Jo Deblaere (Cyberwolf.io): 'Hackers komen via de privésfeer in de bedrijfsomgeving'
‘Accenture zal altijd het grootste stuk op mijn cv blijven innemen.’ Jo Deblaere zegt het met een glimlach en met trots. Zijn hele werkzame leven lang was Deblaere actief in de top van het organisatieadviesbureau Accenture, de laatste 13 jaar als chief operations officer (coo). Eerder dit jaar ging Deblaere met pensioen, en nu gaat de geboren Vlaming zijn kennis inzetten als non-executive. ‘In een andere versnelling, maar met evenveel passie.’ Te beginnen als voorzitter van de raad van advies van het ietwat mysterieuze Cyberwolf.io, een bedrijf dat zich richt op persoonlijke cybersecurity van executives en non-executives. Deblaere is ervan overtuigd dat cyberbeveiliging nog lang een top-3-prioriteit zal zijn voor bedrijven. De grootste risico’s op dit terrein liggen, zo vermoedt hij, op de grens van privé en zakelijk. ‘We hebben voldoende voorbeelden van hacks die lopen via de kinderen of recent zelfs via de moeder van een ceo’, zegt hij in een gesprek met Geert van den Goor, managing partner van operationeel adviesbureau Valcon.
U heeft maar liefst 38 jaar voor Accenture gewerkt… Een dergelijke trouw aan een bedrijf zien we tegenwoordig zelden.
‘Ik zeg ook altijd dat ik voor heel veel verschillende firma’s heb gewerkt – but they all happened to have the same name. Ik heb de afgelopen decennia veel verschillende dingen kunnen doen in veel verschillende delen van de wereld, een wereld die bovendien snel veranderde. Ik heb altijd nieuwe uitdagingen op mijn pad gevonden. Dat hield het werk spannend en veelzijdig. Maar inderdaad, 38 jaar is een lange tijd. Accenture is daardoor ook een deel van mijn DNA geworden. Sowieso zal Accenture altijd het grootste stuk op mijn cv blijven innemen.’
Wat gaat u het meeste missen?
‘Wat ik nu al mis, is het 20 keer per dag schakelen met telkens een ander team. Dat was wat mijn werk als coo leuk maakte en waar ik ook goed in was: in hoog tempo allerlei complexe en interessante uitdagingen aangaan. Van het ene probleem naar het andere kookpunt. Dat tempo, die pace, is verslavend. Maar ik moet eerlijk zijn: dat tempo kun je niet eeuwig volhouden. En om te voorkomen dat je een karikatuur van jezelf wordt, is het goed om op het juiste moment te stoppen. Ik ben blij dat ik het estafettestokje op het goede moment heb kunnen doorgeven aan de nieuwe generatie. Ik ga mijn goede eigenschappen zeker nog gebruiken. Maar niet meer fulltime. Ik doe het nu in een andere versnelling, maar met evenveel passie.’
Zijn er ook zaken die u minder mist?
‘Wat ik het minste mis, zijn de jetlags. Met holle ogen ’s nachts om 3:00 uur wakker worden in een hotel in de Verenigde Staten. Dat zijn de mindere momenten en die kwamen best vaak voor.’
In bijna vier decennia Accenture heeft u de wereld zien veranderen. Kunt u daar woorden aan geven?
‘Verandering is van alle tijden, maar de verandering die we de afgelopen tien jaar hebben gezien is ongekend, met name door de digitalisering. En de laatste vijf jaar gingen de veranderingen nog sneller dan in de vijf jaar ervoor. Het grootste verschil met vroeger is dat je steeds minder tijd krijgt om zaken te analyseren. Bestuurders moeten veel sneller beslissingen nemen. Je moet dus ook sneller de verschillende perspectieven inzamelen om tot een punt te komen. Het betekent dat bedrijven hun beslissingen niet meer nemen op basis van 100 procent van de analyse, maar soms op 60 procent. Het betekent dat er veel meer met scenario’s gewerkt wordt. Dat zijn grote veranderingen. Digitalisering heeft grote impact op de bestuurskamer. Men dacht misschien ooit dat de technologische revolutie alleen dark office-specialisten aanging, maar die revolutie reikt tot diep in de boardroom. Tot op ceo-niveau moet men zich nu bezighouden met producten en services waar men tot voor kort geen weet van had. Alle bedrijven zijn digital enterprises geworden. Dat is misschien geen origineel inzicht, maar het is wel een feit en de belangrijkste verandering in mijn actieve loopbaan.’
En dat ook nog eens in een buitenwereld die te maken heeft met ongrijpbare geopolitieke ontwikkelingen…
‘Ja, hoewel ik daarover een iets andere opinie op na houd dan de meesten. Natuurlijk is de huidige geopolitieke situatie zorgwekkend, maar er zijn tal van momenten geweest in mijn carrière dat de geopolitieke situatie eveneens bedenkelijk was en dat er spanningen waren. Goed, de laatste 15 jaar was er relatieve rust, maar dat is in de wereldgeschiedenis slechts een zeer korte periode. Het leek er in die korte periode op dat de wereld meer global zou worden. Nu gaan we weer meer de andere kant op, richting een multipolar world, met meerdere machtsblokken. Dat is een nieuwe realiteit. Daar hoeven we niet van in paniek te raken. Al is het een feit dat zich nu wel veel crises en uitdagingen opstapelen. Het is niet alleen de geopolitieke situatie, het is ook de digitale revolutie, de disruptie, de klimaatproblematiek… het is een vrij sterke cocktail.’
U gaat uw kennis inzetten als toezichthouder, om te beginnen in de raad van advies van het Belgische digitale beveiligingsbedrijf Cyberwolf.io. Nu heb ik zitten googelen, maar in alle eerlijkheid: dat levert niet heel veel op. Waar bent u terechtgekomen?
‘Ik ben terechtgekomen bij Belgium’s best kept secret. Cyberwolf. io is een mysterieuze speler op de markt. We opereren een beetje onder de radar, doen geen grote reclamecampagnes, moeten het hebben van mond-tot-mondreclame. Cyberwolf. io heeft een ceo die liever niet in de openbaarheid treedt en die niet actief is op LinkedIn. Hidden but present – dat is wat direct groot op de website van Cyberwolf.io staat. En dat zegt eigenlijk precies wat het bedrijf doet en wil zijn.’
Het bedrijf legt zich toe op persoonlijke cybersecurity voor bestuurders. Waarom specifiek ‘bestuurders’ en waarom vooral ook dat ‘persoonlijke’?
‘Bestuurders omdat mensen in raden van bestuur en raden van commissarissen de essentiële posities innemen binnen bedrijven. En persoonlijk omdat hackers niet stoppen aan de grens van het privéleven. Het cyberrisico voor mensen op hoge posities is zeer groot. En juist op de grens tussen privé en zakelijk zitten de grootste risico’s. Heel veel hacks beginnen niet binnen de muren van een bedrijf, maar hebben juist hun oorsprong in de privésfeer. Via die privésfeer komen hackers in de bedrijfsomgeving. We hebben voldoende voorbeelden van hacks die lopen via de kinderen en recent zelfs via de moeder van een ceo. En dan gaat het niet om diefstal van 10.000 euro en wat onschuldige gegevens, nee, dat zijn meteen zaken die over tien miljoen gaan en over heel sensitieve gegevens.
Bij de toezichthouders zit nog een extra risico. Zij zitten vaak in meerdere raden van commissarissen, hebben van meerdere bedrijven vertrouwelijke informatie in bezit en ze worden vaak niet meegenomen in de beveiligingssystemen van een bedrijf. Dat is een enorm risico. Daar komt bij dat cybercriminaliteit de laatste jaren exponentieel is toegenomen. Het risico op een hack is een factor 10 tot 20 groter dan de kans dat je huis wordt getroffen door een brand. Nu heeft iedereen wel een brandverzekering, maar op het gebied van cyberveiligheid laten we de zaken versloffen. En het jammerlijke aan cybersecurity is dat de ketting zo sterk is als de zwakste schakel. En helaas zijn er heel veel zwakke schakels, met name juist op het persoonlijke deel.’
Misschien denken mensen dat het juist hun niet overkomt.
‘Het vervelende aan cybercriminelen is dat ze vaak ongericht te werk gaan. Het is niet altijd zo dat ze iemand op het oog hebben en daar eens aan de digitale deur gaan voelen. Nee, ze voelen aan ieders digitale deur. En pas als zo’n deur open is, wordt het een gerichte aanval. Het is juist die zwakste schakel die bepaalt hoe sterk je cybersecuritybeleid is. Daar is te weinig aandacht voor.’
U richt zich dus met reden specifiek op leden van raden van bestuur en raden van commissarissen. Dat zijn over het algemeen toch slimme mensen. Hebben zij dan toch onvoldoende kennis op dit dossier? Of is het een soort van onwetendheid? Of mogelijk arrogantie? Het doet me ook denken aan minister Hugo de Jonge die in functie gebruik maakte van zijn privé e-mail, met als reden dat het systeem van het ministerie ‘te ingewikkeld’ was…
‘Ik weet niet of het ignorance is of arrogantie. Voor het eindresultaat maakt dat ook niet uit. Veel mensen denken vermoedelijk: het zal mij niet gebeuren. Bedrijven denken heus na over hun beveiliging, die hebben een goede firewall. Cybersecurity staat op de agenda van iedere rvb en rvc, in alle jaarverslagen kun je er wat regels over terugvinden. Maar het gaat altijd over de onderneming zelf. Hoe beveilig ik de onderneming? Het gaat nooit over de beveiliging van een rvclid. Want hoe zit het eigenlijk met de mobiele telefoon of de iPad van de toezichthouder? Of met zijn surfgedrag? Een rvc-lid zit vermoedelijk ook in de trein hoogconfidentiële stukken te lezen. En op zijn telefoon staan waarschijnlijk vertrouwelijke stukken van meerdere bedrijven. De wachtwoorden van zo’n rvc-lid zijn misschien wel te achterhalen via een website waar hij ooit koffie heeft besteld. Dat zijn grote risico’s. Volgens mij is het meestal geen arrogantie of kwade wil. De sense of urgency bij bestuurders om er iets aan te doen, voel ik wel nog onvoldoende. Cybercrime was altijd een vervan- mijn-bed-show. Maar geloof me: de groei is exponentieel en de dammen breken.’
Het probleem is helder. Alleen, wat kan Cyberwolf.io daarin betekenen?
‘Ik heb Cyberwolf.io-technologie op al mijn privé devices, op mijn iPhone en iPad, op mijn MacBook. Met software monitort Cyberwolf.io 24/7 wat er gaande is. Alles wordt gevolgd en beschermd. En natuurlijk wel met inachtneming van de privacyregels. Als ik een foto van mevrouw X of meneer Y bekijk op Google images, dan is dat niet iets wat geregistreerd wordt.’
Hoe bent u eigenlijk bij Cyberwolf.io terechtgekomen?
‘Ik ken een van de founders van Cyberwolf.io goed. We zijn met onze echtgenotes een keer uit eten geweest. Toen bleek dat onze werkagenda’s voor de komende maanden een zeer duidelijke thematische overlap vertoonden. Van het een is het ander gekomen. Maar dat is het kleine verhaal. Het grote verhaal is dat ik ervan overtuigd ben dat cyberbeveiliging voor heel lange tijd een top-3-prioriteit zal blijven voor bedrijven. Er is nog heel veel werk te doen.’
Ik had eigenlijk gehoopt dat u een sappig verhaal zou vertellen over de keer dat u ook slachtoffer werd van hackers…
‘Nee, dat verhaal heb ik niet. Gelukkig maar. Onlangs kreeg ik nog wel een heel verdacht mailtje van een bekende van mij, iemand die bij verschillende ondernemingen in de board zit, echt bij toonaangevende bedrijven. Ik heb hem direct gebeld. Hij bleek wel gehackt. Al zijn contacten waren gestolen en die contacten kregen allemaal mails die echt niet koosjer waren. Als je daarop klikt heb je direct malware op je mobiel. En malware op je mobiel is het allerergste wat er is, want op je mobiel zit tegenwoordig alles – ik hoef het u niet te vertellen. Maar nee, zelf ben ik nooit gehackt.
Al is er nog wel een grappige anekdote te vertellen over mijn onboarding bij Cyberwolf.io. Ze zijn hier direct een digitaal onderzoek naar me gestart. Wat voor gevoelige informatie valt er over mij online te vinden? Ik maakte me daar niet echt zorgen over, want ik dacht dat ik alles wel wist op basis van voorgaande onderzoeken. Toch wisten ze hier een aantal zaken boven water te halen. Dat vond ik opvallend. Maar weet u waar dat aan ligt? Dat ligt aan de scope. Scope is alles. Ze focussen zich op het private deel. Het is een private service die het bedrijf voorziet voor zijn leadership. Zo kan het bedrijf op beide oren slapen wanneer vertrouwelijke informatie wordt uitgewisseld.’
Je kunt je wel afvragen waar de grens ligt. Is de volgende stap moeder en kinderen beschermen?
‘Tja, ik begrijp uw vraag. Ik heb alleen het antwoord niet. Of nog niet. De tijd zal dit moeten uitwijzen. Er zijn al bestuurders die het hele gezin meenemen in een beveiligingsronde. Maar uiteindelijk zal het een afweging worden waarin kosten en baten worden meegenomen. Ik vermoed dat we nog wel een eindje te gaan hebben voordat we daarin de juiste balans hebben gevonden. Maar laten we eerst maar eens beginnen bij het begin.’
Dit interview is gepubliceerd in Management Scope 09 2022.
Dit artikel is voor het laatst aangepast op 26-10-2022