nieuws

Cyberpolis wordt nog niet omarmd

Schade 2040

Cyberpolis wordt nog niet omarmd

Cybercrime is dagelijks in het nieuws. De overheid steekt steeds meer geld in het onderzoeken van cybercrime, maar toch denken de meeste bedrijven nog altijd: dat overkomt mij niet. Tijdens het Zakelijk Platform dat Adfiz woensdag organiseerde, maakten drie sprekers de aanwezige adviseurs duidelijk dat het niet alleen je klanten overkomt, maar jezelf wellicht ook.

Waren mensen voorheen het meest slachtoffer van fietsendiefstal, nu staat hacking op nummer 1. Uit de verhalen van Rogier Seinstra (Marsh), Graeme Newman (CFC Underwriting) en Rhett Oudkerk Pool (Kahuna) komt een afschrikwekkend beeld naar voren. Duidelijk werd ook dat niet alleen cybercrime (47%) verantwoordelijk is voor de schade, ook menselijke fouten (25%) en systeemstoringen (29%) kunnen tot claims leiden. Seinstra omschreef cyberrisk als financiële schade veroorzaakt door, met of via computers. En onder computers vallen ook smartphones en tablets. Cyberschade kan bestaan uit dataverlies, een datalek, aansprakelijkheid en bedrijfsschade.  Seinstra was ook duidelijk: “100% beveiligen kan niet”.

Schade neemt toe
Ruim 60% van ondernemend Nederland heeft te maken gehad met cybercrime. De totale schade op jaarbasis bedraagt inmiddels € 10 mld, voor schade door ‘gewone’ diefstal is dat € 1 mld. Een groot risico is het online gedrag van medewerkers. Zo accepteert 1 op de 3 gebruikers uitnodigingen van onbekenden, 24% gebruikt dezelfde online opslag privé en zakelijk. Nog eens 39% van de gebruikers logt niet uit zijn computer als hij naar huis gaat, 25% deelt zijn accountinformatie en 12% van alle gebruikers wordt gehackt.

Kosten en schade
Als voorbeeld van kosten en schade noemde Seinstra aansprakelijkstelling (inbreuk copyright, datalek, verspreiding malware, ongewenste toegang verlenen), kosten naar aanleiding van een datalek (meldingskosten, onderzoek, PR, klantenservice, reputatie, boetes), bedrijfsschade (extra kosten om bedrijfsstagnatie te voorkomen als gevolg van uitval van (productie)systemen en website), datareconstructie (verwijderen malware, onderzoek, herinstallatie van software/systemen), cyberdiefstal (geld, tegoeden, data/informatie), cyberafpersing (onderhandeling, losgeld, beloning), contractuele verplichting (in steeds meer zakelijke contracten vanwege beperkte dekking (beroeps)aansprakelijkheidsverzekering) en tot slot cloud & outsourcing. “Het werk kan weliswaar uitbesteed worden, het risico niet. De eigenaar van de data blijft verantwoordelijk”, aldus Seinstra.

Hoe te verzekeren?
Volgens Seinstra is er op traditionele verzekeringen beperkte dekking voor cyberrisico’s. “De cyberriskverzekering is calamiteitendekking en de verzekeringsmarkt voor cyberrisk is wisselvallig en individueel. Als adviseur moet je het risico goed kunnen inschatten. Zo zou je kunnen kijken naar certificering (ISO 9001, 27001/2), data-beveiligingsbeleid, ICT-preventie (binnendringen, malware), detectie en opvolging voorval, systemen, toepassingen en data.” Sectoren die volgens Seinstra worden gezien als moeilijk verzekerbare risico’s in de markt voor cyberriskverzekeringen zijn de financiële sector (en dus ook de financieel advieskantoren), medische- en zorginstellingen, callcenters en telemarketing, de publieke sector, dataprocessingbedrijven, internetproviders, telecombedrijven en sociale netwerken en alles buiten de Europese Unie.

Nog niet omarmd
De perceptie van het risico is nog lang niet doorgedrongen in het bedrijfsleven. Vaak wordt verwezen naar de ICT-afdeling. “Het cyberrisk staat bij grote ondernemingen wel op de radar als reëel risico, maar de koopbereidheid is klein. Ook bij mkb-bedrijven staat het op de radar, maar wordt het niet ervaren als een risico met grote impact. De conversie op offertes is ronduit laag te noemen, namelijk minder dan 10%”, aldus Seinstra.

Meldplicht
Sinds 1 januari is er de Meldplicht datalekken. In Nederland kun je een maximale boete van € 820.000 krijgen per overtreding of 10% van de jaaromzet. Volgens alle sprekers loont het de moeite om de handleiding hoe te handelen bij een datalek door te nemen. Een datalek moet niet alleen gemeld worden aan de Autoriteit Persoonsgegevens, maar ook aan de mensen van wie de gegevens zijn gelekt.

Dark web
Newman schetste een donker beeld van wat er allemaal al aan de hand is op het gebied van cybercrime. Op het zogeheten Dark Web is bijvoorbeeld een levendige handel in creditcards die via virtueel geld gekocht kunnen worden. Hij schetste ook een beeld van de opkomst van ‘ransomware’. Je computer wordt gehackt en alleen tegen betaling kun je weer bij je gegevens. “Een op de drie bedrijven komt in aanraking met ransomware”, aldus Newman. “Je kunt zelfs hackers inhuren die voor jou aan de slag gaan.” Volgens Newman zijn alle cyberpolissen geënt op materiële vaste activa. “En bij cybercrime gaat het daar juist niet om.” In Engeland is het softwarebedrijf SSP getroffen door een grote stroomstoring. Dit heeft ook gevolgen voor de ‘brokers’ die draaien op het cloudplatform van het bedrijf.

Wat zelf doen?
Om het risico in te schatten kun je als bedrijf een aantal stappen zetten. Stap 1 is het inventariseren van de risico’s, bedreigingen en kwetsbaarheden. De volgende stap is dat de mogelijke gevolgen voor het bedrijf en de bestaande verzekeringsdekking geanalyseerd moet worden. Stap 3 is het bepalen van huidige en gewenste maatregelen en dat te bespreken met de medewerkers. Stap 4 is een regelmatige evaluatie of de aanpak nog het gewenste resultaat heeft. Deze stappen zou je als adviseur met je klanten kunnen doorlopen, maar ook voor je eigen kantoor.

 

Reageer op dit artikel