Cybercrime is dagelijks in het nieuws. De overheid steekt steeds meer geld in het onderzoeken van cybercrime, maar toch denken de meeste bedrijven nog altijd: dat overkomt mij niet. Tijdens het Zakelijk Platform dat Adfiz woensdag organiseerde, maakten drie sprekers de aanwezige adviseurs duidelijk dat het niet alleen je klanten overkomt, maar jezelf wellicht ook.
Waren mensen voorheen het meest slachtoffer van fietsendiefstal, nu staat hacking op nummer 1. Niet alleen cybercrime (47%) is verantwoordelijk voor de schade, ook menselijke fouten (25%) en systeemstoringen (29%) kunnen tot claims leiden. Cyberrisk kun je omschrijven als financiële schade veroorzaakt door, met of via computers. En onder computers vallen ook smartphones en tablets. Cyberschade kan bestaan uit dataverlies, een datalek, aansprakelijkheid en bedrijfsschade. “100% beveiligen kan niet”.
Schade neemt toe
Ruim 60% van ondernemend Nederland heeft te maken gehad met cybercrime. De totale schade op jaarbasis bedraagt inmiddels € 10 mld, voor schade door ‘gewone’ diefstal is dat € 1 mld. Een groot risico is het online gedrag van medewerkers. Zo accepteert 1 op de 3 gebruikers uitnodigingen van onbekenden, 24% gebruikt dezelfde online opslag privé en zakelijk. Nog eens 39% van de gebruikers logt niet uit zijn computer als hij naar huis gaat, 25% deelt zijn accountinformatie en 12% van alle gebruikers wordt gehackt.
Kosten en schade
Voorbeeld van kosten en schade zijn: aansprakelijkstelling (inbreuk copyright, datalek, verspreiding malware, ongewenste toegang verlenen), kosten naar aanleiding van een datalek (meldingskosten, onderzoek, PR, klantenservice, reputatie, boetes), bedrijfsschade (extra kosten om bedrijfsstagnatie te voorkomen als gevolg van uitval van (productie)systemen en website), datareconstructie (verwijderen malware, onderzoek, herinstallatie van software/systemen), cyberdiefstal (geld, tegoeden, data/informatie), cyberafpersing (onderhandeling, losgeld, beloning), contractuele verplichting (in steeds meer zakelijke contracten vanwege beperkte dekking (beroeps)aansprakelijkheidsverzekering) en tot slot cloud & outsourcing. “Het werk kan weliswaar uitbesteed worden, het risico niet. De eigenaar van de data blijft verantwoordelijk”.
Hoe te verzekeren?
Op traditionele verzekeringen is beperkte dekking voor cyberrisico’s. De cyberriskverzekering is calamiteitendekking en de verzekeringsmarkt voor cyberrisk is wisselvallig en individueel. Je moet het risico goed kunnen inschatten. Zo zou je kunnen kijken naar certificering (ISO 9001, 27001/2), data-beveiligingsbeleid, ICT-preventie (binnendringen, malware), detectie en opvolging voorval, systemen, toepassingen en data. Sectoren die worden gezien als moeilijk verzekerbare risico’s in de markt voor cyberriskverzekeringen zijn de financiële sector (en dus ook de financieel advieskantoren), medische- en zorginstellingen, callcenters en telemarketing, de publieke sector, dataprocessingbedrijven, internetproviders, telecombedrijven en sociale netwerken en alles buiten de Europese Unie.
Nog niet omarmd
De perceptie van het risico is nog lang niet doorgedrongen in het bedrijfsleven. Vaak wordt verwezen naar de ICT-afdeling. Het cyberrisk staat bij grote ondernemingen wel op de radar als reëel risico, maar de er wordt nog niet veel mee gedaan. Ook bij mkb-bedrijven staat het op de radar, maar wordt het niet ervaren als een risico met grote impact.
Meldplicht
Sinds 1 januari is er de Meldplicht datalekken. In Nederland kun je een maximale boete van € 820.000 krijgen per overtreding of 10% van de jaaromzet. Het loont de moeite om de handleiding hoe te handelen bij een datalek door te nemen. Een datalek moet niet alleen gemeld worden aan de Autoriteit Persoonsgegevens, maar ook aan de mensen van wie de gegevens zijn gelekt.
Dark web
Op het zogeheten Dark Web is bijvoorbeeld een levendige handel in creditcards die via virtueel geld gekocht kunnen worden. Ook de opkomst van ‘ransomware’ is een groot risico. Je computer wordt gehackt en alleen tegen betaling kun je weer bij je gegevens. Een op de drie bedrijven komt in aanraking met ransomware!
Wat zelf doen?
Om het risico in te schatten kun je als bedrijf een aantal stappen zetten. Stap 1 is het inventariseren van de risico’s, bedreigingen en kwetsbaarheden. De volgende stap is dat de mogelijke gevolgen voor het bedrijf en de bestaande verzekeringsdekking geanalyseerd moet worden. Stap 3 is het bepalen van huidige en gewenste maatregelen en dat te bespreken met de medewerkers. Stap 4 is een regelmatige evaluatie of de aanpak nog het gewenste resultaat heeft.
(bron: AM)
Neem vrijblijvend contact met ons op.