nieuws

De werkelijke kosten van cyberaanvallen en ICT-uitval

Branche 3269

Cybercriminaliteit is een ernstige bedreiging voor de bedrijfscontinuïteit. Wat zijn de werkelijke kosten van cyberaanvallen en ICT-uitval? En hoe kunnen bedrijven de risico’s minimaliseren?

De werkelijke kosten van cyberaanvallen en ICT-uitval

Het was groot nieuws in elke directiekamer: cybercriminelen hadden ingebroken in het systeem van een groot Europees bedrijf en gevoelige informatie gestolen. Het incident gebeurde ’s ochtends. ’s Avonds stond het verhaal op de voorpagina van elke krant.

Volgens experts op het gebied van bedrijfscontinuïteit moet je bij zulke gebeurtenissen ervoor zorgen dat een incident geen krantenkop wordt. Hoe kunnen bedrijven die slachtoffer worden van ICT-uitval of een cyberaanval voorkomen dat ze in het nieuws komen? En als ze slachtoffer worden, wat kunnen ze eraan doen om inkomensverlies tot een minimum te beperken?

Steeds meer aanvallen
Het aantal cyberaanvallen op bedrijven is in de afgelopen tien jaar aanzienlijk toegenomen, ondanks de inspanningen om ze te voorkomen. Tegelijkertijd steeg het aantal aanvragen voor cyberrisicopolissen die ook inkomensverlies als gevolg van bedrijfsonderbrekingen dekken.

Paul Handy, head of global technical services voor Europa en operational head of cyber risks bij Crawford & Company, splitst bij het berekenen van schade incidenten op naar de gevolgen van cyberaanvallen op de systemen van de verzekerde, en naar die op de systemen van een dienstverlener (‘afhankelijk inkomensverlies’).

Als de eigen bedrijfssystemen geraakt worden door een hack, moet de omvang van de schade zo snel mogelijk worden vastgesteld. “De daaruit voortvloeiende inkomstenderving kun je daarmee vrij gemakkelijk bepalen”, zegt Handy.

“Ook reputatieschade is van invloed op de bedrijfsinkomsten,

omdat mensen geen zaken willen doen met de getroffen onderneming”

Het wordt ingewikkelder als een cyberincident de reputatie van het bedrijf raakt. Ook dat kan van invloed zijn op bedrijfsinkomsten omdat mensen geen zaken meer willen doen met de getroffen onderneming. “We bekijken de historische inkomensstromen en houden rekening met seizoenseffecten, trends en andere omstandigheden. Dat projecteren we op de toekomst om te bepalen hoe de omzet zou zijn verlopen zonder incident.”

Van ‘afhankelijk inkomensverlies’ is sprake wanneer een dienstverlener (bijvoorbeeld een bedrijf dat cloud database-diensten biedt) te maken krijgt met een ICT-incident dat tot inkomensverlies bij klanten leidt. “Als je je eigen systemen beheert, weet je wat er gebeurt. Maar als er iets bij je service provider gebeurt, loop je achter de feiten aan. Verzekeraars zien dit als een groot risico”, stelt Handy.

Op alles voorbereid
De manier waarop een bedrijf in de eerste uren na een incident reageert, is van grote invloed op de omvang van de schade. “Bij merkbedreigende incidenten zijn de eerste 48 uur kritiek om het bedrijf te beschermen”, aldus Handy. “Wij worden vaak al vroeg ingeschakeld. Samen met de verzekerde proberen we de aard van de inbreuk te achterhalen en helpen we ze erop te reageren. We helpen met het wettelijk voorgeschreven informatieproces, waarvoor binnen verschillende rechtsgebieden uiteenlopende richtlijnen en eisen bestaan.”

De PR moet zorgvuldig gebeuren. Zonder afbreuk te doen aan de ernst van een cyberinbraak en de mogelijke gevolgen voor betrokken personen, kan de manier waarop een bedrijf zijn klanten informeert ervoor zorgen dat ze minder snel geneigd zijn een klacht in te dienen.

Vooruitplannen
Met preventieve planning kunnen bedrijven de gevolgen van een worstcasescenario vóór zijn. Handy: “De verliezen voor bedrijven die zijn voorbereid, zijn aanzienlijk kleiner dan bij bedrijven die zichzelf pas achter hun oren gaan krabben als er iets gebeurt.”

Volgens Tim Stapleton, vice president, cyber insurance product manager, overseas general insurance bij Chubb, is een toenemend aantal bedrijven al begonnen met het nemen van preventieve maatregelen. “We zien een verschuiving van front-end-beveiligingssystemen naar de back-end”, zegt hij.

“Organisaties realiseren zich dat ze veel meer moeten investeren in preventiesoftware”

“Firewalls, penetratietests en wachtwoordbeveiliging zijn allemaal front-end verdedigingsmechanismen die bedrijven als basis hanteren. Maar inmiddels voldoet dat niet meer. Organisaties realiseren zich dat ze veel meer moeten investeren in inbraakdetectie, preventiesoftware en encryptie.”

“Andere maatregelen zijn vaker gegevensback-ups maken of op een andere server kunnen overschakelen. Bedrijven hebben een gedegen bedrijfscontinuïteitsplan nodig en ze moeten weten hoe ze hun bedrijf na een incident weer zo snel mogelijk op de rails krijgen”, aldus Stapleton.

Bedrijven die beschreven procedures implementeren, komen bij een incident goed beslagen ten ijs. “We gaan op een consistente manier om met deze incidenten of claims. Door gebeurtenissen op een projectmatige manier aan te pakken, verkleinen we de risico’s”, legt Stapleton uit. “Door de risico’s te verkleinen, help je een organisatie een crisis zelf te boven te komen. Een incident blijft dan een incident en wordt geen item in het achtuurjournaal.

Vijf tips

  1. Steek je hoofd niet in het zand: regeringen, overheidsinstellingen en bedrijven zijn allemaal slachtoffer geworden van cyberincidenten.
  2. De manier waarop je op een aanval reageert is van cruciaal belang om de financiële gevolgen tot een minimum te beperken.
  3. Preventieve planning is van essentieel belang. Ontwikkel een strategie om onmiddellijk te kunnen reageren op een incident.
  4. Breng uw verzekeraar snel op de hoogte van een incident. Snelle besluitvorming kan aanzienlijke gevolgen hebben voor inkomensverlies.
  5. De eerste 48 uur na een ICT-incident zijn kritiek. Een goede verzekeraar adviseert zijn klanten hoe zij hun schade kunnen beperken.

 

Reageer op dit artikel