Leaders in Finance Cyber Security Event: ‘You ain’t seen nothing yet!’

De dreiging van cybercriminaliteit ligt altijd op de loer, en neemt steeds meer én grotere verschijningsvormen aan. Het Leaders in Finance Cyber Security Event bracht op 25 mei verschillende experts, leiders uit de financiële sector en vertegenwoordigers van private en publieke partijen bij elkaar om ideeën en kennis uit te wisselen over de kansen en uitwassen van dit digitale fenomeen.

Het programma begon met een indringende openingsspeech van Queeny Rajkowski (Tweede Kamerlid en woordvoerder van JV Security), en Steven van Rijswijk (Member Cyber Security Council en CEO ING), die in een videoboodschap een oproep deden aan alle partijen - ook de politiek en de financiële sector - om elkaar te vinden in de strijd tegen cyber crime. Volgens Van Rijswijk wordt er van de financiële sector terecht verwacht het voortouw te nemen op het gebied van cyberveiligheid'.

De afgelopen jaren volgden de ontwikkelingen elkaar al in rap tempo op, maar we staan pas aan het begin van de vele veranderingen die eraan staan te komen op het gebied van cybercriminaliteit en cybersecurity.

Oftewel: “You ain’t seen nothing yet!” Dat was direct de stevige boodschap van de eerste keynote spreker, professor Lokke Moerel van de Tilburg University, die met deze uitspraak in de ‘overdrive’ het publiek van meet af aan goed bij de les hield.

De les was onder meer dat de ‘human factor’ een fragiele schakel is, ook in de financiële sector. De te beperkte expertise bij board members is daar volgens Moerel een voorbeeld van.

De nieuwe verordening DORA (Digital Operational Resilience Act) is slechts een van de maatregelen die ervoor moeten zorgen dat ondernemingen compliant zijn. Maar er komt volgens de hoogleraar nog veel meer op ons af.

Wie bedreigt ons en hoe verdedigen we ons?

De organisatoren hoopten met het Leaders in Finance Cyber Security Event, onder de vlotte hosting van Marije Tolsma-Groen, de discussie aan te zwengelen over het gevaar en de bestrijding daarvan: Wie bedreigt ons en hoe verdedigen we ons?

Deze vraag stond centraal in het programma, dat vervolgde met verschillende paneldiscussies en een intrigerende video keynote van Ram Shankar Siva Kumar (Data Cowboy bij Microsoft, schrijver en affiliate bij Harvard University), die vanuit Seattle het publiek op geëngageerde wijze voorhield wanneer machine learning niet kan worden vertrouwd, óf wanneer juist wel.

De paneldiscussies leverden veel antwoorden en nog meer vragen op. Aan de hand van stellingen konden de panelleden reageren en voor de interactie kon het publiek via een rode of groene kaart aangeven het wel of niet eens te zijn met de stelling.

Een van de voorgelegde stellingen tijdens het panel rondom DORA was dat het bestuur binnen de financiële sector zich volledig bewust is van de nieuwe DORA-regels en de impact ervan begrijpt. Het publiek kleurde bijna volledig rood. Ze denken duidelijk dat er nog veel te doen valt op het gebied van educatie. Het panel kwam tot de conclusie dat een gebrek aan ‘resources’ het grootste risico vormt voor een juiste invoering van DORA.

Een onderwerp dat veel losmaakte is de persoonlijke aansprakelijkheid voor het management wanneer niet wordt voldaan aan de regels. Toezichthouders gaan zeker actie ondernemen als er weinig of niets is geregeld. Daarover was het CISO (Chief Information Security Officer)-boardroompanel eensluidend in zijn oordeel. 

Een andere paneldiscussie, onder aanvoering van Bernadette Wesdorp, Senior Manager bij EY, ging over verzekering, waarbij werd gesteld dat je beter in cybersecurity dan in cyberverzekering kan investeren. Dit leverde een (verwachte?) unanieme groene kaart op. Het panel kon daarop goed uitleggen dat verzekering ten onrechte wordt ondergewaardeerd en dat ‘security en insurance’ elkaar complementeren.

Dezelfde taal spreken

In de wandelgangen tijdens een coffee break waren voor de goede luisteraar al aardig wat conclusies op te pikken – conclusies die later ook door het afsluitende panel, onder aanvoering van Sander Kerkhofs, VP Europe North and Central bij Rubrik, werden geponeerd.

Enkele die voorbijkwamen: we zijn bezig zijn met een ‘ratrace’, regelgeving loopt achter, de riskmanagers spreken niet dezelfde taal als de board, AI is snel aan het reproduceren (muteren), en 100% cyberbescherming is niet mogelijk – maar “we leren”. (“We need to get ahead of the game.”)

Het moge duidelijk zijn dat we met elkaar voor een enorme uitdaging staan en dat er behoefte is aan goede communicatie tussen leiders uit de financiële sector, andere sectoren en de verschillende stakeholders. Vaak kon je in de gesprekken tussen de bedrijven door horen dat op dit evenement wel dezelfde taal werd gesproken: “Dit soort bijeenkomsten moet vaker!”

Daar zijn de organisatoren het roerend mee eens, zoals uit de reactie van Tom van den Dool (Leaders in Finance Events) viel op te tekenen. “Ik denk dat we wederom mogen spreken van een geslaagd evenement met een programma dat de problematiek en kansen rondom cybersecurity en cybercriminaliteit van verschillende kanten wist te belichten.”

“Ook ik hoorde vandaag van diverse mensen dat we vaker dit soort bijeenkomsten moeten organiseren die mensen vanuit de relevante sectoren en disciplines bij elkaar brengen om een verbindende rol te spelen in de strijd tegen cybercriminaliteit. Dus wat ons betreft gaan we dat zeker doen. Wat mij betreft kan 23 mei 2024 alvast met potlood in alle agenda’s gezet worden voor de volgende editie.”

Het evenement is mede mogelijk gemaakt door EY, Rubrik, ServiceNow, de Nederlandse Vereniging van Banken en DUFAS.