DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013
Vrijdag middag 5 april. Net lekker geluncht en dan: bericht van het sector crisismanagement secretariaat. Trouble in paradise!!! Er zijn problemen in het betalingsverkeer. Bij enkele instellingen is internetbankieren niet mogelijk door DDOS aanvallen. Alsof dat niet erg genoeg is, zijn er ook verstoringen in IDEAL. Waarom alles tegelijk? Wat te doen, “crisis mode” activeren ‘ja’ of ‘nee’? Eerder die week al verstoringen met veel media-aandacht. Dus toch maar snel activeren. Wat volgt is een paar dagen van talloze telefoontjes, mailverkeer en overleggen. Zondag avond 6 april. De rust lijkt langzaam weer te keren. Laat in de avond besluit om crisis mode af te schalen. Vanaf dan nauwkeurig monitoren. En voorbereiden op evaluatie en follow-up, inclusief beantwoorden Kamervragen. Pffff…
1
Goede morgen dames en heren, Hartelijk welkom bij de 10e editie van het jaarlijkse seminar over business continuity en crisismanagement. Een jubileumeditie leent zich vaak voor een terugblik. Dat zal ik ook doen. Echter niet te ver terug. Ik ga me wat het verleden betreft, beperken tot het afgelopen jaar. Dat is namelijk vooral van belang als les voor de toekomst. Vervolgens ga ik nader in op de toekomst hebben en op de uitdagingen waar we voor staan.
In april en mei zijn we flink bezig gehouden door DDOS aanvallen en verstoringen in het internetbankieren. Ook in de maanden daarna zijn we als sector regelmatig in het nieuws geweest vanwege verstoringen in het betalingsverkeer.
Wie alle storingen punt nl volgt, ziet regelmatig berichten over problemen met bijvoorbeeld het internetbankieren. Deze incidenten onderstrepen de lessen uit de marktbrede oefening van vorig jaar. Vooral communicatie is en blijft een cruciaal en lastig punt.
Wanneer wordt wat gecommuniceerd? Door wie, en aan wie? 2
Dat zijn de kernvragen. We hebben de neiging om eerst alles goed uit te zoeken voordat we iets willen vertellen. Daar nemen belanghebbenden zoals consument en winkelier geen genoegen meer mee. En dat laten ze ook duidelijk merken, vooral via de social media. Dat valt niet terug te draaien en dat hoeft ook niet. Social media bieden namelijk ook een kans. De kans om snel te reageren. Persoonlijk, bijvoorbeeld via webcare teams.
De instelling die geconfronteerd wordt met een aanval of storing zal zijn klanten zo snel mogelijk moeten laten weten dat - bekend is dat er een probleem is; - dat gezocht wordt naar de oorzaak en - dat gewerkt wordt aan een oplossing.
Dergelijke procesinformatie helpt veel van de kritiek te voorkomen dat men zijn klanten niet serieus neemt door ze niet te informeren. Zeker als men die informatie ook nog laat volgen door regelmatige updates over de voortgang van het zoeken naar oorzaken en het vinden van oplossingen voor de verstoring.
Als de problemen groter worden en instellingen overstijgen, kunnen gezamenlijke statements worden verzorgd. 3
Daarover zijn afspraken gemaakt in het kader van sector crisismanagement.
Na de communicatie door de individuele instelling is een overkoepelende organisatie zoals de Nederlandse Vereniging van Banken of een producteigenaar zoals Currence of Betaalvereniging Nederland aan zet.
Tenslotte zal, bij ernstige maatschappelijke verstoring, op sectorniveau het Tripartiete Crisismanagement Orgaan eveneens berichtgeving verzorgen. Dit TCO bestaat uit De Nederlandsche Bank, de Autoriteit Financiële Markten en het Ministerie van Financiën.
Tijdens de aanvallen en incidenten in april en mei is niet alleen dit opschalingsmodel in het kader van sector crisismanagement in werking getreden. Ook een kerngroep van het Maatschappelijk Overleg Betalingsverkeer, het MOB, is bijeengekomen. Daarbij hebben alle stakeholders nog eens expliciet het vertrouwen in het Nederlandse girale retail betalingsverkeer uitgesproken. Datzelfde heeft het voltallige MOB vervolgens ook nog een keer gedaan via een persbericht.
In het programma van dit seminar is crisiscommunicatie prominent opgenomen. 4
Ik ben benieuwd naar de ervaringen die we met elkaar kunnen delen.
De reacties op de verstoringen laten zien dat consumenten, publiek en politiek hoge verwachtingen hebben ten aanzien van de beschikbaarheid van het betalingsverkeer. Men gaat ervanuit dat betaalmogelijkheden altijd en overal beschikbaar zijn. En dan liefst ook nog de eigen voorkeursmethode.
De vraag is in hoeverre die verwachtingen realistisch zijn en in hoeverre daaraan tegemoet kan worden gekomen. Het blijft tenslotte ook een zaak van de juiste balans tussen mogelijkheden en kosten.
Ook hier speelt communicatie een belangrijke rol. We moeten als sector meer aan verwachtings-management doen, meer communiceren over mogelijkheden en onmogelijkheden, over kosten en baten, over alternatieve betaalmiddelen en kanalen.
Een voorbeeld van een rapport dat op deze aspecten ingaat, is het rapport over robuustheid van het betalingsverkeer dat het MOB in september heeft uitgebracht en aan de Minister en Tweede Kamer heeft gestuurd. 5
Een andere vraag in de context van deze hoge verwachtingen betreft de mogelijkheden om de (technische) infrastructuur robuuster te maken. Welke maatregelen kunnen we treffen om de systemen minder complex en minder kwetsbaar voor aanvallen en storingen te maken. Hoe kunnen we de technologische ontwikkelingen in ons voordeel laten werken, in plaats van in het voordeel van aanvallers. Daar ligt nog een uitdaging voor ons allemaal.
Dat we dit als financiële sector niet alleen kunnen is een feit. We zijn voor een deel afhankelijk van andere sectoren, zoals energie en telecom. Ik weet dat aan deze afhankelijkheden al veel aandacht wordt besteed, door de sector zelf en ook door de overheid. Toch blijft er nog werk aan de winkel. We moeten beter weten hoe sterk die afhankelijkheden nu precies zijn. Deels weten we dit al. Het MOB rapport dat ik net noemde, meldt dat de beschikbaarheid in het domein van de processoren in de praktijk een factor 20 hoger is dan die in het domein van de datacomverbindingen. In dit laatste domein bestaat keuzevrijheid uit een breed spectrum van netwerkdiensten met zeer verschillende kwaliteiten, oplopend tot nagenoeg 100% beschikbaarheid. 6
Deze laatste categorie netwerkdiensten maakt gebruik van dubbele datacomaansluitingen en mobiele back up. Daar hangt natuurlijk wel een prijskaartje aan. Meer inzicht is wenselijk in de mogelijkheden om de risico’s die samenhangen met de afhankelijkheid van anderen zo veel mogelijk te beheersen. Op welke manier kunnen we zekerheid krijgen over de maatregelen die onze “leveranciers” genomen hebben? Wie krijgt prioriteit als voorraden schaars zijn? En wat valt contractueel wel en niet te regelen?
Het woord uitdaging komt een aantal keren voor in mijn verhaal, ook hier.
Een volgend punt is de internationale context. De mogelijkheden om maatregelen nationaal te nemen zijn beperkt. Verschillende infrastructuren zijn internationaal; denk aan de effecten clearing en settlement en aan bijvoorbeeld een netwerk als SWIFT. Hoe kunnen we risico-analyses internationaal uitvoeren en coördineren? Wat zijn de mogelijkheden om maatregelen af te dwingen? Hoe kunnen we crisismanagement effectief en efficient internationaal inrichten? Zo maar een paar vragen uit de losse pols. 7
In het kader van vitale infrastructuurbescherming is het van belang goed af te bakenen wat verstaan wordt onder vitaal. En wat dat betekent voor de verwachtingen van belanghebbenden waar het gaat om beschikbaarheid en herstel in worst case scenario’s.
Daarbij moet rekening worden gehouden met de grenzen van de mogelijkheden tot ondersteuning door de overheid. Dus moet goed nagedacht worden over welke processen en diensten het gaat. Wat is vitaal, wat is een ramp, wat is een probleem, wat is (alleen maar) vervelend? Raakt de maatschappij ontwricht, is het een lokale, regionale of nationale verstoring, wat is de sociale en/of economische impact, vallen er doden of gewonden? Niet altijd gemakkelijk om deze vragen te stellen, laat staan te beantwoorden.
Ik wil eindigen met het onderwerp informatie delen. Informatie delen is zinvol en nodig. Ik zie in de sector dat dit al op verschillende manieren is opgepakt en ingevuld. Er zijn ook initiatieven vanuit overheden, zowel nationaal als bijvoorbeeld Europees, waarin het delen van informatie over incidenten verplicht wordt. 8
Om van elkaar te leren, om trends te analyseren en om te kunnen ondersteunen bij het oplossen van problemen. Er is nog genoeg werk te verzetten om dit in de praktijk vorm en inhoud te geven. Een seminar als dit draagt daar in elk geval aan bij. Dit alles om de kans op een herhaling van de gebeurtenissen van het eerste weekend van april dit jaar te voorkomen. Ik heb daar overigens wel één mooie herinnering aan overgehouden. Namelijk dat iedere betrokkene die vrijdag alles liet vallen waar hij of zij mee bezig is. En alle afspraken voor dat weekend afzegde. Zonder dat iemand dat expliciet van hen hoefde te vragen. Gewoon vanuit een sterk verantwoordelijkheidsgevoel en liefde voor het taakgebied.
Ik hoop dat iets van die saamhorigheid ook vandaag aanwezig is, want dan wordt het zeker een leerzame en vooral interactieve bijeenkomst! Ik wens u een goed seminar toe!
Dank u!
.
9