Zo kunnen advieskantoren zich wapenen tegen cybercriminelen

De financiële dienstverlening staat op de tweede plaats van meest getroffen sectoren als het om cybercriminaliteit gaat. Gemiddelde schade: € 149.000. Wereldwijd is dat volgens onderzoek van Hiscox het geval. De Nederlandse situatie steekt daar zelfs nog iets ongunstiger bij af volgens Yasin Chalabi van de cyberverzekeraar. De manager Professional Insurance & Cyber Risks geeft antwoord op de vraag hoe advieskantoren zich kunnen wapenen tegen cybercriminelen.

Cyberverzekeraar Hiscox brengt jaarlijks de cijfers naar buiten van het percentage bedrijven die slachtoffer zijn geworden van cybercriminaliteit. Dat zijn er fors minder dat het jaar ervoor. Was in 2018 nog 61% van de bedrijven de dupe, eind 2019 stond de teller op 39%. Maar schijn bedriegt: de bedragen die ermee gemoeid zijn, zijn maar liefst verzesvoudigd. Nuance als het gaat om de percentages: in het laatste onderzoek zijn voor het eerst bedrijven tot tien medewerkers meegenomen.

Financieel dienstverlener is aantrekkelijk voor cybercriminelen”

Kleine bedrijven hebben geen of weinig kennis van cybersecurity

Kleinere ondernemingen tot pakweg vijftig medewerkers hebben volgens Yasin Chalabi van Hiscox vaak geen of geringe expertise in huis als het gaat om cybersecurity. “Terwijl zij in hoge mate afhankelijk zijn van online systemen, geven ze minder prioriteit aan cyberbeveiliging. Daardoor lijken dit soort bedrijven gemakkelijker doelwit. Dat komt ook door een verschuiving van de tactiek van hackers. Zij weten wat de zwakke plekken zijn van bedrijven. Financieel dienstverleners zijn daarom aantrekkelijk.”

Nederlandse bedrijven betalen vaker losgeld

Nederlandse bedrijven lopen sowieso achter als het om cybersecurity gaat, is de ervaring van Chalabi. “Maar 12% noemt zich expert op gebied het gebied van cybersecurity; ze hebben het goed voor elkaar. Wereldwijd is dat 18%. Ook wordt in Nederland vaker losgeld betaald: in 16% van de gevallen, terwijl dat internationaal 6% is.” Er is volgens hem ook een behoorlijk verschil als het gaat om cyberverzekeringen. “Internationaal heeft 26% procent van de bedrijven een cyberverzekering, tegen 20% van de Nederlandse bedrijven. En ook ligt het percentage bedrijven die van plan zijn volgend jaar een cyberverzekering af te sluiten in Nederland lager. Nederland blijft achter op het gebied van cyberexpertise, betaalt meer losgeld en is minder verzekerd dan rest van de wereld.”

Denk niet: het is mij nog nooit overkomen, dus het komt wel goed”

Wat kunnen financieel adviseurs zelf doen om te voorkomen dat ze slachtoffer worden van cybercriminelen?
“Awareness is heel belangrijk. Je hoeft niet heel veel te weten over cyberrisico’s, maar je moet je er wel van bewust zijn dat er risico’s zijn en je daarmee bezighouden. Stap af van het idee dat het jou niet overkomt, omdat je daar te klein voor bent. Vraag je niet af waarom ze naar jou toe zouden komen, omdat je alleen maar data hebt. En denk niet: ‘het is mij nog nooit overkomen, dus het komt wel goed’. Cyberawareness moet bij jou en je medewerkers landen. Zorg voor permanente training van medewerkers om het bewustzijn hoog te houden. Dus niet eenmalig een training of simulatie; dat is echt onvoldoende. Na paar maanden ben je het namelijk vergeten.”

Van alle claims die wij behandelen, zien we dat bedrijven met een goede back-up hun schades met een derde zien verminderen”

Waar moet een advieskantoor extra op letten?
“Backups zijn heel belangrijk. Financieel dienstverleners hebben immers veel data. Je moet een back-upstrategie hebben, zodat je op je back-up kunt terugvallen als iets gebeurt. Van alle claims die wij behandelen, zien we dat bedrijven met een goede back-up hun schades met een derde zien verminderen. Het gaat om behoorlijke bedragen. Als je bijvoorbeeld uitgaat van een schade van € 100.000 wordt het schadebedrag toch met € 33.000 verlaagd. Bedenk ook dat back-up en ransom, het betalen van losgeld, met elkaar zijn verbonden. Zorg er ook voor dat back-ups geïsoleerd zijn van het operationele systeem. Wanneer iedereen bij de back-up kan, is het geen back-up. Zorg dus voor een scheiding.”

Heb je nog meer tips?
“Vanzelfsprekend moet je een firewall hebben. Er zijn nog steeds bedrijven die dat niet goed geregeld hebben. De antivirussoftware zorgt voor het detecteren en verwijderen van malware. Je kunt het hiermee weliswaar niet voor 100% dichttimmeren, maar je kunt wel zoveel mogelijk schade voorkomen. Dit is echt je basissecurity. Verder is het aan te raden om aandacht te besteden aan authenticatie. Dubbelcheck of de gebruiker daadwerkelijk de gebruiker is. Met twee-factor-identificatie of sms kun je dat bijvoorbeeld regelen. Ook autorisatie is een punt. Welke bevoegdheid hoort bij een bepaald account? Sommige mensen hebben overal toegang toe, anderen niet. Maak daar een scheiding in. En grote bedrijven met veel data kunnen ook kiezen voor encryption. Hackers hebben namelijk niets aan versleutelde data. En zorg ervoor dat je patchmanagement (het identificeren van risico’s; red.) en updates in orde zijn.”

Waar moeten grotere advieskantoren extra rekening mee houden?
“Grotere bedrijven kunnen denken aan netwerksegmentatie, waarbij bepaalde delen van de systemen worden geïsoleerd. Die zijn wel verbonden met elkaar, maar als één deel wordt gehackt, wordt de rest niet gehackt. Dit is cruciaal om de aanval beperkt te houden.”

Hoeveel schade kan worden voorkomen als je de verschillende tips opvolgt?
“Awareness, het maken van back-ups, patchmanagement en updates van je antivirussoftware. Als je deze vier zaken goed hebt geregeld, ben je een heel eind verder. Doe je ook nog een extra stap bij de identificatie en eventueel netwerksegmentatie dan heb je meer dan 80% van de zaken goed geregeld. In Nederland doe je het dan bovengemiddeld.”

Het controleren van links in e-mails is heel belangrijk om phishing te voorkomen”

Hoe kunnen medewerkers eraan bijdragen dat cybercriminelen buiten de deur worden gehouden?
“Maak medewerkers ervan bewust dat er risico’s zijn. Besteed bijvoorbeeld extra aandacht aan de security van e-mail. Het controleren van links in e-mails is heel belangrijk om phishing te voorkomen. Bedenk ook dat aanvallen steeds persoonlijker worden: je krijgt bijvoorbeeld een e-mail van iemand met zoveel informatie dat je denkt dat die van die persoon afkomstig is. Wees wantrouwig en check dubbel of dat wel echt zo is. En maak ook niet zomaar geld over wanneer je een verzoek krijgt om geld over te maken, zelfs al is die e-mail afkomstig van je baas. Let vooral op bij overschrijvingen naar het buitenland en wanneer je een onbekende naam ziet, moet er zeker een belletje gaan rinkelen. Check. Steek er liever vijf of tien minuten extra in dan dat je vijf- of tienduizend euro kwijt bent.”

Kunnen bedrijven nog meer doen om cybercriminelen monddood te maken?
“Verhoog het budget voor cybersecurity. In Nederland besteden bedrijven maar 12,8% procent van hun ICT-budgetten aan cybersecurity. Dat is echt te weinig als je ervan uitgaat dat de schadebedragen steeds hoger zijn.”

  1. Vacatures

  2. Mercedes-Benz Insurance Services

    Schadebehandelaar

    Mercedes-Benz Insurance Services logo

  3. Klaverblad Verzekeringen

    Volmachtbeheerder

    Klaverblad Verzekeringen logo
Bekijk vacatures
Meer

Actueel

Meer

Branche

Meer

cyber

Verzekeringsbranche vergrijst ruim 3 keer sneller dan beroepsbevolking

Bron: ANP

Prinsjesdagoverzicht: Dit moet je als adviseur weten

Annelies Mirani

Achmea directeur wordt wiskunde docent: 'het kriebelde al langer'

  1. Hiscox en Omniguard gaan samenwerken bij zakelijke brandverzekering
  2. Verbond biedt verzekeraars handvatten voor waarborgen biodiversiteit
  3. Verbond van Verzekeraars: verzekerde windschade in de miljoenen
  4. Parcifal van Overbeek nieuwe directeur Risk Management Achmea
Onderwerpen beheren

Mijn artikeloverzicht kan alleen gebruikt worden als je bent ingelogd.