In hun digitale strooptochten naar data slaan hackers overal toe, elke deur die openstaat is interessant. En elke deur zal vroeg of laat een keer openstaan, ook die van uw kantoor. Wees hierop voorbereid, waarschuwt Sjaak Schouteren, Manager Cyber Risk Solutions bij Aon.
‘Een inbraak wordt gemiddeld pas na 169 dagen ontdekt’
De wet meldplicht datalekken verplicht bedrijven om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Een datalek dient binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld te zijn en ook de ‘slachtoffers’ moeten geïnformeerd worden. Daarmee ligt het incident dus op straat. Voorbeelden van een datalek zijn bijvoorbeeld een verloren USB-stick, een hacker die databestanden steelt, malware die persoonsgegevens aantast en een e-mail met privacygevoelige gegevens die verstuurd is naar een onjuiste persoon.
Wake-upcall
De meldplicht is het gevolg van de per 1 januari 2016 gewijzigde Wet Bescherming Persoonsgegevens en heeft betrekking op alle bedrijven – private en publiek – die persoonsgegevens verwerken. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Schouteren: “De Meldplicht Datalekken is een wake-upcall voor veel bedrijven. Het besef dringt door dat de digitale revolutie naast voordelen ook meer verantwoordelijkheden heeft gebracht, bijvoorbeeld bij de omgang met persoonsgevoelige data. Veel bedrijven hebben al belangrijke stappen gezet. En toch: hoe vaker wij bij Aon onze Privacy Impact Analyse uitvoeren, hoe meer we ook zien dat veel bedrijven nog niet ‘cyberproof ’ zijn.” Daarnaast zorgen ook de Europese Privacy Verordening en de toenemende afhankelijkheid van technologie in het algemeen ervoor dat de impact van cyberrisico’s steeds groter wordt.
Groot bedrijfsrisico
Bedrijven hebben volgens Schouteren veelal geen idee over hoeveel data ze eigenlijk beschikken. Ze schatten dat meestal te laag in en zijn verbaasd als ze de werkelijke hoeveelheid zien. Wordt er bijvoorbeeld in de cloud gewerkt, dan ligt ook daar een stukje data van het bedrijf opgeslagen. De partij die mailings voor het bedrijf verstuurt, beschikt over de adresbestanden. Zo kun je een hele reeks aan plekken verzinnen waar een stukje data van het bedrijf ligt opgeslagen, waarvoor wel een ketenaansprakelijkheid geldt.
‘Het gaat de hele onderneming aan’
In het verleden werd volgens Schouteren te vaak en te gemakkelijk de verantwoordelijkheid voor dit hele veiligheidsvraagstuk afgeschoven op de ICT-afdeling. De meldplicht datalekken doet echter steeds meer bestuurders beseffen dat deze verantwoordelijkheid de hele onderneming aangaat. Terecht, zegt Schouteren: “Een cyberincident raakt de reputatie en de continuïteit van een organisatie. Het risico hoort dan ook thuis op de strategische agenda van de board. Om risico’s goed te beheersen is een integrale risicomanagement aanpak noodzakelijk. Een belangrijk onderdeel daarvan is taken en verantwoordelijkheden vast te leggen voor specifieke risico’s.”
De afdeling ICT
Hij schreef er onlangs voor dit blad nog een blog over, waarin de denkwijze die nog bij veel bedrijven aanwezig is treffend wordt samenvat: “Onlangs zat ik bij een groot bedrijf om de tafel met de CFO en de Legal Counsel. We hadden het over cyberrisico’s, met name over databeheer, dataprivacy en de vereiste acties bij een datalek. Na een half uur had ik al vijf keer ‘Peter’ genoteerd als verantwoordelijke bij een cyberincident. Op mijn vraag wie die Peter dan was, kreeg ik het verwachtte antwoord: ‘Hij is van ICT’. Ik vroeg of Peter wist dat wij dit gesprek hier nu voerden, en dat al deze zaken van hem werden verwacht bij een cyberincident. Kan Peter dit werkelijk allemaal zelfstandig? Er viel een korte stilte. Het antwoord dat volgde was ontkennend. Zie hier het probleem van veel organisaties: ze beschouwen hun datasecurity als een zuiver ICT-issue.”
Bij notaris- en advocaatkantoren ziet Schouteren overigens een duidelijke toename in het aantal afgesloten cyberriskpolissen. “Dat zijn bedrijven die het juridische aansprakelijkheidsrecht goed begrijpen en snappen wat een datalek aan gevoelige gegevens kan betekenen voor de reputatie van het kantoor, als naar buiten komt dat er op dat vlak helemaal niets is geregeld.” Hij merkt op dat veel organisaties er nog altijd ten onrechte van uitgaan dat de traditionele verzekeringen, zoals brand-, aansprakelijkheids- of fraudeverzekeringen deze risico’s voldoende afdekken, terwijl deze producten op dit onderdeel juist veel uitsluitingen bevatten. Lage kosten
Cyberriskpolis goedkoop
In Amerika zie je het premievolume op cyberriskpolissen jaarlijks verdubbelen. De verzekeraars kijken volgens Schouteren reikhalzend uit naar andere landen om hun producten op de markt te brengen. “Als je naar het huidige aanbod op de Nederlandse markt kijkt dan is de dekking heel ruim en zijn de kosten extreem laag. Een normaal bedrijf met een jaaromzet tussen de 25 tot 40 miljoen is voor een cyberriskpolis met een verzekerd bedrag van een half miljoen euro nog geen 5.000 euro per jaar kwijt. Geen ingewikkelde aanvraagformulieren of een pakket eisen waaraan moet worden voldaan. Bij ons bestaat een standaard aanvraagformulier uit vijf pagina’s. Beschikt een bedrijf over medische gegevens, dan worden er wel aanvullende vragen en eisen gesteld.”
De verzekering tegen cyberrisico’s die Aon aanbiedt dekt schade als gevolg van verlies van persoonsgegevens of bedrijfsinformatie, bestuurlijke boetes of gederfde winst door netwerkproblemen af en is voor organisaties met een omzet tot 50 miljoen euro geheel online af te sluiten.
Ook kleine bedrijven
De grootste denkfout die volgens Schouteren vaak wordt gemaakt bij kleine bedrijven is de gedachte dat het bedrijf niet interessant zou zijn voor hackers. “Een hacker is geen ‘gewone’ inbreker die eerst kijkt of er wat te halen valt en hoe de beveiliging is. De hacker zit gewoon thuis en klopt net zolang op de deur tot hij een keer opengaat. Bijvoorbeeld omdat een medewerker toch een foute link heeft aangeklikt in een ogenschijnlijk betrouwbare mail. Je weet gewoon dat het kan gebeuren en dat het ook jou kan overkomen. Dat er ogenschijnlijk nog geen hack heeft plaatsgevonden, wil nog niet zeggen dat die indruk klopt met de werkelijkheid. Het duurt gemiddeld 169 dagen voordat men erachter komt dat de systemen zijn gehackt.”
‘Je weet gewoon dat het ook jou kan overkomen’
Franchiseorganisaties en belangenbehartigers zoeken bijvoorbeeld naar oplossingen waarmee het cyberrisico van de franchisenemers of leden afgedekt kunnen worden. Heb je het over bedrijven met een omzet tot vijf miljoen dan zijn ze jaarlijks per franchisenemer of lid een 600-800 euro kwijt, rekent Schouteren voor. “Daarmee kun je je onderscheiden in de markt en heb je in een keer een belangrijk risico afgedekt. Voor de verzekeraar ook gemakkelijk omdat er een polis wordt afgegeven met certificaten voor de leden/franchisenemers.”
Menselijk falen
Een verzekering dekt de gevolgen van een incident, maar verlaagt de kans daarop niet. Een datalek wordt namelijk lang niet altijd door een hacker veroorzaakt. Menselijke fouten zijn veel vaker de oorzaak. Hoe vaak lezen we niet dat er datadragers met gevoelige informatie zijn zoekgeraakt. Ze worden onbeveiligd op de post gedaan of een medewerker laat het op zijn autodak liggen. Er wordt volgens Schouteren ook ten onrechte aangenomen dat fouten vaker voorkomen bij de lagere functies. Maar het zijn volgens hem juist de hoger opgeleiden die vaak de ‘gevaarlijkste’ werknemers zijn als het ICT-risico’s betreft. “ICT is altijd een afweging tussen werkbaarheid en veiligheid. Juist de hoger opgeleiden weten vaak wel omwegen te bedenken om toch gemakkelijker te kunnen werken en daarmee de veiligheidsprotocollen te omzeilen. Dat gebeurt individueel, maar ook bij hele afdelingen.”
Advieskantoren
Het zijn vooral de grote bedrijven die het nieuws halen, waardoor een vertekend beeld kan ontstaan van de werkelijkheid. “Daarom probeer ik deze verhalen in gesprekken met advieskantoren juist klein te maken. Ondernemers moeten zich kunnen identificeren met het risico. Een advieskantoor identificeert zichzelf niet met bedrijven als KPN en Sony. Maar ook een datalek op een advieskantoor kan behoorlijk ingrijpend zijn. Soms kun je niet meer bij een deel van je bestanden, maar er kan ook data weggenomen zijn. Denk als adviseur ook vooral niet dat je het zelf kunt oplossen. Een back-up is prima, maar wie zegt dat ook die niet is geïnfecteerd?” Een verzekering tegen cyberrisco’s biedt het bedrijf direct alle noodzakelijke hulp in de vorm van juridische bijstand, IT-specialisten, crisismanagement en PR. Dat laatste is van belang als er klantgegevens op straat liggen en de reputatie van het advieskantoor op het spel staat.
Losgeld in bitcoins
Maar er wordt ook hulp geboden bij cyber/privacy-afpersing, waaronder ransomware. Hierbij wordt via malware een programma geïnstalleerd die computers of delen daarvan kan blokkeren om vervolgens van de gebruiker geld te eisen om deze blokkade op te heffen. Bij deze vorm van datagijzeling moet volgens Schouteren vaak ook nog eens worden afgerekend in digitale bitcoins. “Maar een bitcoinaccount aanmaken duurt twee dagen. Een hacker kan het ‘losgeld’ echter per uur verhogen of dreigen met het vrijgeven van documenten als op een bepaald tijdstip niet is betaald. Onderhandelen is meestal niet mogelijk en dan is twee dagen wachten echt geen optie.”
‘Onderhandelen is meestal niet mogelijk’
De cyberriskpolis dekt – afhankelijk van de aanbieder – dus een reeks aan gespecialiseerde zaken die 24/7 beschikbaar zijn om de continuïteit van het bedrijf veilig te stellen. Deze knowhow is voor een grote onderneming al lastig bij elkaar te krijgen, een gemiddeld advieskantoor krijgt dit zeker niet voor elkaar in zo’n korte tijd. Reken eens uit wat het kost als je bedrijf een paar dagen stilligt omdat de dataservers niet meer werken en zet dat af tegen de kosten van een cyberpolis.
Actieplan:
• Breng in kaart welke software/applicaties u gebruikt en waar data wordt
opgeslagen.
• Voer een risicoanalyse uit en neem de vereiste beheersmaatregelen.
• Weet welke gegevens u bewaart, bewerkt en verwerkt.
• Zoek uit wie binnen uw organisatie verantwoordelijk is voor het melden van
een datalek, en hoe u een datalek meldt.
• Ga bewerkersovereenkomsten aan met externe partijen die beschikking
hebben over uw data.
• Herzie uw contractmanagement om goede afspraken te maken over veiligheid,
continuïteit en privacy en om aansprakelijkheid bij een incident te
regelen.
• Stel een crisis- en continuïteitsplan voor digitale incidenten op.
Dit artikel verscheen eerder in het InFinance Magazine
Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.
