moeilijk grijpbaar maatschappelijk probleem. Samen met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV), Nederland ICT, Het ministerie van Economische Zaken, Hoffmann Bedrijfsrecherche, en publieke partners worden er gesprekken gevoerd over de ontwikkeling van een keurmerk. Ook Fox-It zit in deze projectgroep alsmede de onlangs opgezette branchevereniging voor cybersecurity specialisten, met de naam Cyberveilig Nederland, die wordt geleid door oud Hoffmann Bedrijfsrecherche gediende Petra Oldengarm. De groep had oorspronkelijk het streven om eind 2017 een zogenaamde Cyber VRKI klaar te hebben liggen. Dat is niet gelukt, het keurmerk is volgens Kruyt in de tweede helft van dit jaar klaar om geïmplementeerd te worden.
Het project waaruit het Cyber keurmerk tot stand komt bestaat volgens Kruyt twee onderdelen: “Het eerste gedeelte heeft betrekking op de risico classificering. Wat zijn de risico’s en op welke manier moet er worden gehandeld na een risico? Het tweede gedeelte van het project richt zich op de partijen die zich voor het keurmerk kunnen aanbieden. Hoe dat laatste gedeelte er precies uit komt te zien is nu nog niet duidelijk, daar zullen we de komende tijd helderheid over creëren.”
Digitale ontwikkeling
Volgens Kruyt heeft de markt grote behoefte aan een dergelijk keurmerk. Niet alleen om de risico’s die cyber met zich meebrengen, maar vooral ook omdat verschillende sectoren zich momenteel zo snel digitaal aan het ontwikkelen zijn waardoor business processen dusdanig van elkaar afhankelijk zijn geworden, dat het ook echt nodig is. Kruyt: “We hoeven daarvoor alleen maar bijvoorbeeld naar de agrarische sector te kijken. Die is heel sterk aan het veranderen, robots worden ingezet om te oogsten, drones bekijken de gewassen, de koeien worden door een robot gemolken. Heel veel systemen zijn met elkaar verbonden en het kan tot heel veel schade leiden als die systemen worden gehackt.”
Ontwikkelingen cybercrime
Omdat de ontwikkelingen in cybercrime snel gaan en lastig zijn in te schatten is het volgens de beleidsadviseur van het Verbond lastig om dreigingen goed in te kunnen schatten voor zowel bedrijven, burgers als verzekeraars. “Om die risico’s in te kunnen schatten ontwikkelen we daarvoor een speciale VKRI. De VKRI is van oudsher een instrument om inbraakrisico’s te bepalen.” Aan de hand van die analyse kan volgens Kruyt straks worden vastgesteld welke preventiemaatregelen nodig zijn. Het keurmerk staat dan ook los van cyberverzekeringen die door steeds meer verzekeraars wordt opgenomen. Verzekeringen zijn naar de mening van Kruyt het sluitstuk van risicomanagement. “Na de risico-inventarisatie is het tijd voor preventiemaatregelen. Risico’s die daarna overblijven en niet zelf gedragen kunnen worden, daarvoor kunnen verzekeringen worden afgesloten.”
Het is de bedoeling dat het cyberkeurmerk straks afnemers van cyberdiensten de garantie geeft dat het bedrijf de risico’s goed kan analyseren, betrouwbaar is en goede kwaliteit levert”
Voor ondernemers en particulieren
Het keurmerk is volgens hem echter voornamelijk bedoeld voor (kleinere) ondernemers, maar ook particulieren kunnen er straks hun voordeel mee doen. Kruyt: “Voor bedrijven is het noodzakelijk dat ze in kunnen schatten welke risico’s voor hen van toepassing zijn. Als die risico’s duidelijk en overzichtelijk zijn, komt er zicht op het handelingsperpectief. Soms heb je daar een andere partij voor nodig en dan ben je op zoek naar een betrouwbare partij met veel deskundigheid. We maken dit keurmerk voor bedrijven en burgers die op zoek zijn naar dergelijke betrouwbare bedrijven. Het is de bedoeling dat het cyberkeurmerk straks afnemers van cyberdiensten de garantie geeft dat het bedrijf de risico’s goed kan analyseren, betrouwbaar is en goede kwaliteit levert.”
Lastig inschatten
Kruyt stelt dat cybercrime vooral voor het MKB vaak een lastig issue is. Het Cyber VKRI zou hen kunnen helpen. “Als uit de analyse blijkt dat wanneer er bijvoorbeeld zeer bijzondere expertise nodig is, het keurmerk ondernemers hulp bieden om de weg te vinden naar de meest geschikte aanbieder. Wanneer je dan voor het scenario komt te staan dat je een cybersecurity-expert inhuurt moet je er vervolgens ook van verzekerd kunnen zijn dat dat advies goed is.”
Kredietverzekeringen
De beleidsadviseur heeft grote interesse in cybercrime. “Ook vanuit de hoek van kredietverzekeringen houd ik mij ermee bezig. Kredietverzekeraars hebben te maken met cybercrime, niet per se die van hun eigen organisatie, maar die van hun klanten. Malafide websites die er zo echt uitzien dat klanten erin trappen en ze zo cybercriminelen de toegang tot hun computers hebben verleend. De ontwikkeling van cybercrime gaat heel snel en wordt steeds inventiever en dat is precies de reden waarom we bezig zijn met het keurmerk.”
De projectgroep komt volgens de beleidsadviseur ongeveer één keer per maand samen: “Het is mooi om te zien dat een heleboel andere projecten van de betrokken partijen complementair zijn naar elkaar en het is goed dat de ondernemingen die leidend zijn in de oprichting van de branchevereniging van cybersecurity specialisten ook meepraten. We bieden elkaar steeds meer, en soms ook een ander, perspectief. Er komen straks meer tools voor particulieren en ondernemers om zich enerzijds bewust te maken van risico’s en het handelingsperpectief dat ze hebben om goed te kunnen acteren.”
Hoe het keurmerk er straks letterlijk uit komt te zien, wie de verantwoordelijkheid zal dragen voor het keurmerk, en hoe cybersecuritybedrijven zich er voor op kunnen geven is volgens Kruyt nog niet bekend. “Dat gedeelte wordt nog besproken”, aldus Kruyt.
