"We zien de bewustwording binnen de sector toenemen," vertelt Meryem. "Bedrijven zijn bewuster aan het nadenken over wat dit betekent voor hun organisatie." Voorheen was de algemene gedachte: 'dit zal mij niet gebeuren' of 'het zal mij niet raken.' Dat de haven een belangrijke rol speelt in de AGF-keten draagt bij aan de bewustwording. Het komt daarmee dicht bij. "Het besef groeit dat maar één medewerker een fout hoeft te maken. Voorheen dachten bedrijven vaak: 'dat heb ik bij een partner ondergebracht of mijn ICT-leverancier heeft dat geregeld', maar het besef groeit dat je het daarmee niet meer gaat redden," voegt Julien toe.
Hoe groot is het risico?De cyberattack levert Julien en Meryem een goed voorbeeld op hoe het mis kan gaan. De APM Terminal op de Maasvlakte II was een week buiten gebruik. Dat raakt aan een belangrijke vraag die Julien aan bedrijven stelt: hoe lang mag een systeem plat liggen? "Veel bedrijven hebben daar helemaal geen idee bij, maar dat is wel het begin," legt Julien uit. "Sommige systemen kunnen er drie dagen uit liggen en dan is dat een beetje vervelend, maar bedrijven zijn niet altijd bereid om duizenden euro's in de beveiliging te investeren. Dat kan een heel valide reden zijn als het bijbehorende risico navenant is." Andere systemen zijn noodzakelijk voor de bedrijfsvoering en kunnen nog geen uur plat liggen. "Dan is bescherming wel een issue. Dat zie je bijvoorbeeld in Rotterdam." Meryem voegt toe: "Bedrijven onderschatten echt hoe afhankelijk ze zijn van de automatiseringsomgeving."
Eén van de eerste vragen die gesteld wordt door bedrijven is tevens de hamvraag: hoeveel risico loop ik eigenlijk? "Hoe groot is het risico in de praktijk?," verduidelijkt Julien. "Je moet als bedrijf je volwassenheidsniveau bepalen. Welke risico's wil je wel dragen?" Meryem ziet dat bedrijven steeds minder risico willen lopen op dit gebied. "In de sector maken bedrijven een baten/lasten overweging, maar we zien dat bedrijven minder risico nemen omdat ze over heel veel gevoelige data beschikken."
Juridische aansprakelijkheid
Veel bedrijven hebben de afgelopen jaren de ICT-diensten ondergebracht bij externe leveranciers of in een cloudapplicatie. Daardoor is een keten ontstaan. "Het is een beetje flauw, maar de keten is zo sterk als de zwakste schakel," vertelt Julien. "Als er iets gebeurd heb je direct een probleem." In het kielzog van deze trend zitten bedrijven met de vraag over de juridische verantwoordelijkheid. "Bedrijven denken vaak dat als ze de automatisering bij een derde ondergebracht hebben, ze ook de verantwoordelijkheid bij derden hebben gelegd," vertelt Meryem. "Die mindset van de bedrijven begrijpen we wel, maar we proberen ze ook er bewust van te maken dat ze de juridische verantwoordelijkheid nooit kunnen overdragen. Dus moeten ze monitoren wat het bedrijf doet en dat ze dat veilig doen."
"Bij bijna ieder bedrijf is dat wel een issue. Veel bedrijven denken dat ze veilig zijn omdat ze het hebben uitbesteedt, maar eigenlijk is het tegenovergestelde het geval. Je hebt het uitbesteed en hebt er niet helemaal zicht op, maar je bent wel juridisch aansprakelijk," verduidelijkt Julien. Het advies luidt dan ook om goed op papier te zetten wat er van de externe dienstverleners verwacht wordt en welke controlemogelijkheden je verwacht. "Bepaalde bedrijven begrijpen dat en laten zich ook controleren."
ICT'er met groene vingersUitdaging is wel de gebrekkige kennis bij bedrijven in de sector om deze dienstverleners te kunnen controleren. "Er zijn een aantal grote bedrijven die meegaan in de automatisering en voorop lopen met innovaties, maar het grote deel van de bedrijven is nog niet zo ver," weet Meryem. Het besef bij de bedrijven om meer te doen met automatisering en de datakwaliteit binnen een bedrijf is er wel, maar het ontbreekt aan talent om daar echt op in te zetten. Meryem heeft zelf een achtergrond in de tuinbouw en kan daardoor goed de link leggen tussen de sector en automatisering. "Er is nog wel een uitdaging. De datakwaliteit bij bedrijven ligt gemiddeld op 60%. Dat moet beter."
Het belang om te investeren in de systemen ligt niet alleen in het risico van een cyberattack. Ook vanuit de regering worden de eisen aangescherpt. Op Europees niveau gelden bijvoorbeeld nieuwe regels rond de privacy van werknemers. "Iedere burger in Europa krijgt verregaande bevoegdheid om data in te zien en te wijzigen, dat geldt dus ook voor mensen binnen een organisatie. Je moet goed zorgen voor alle mensen die je in het systeem hebt staan," vertelt Julien. "Het grote risico voor bedrijven wordt wel aangetoond door de cyberattack."
Imagoschade onbetaalbaar
"Mensen beginnen vaak over de boetes en dergelijke, maar de reputatieschade is veel erger," verzekert Julien. "In andere sectoren zie ik dat je veel last kunt hebben van imagoschade en daar hoef je geen boete voor te betalen." Ook Meryem ziet dat deze schade ernstiger is dan een boete, ook al kunnen de bedragen van een boete oplopen tot 820.000 euro of 3 tot 5% van de omzet. "Ook imagoschade in de AGF-sector richting klanten en leveranciers gaat de wereld moeilijker maken. Het gaat om vertrouwen, daar bouw je op," voegt Meryem toe. Bedrijven moeten hier echt meer aandacht aan besteden, betogen Julien en Meryem. "Bij sommige durf ik te zeggen dat ze nog niet het minimale gedaan hebben om in control te zijn en dan druk ik me positief uit," vertelt Julien.
Het duo sluit af met een positieve noot. "Als je met de data aan de slag gaat heb je er ook veel plezier van, en dat is niet alleen het voorkomen van een boete. Je kunt beter en sneller werken, dat moet het doel zijn," vervolgt Julien. "Ga hier mee aan de slag. Je kunt er goede dingen mee doen. De medewerkers moeten meer aware worden, maar ze hebben er ook veel plezier van. Het gaat ook om hun salarisstrook en data die rondzwerven."
Voor meer informatie:BDO
Meryem Sabotic-Deniz
+31 (0)70 3380756
+31 (0)6 57548044
meryem.deniz@bdo.nl
Julien Spronck
+31 683600367
+31 (0)30 2840981
julien.spronck@bdo.nl