Conferentie Samenwerken aan Cyberveiligheid

Cyberriskpool: de kracht van het collectief

Zelfs goed beveiligde organisaties lopen de kans gehackt te worden. Je kunt je verzekeren tegen dit risico. Maar de verzekeringspremies stijgen; ingangseisen worden almaar strenger. Dat maakt het voor sommige mbo-instellingen bijna onmogelijk zo’n cyberverzekering af te sluiten. Zelf dan maar het risico dragen en hopen dat er niets gebeurt, is geen lonkend perspectief. En dus wordt er tijdens deze eerste workshopronde in Skytheater 1 een derde optie gepresenteerd: cyberriskpooling. Oftewel: het onderling delen van securityrisco’s zonder tussenkomst van een verzekeraar.

In een inspirerend verhaal lichten Martijn Bijleveld (Programmamanager Cyberveiligheid MBO) en Peter Vermeijs (senior juridisch adviseur bij de MBO Raad) deze optie om cyberrisico’s collectief te beheersen toe. Martijn en Peter waren betrokken bij het onderzoek naar de meerwaarde van cyberriskpooling en spraken wetenschappers, betrokkenen vanuit de scholen, experts uit het veld en verzekeringsmakelaars. Vandaag doen ze enthousiast de voordelen van cyberriskpooling uit de doeken.

De kracht van het collectief

Zo hoeven de leden van een riskpool alleen een financiële bijdrage te leveren als er daadwerkelijk schade is, waarbij bijvoorbeeld afgesproken kan worden dat de sterkste schouders de zwaarste lasten dragen. Wat ze hierdoor uitsparen aan jaarlijkse verzekeringspremies, kunnen de deelnemers investeren in mitigerende maatregelen. Verder kan via de risicopool de gehele escalatieketen georganiseerd worden. De pool-deelnemers kunnen diensten op het gebied van het SOC, CERT (SURFcert), cyber-forensics, incidentrespons, schade-expertise, uitwijkopties en de schadeafhandeling mbo-breed selecteren en vervolgens gemeenschappelijk aanbesteden. Een waarborg voor een doelmatige besteding van de gelden van het collectief.

Verder stimuleert de riskpool samenwerking, wederzijdse monitoring, kennisdeling en bewustwording. Leren van elkaars ervaringen verhoogt het algemene niveau van cybersecurity. Bovendien voorkom je ‘moral hazard’, oftewel: onvoorzichtig gedrag vertonen omdat je jezelf veilig waant (ik ben toch verzekerd?).

Goede voedingsbodem

De meerwaarde is helder. Het mbo blijkt bovendien een goede voedingsbodem voor het opzetten van een cyberriskpool. Samen de regie op het beheersen van cyberrisico’s nemen past goed binnen de gezamenlijke mbo-brede aanpak vanuit het programma Cyberveiligheid en het daarbij horende convenant. De leden voelen verantwoordelijkheid voor het collectief en de noodzaak om samen te werken. De schaal van de mbo-sector is ook optimaal: groot genoeg om elkaars risico’s te kunnen dekken en tegelijkertijd een hechte groep die elkaar kent. Een groep bovendien waarbinnen voldoende vertrouwen tussen de leden onderling is: een belangrijke voorwaarde voor een riskpool.

Met een boodschap de zaal uit

Natuurlijk: er moeten nog allerlei zaken bepaald worden. De juridische vorm van de pool bijvoorbeeld. Verder moet er natuurlijk ook een brede consensus zijn over de voorwaarden van het contract, de toelatingscriteria, de overgangsfase, de verdeelsleutel van het schadebedrag en het gemeenschappelijk organiseren van processen. Maar het loont de moeite om dit pad samen verder te verkennen. De mbo-sector heeft immers het afgelopen jaar laten zien dat ze wil en kan samenwerken op het gebied van cyberveiligheid. Cyberriskpooling zou hierin een hele mooie volgende stap kunnen zijn. De aanwezigen in de zaal worden dan ook met de volgende boodschap naar de smakelijk gedekte lunchtafels gestuurd: ‘Ga langs bij je bestuurders en toezichthouders en vraag wat zij van deze optie vinden! En benadruk daarbij dat een risicopool gebaseerd is op vertrouwen en niet tot drie cijfers achter de komma dichtgetimmerd kan worden…’

Contactpersoon

Neem contact op met Martijn Bijleveld voor meer informatie.