Sjaak Schouteren over cyberrisico’s en verzekeringen

‘100% voorkomen van een cyberincident is een illusie, maar neem wel je maatregelen’

De digitalisering heeft een enorme vlucht genomen, maar toch blijft het verbazend hoe laconiek er nog altijd wordt omgegaan met de risico’s die met ‘cyber’ samenhangen. Dat gaat van het maar al te gemakkelijk verstrekken van gebruikersaccounts en wachtwoorden aan derden tot aan nadenken over de gevolgen voor de hele organisatie en het doordenken over de risico’s van ‘cyber’. Want hacks, datalekken en andere cyberincidenten kunnen een organisatie in no time plat leggen.

 

'Wie trekt er bij een serieus cyberincident een geel hesje aan?'

‘Als je naar property kijkt, dan vindt er elk jaar op zijn minst een brandoefening plaats. Scenario’s worden doorgenomen, protocollen getest, crises nagespeeld. Wie trekt er een geel hesje aan, wie doet wat? Kijk je naar de risico’s van cyber, dan gebeurt dat veel minder. Of niet. Terwijl de kans op een brand veel kleiner is dan de kans dat je te maken krijgt met een cyberincident en de gevolgen daarvan.’

 

 

Miniseminar Kenniscentrum Cyber
Sjaak Schouteren, sinds februari dit jaar partner van het Europese Cyberteam bij JLT Specialty’s, legt zich al vele jaren toe op cyberrisicomanagement en het vergroten van het risicobewustzijn op dit gebied. Hij hield een zeer interessante presentatie over cyberrisico’s, cyberrisicomanagement en verzekeringsoplossingen voor een groep van 25 NARIM-leden op 2 oktober jl. in Rotterdam. Het miniseminar was een initiatief van het kenniscentrum Cyber van NARIM.


Voorbeelden uit eigen praktijk

Sjaak putte in zijn presentatie herhaaldelijk uit de eigen praktijk en liet ook aan de hand van video’s zien hoe gemakkelijk het nog steeds is om achter de gegevens van gebruikersaccounts (inclusief wachtwoorden) te komen. Voor kwaadwillenden staat de poort daarmee wagenwijd open om – bijvoorbeeld - heel gemakkelijk geld te verdienen met het ‘kapen’ van bedrijfs- en klantgegevens en het versleutelen van bestanden.

 

Menselijk falen blijft het grootste risico
De menselijke factor is nog altijd het grootste risico. ‘Hoe bewust is iedereen zich van de risico’s en hoe gedragen mensen zich in ons bedrijf? Die vragen stellen IT’ers zich voortdurend. Het gaat om het waar, wie en wat. Bij 30% van de cyberclaims zijn eigen medewerkers betrokken en 13% van de claims zijn te herleiden naar providers die toegang hebben tot de systemen en zo ook misbruikt kunnen worden door criminelen.


De risico's van Shadow IT

Daarnaast is ook shadow IT binnen een organisatie een probleem. Bijvoorbeeld een extern CRM-systeem dat door de mensen van marketing wordt gebruikt zonder dat daarover met de mensen van IT of Legal is of wordt gecommuniceerd.’

 

Cyberrisks NARIM

 
Praktische overwegingen

Soms zijn het ook praktische overwegingen die risico’s met zich meebrengen. ‘Op een school waar leerlingen wordt verzocht hun gebruikersgegevens te noteren in hun agenda. Dat scheelt de school heel veel tijd en problemen omdat leerlingen hun wachtwoord niet meer weten. Of in een ziekenhuis waar medisch specialisten niet meer vanaf huis mogen inloggen om aan dossiers te werken. Het gevolg was dat mensen dossiers uitprintten en stapels papier mee naar huis namen om toch daaraan te kunnen werken. De werkdruk speelt hierbij ongetwijfeld een grote rol. Maar er ontstond onbedoeld wel een nieuwe datastroom, waarvan maar weinig mensen in de organisatie wisten.’

 

Data: wat voor soort data?
Het zijn praktische voorbeelden die veelvuldig voorkomen. ‘Iedereen is gefocust op persoonlijke gegevens. Dit is gevoed door de invoering van de AVG in mei van dit jaar. We zijn gek gemaakt met de AVG en de boetes die overtredingen met zich mee zouden brengen. Terwijl je echt niet zomaar een boete krijgt opgelegd.’

 

'We zijn gek gemaakt met de AVG en de boetes die overtredingen met zich mee zouden brengen. Terwijl je echt niet zomaar een boete krijgt'

 

‘Natuurlijk moet je je zaken voor elkaar hebben, maar naast persoonlijke gegevens is er binnen een organisatie nog veel meer data beschikbaar. Om een goed beeld te krijgen van de impact van bijvoorbeeld een datalek moet ook gekeken worden naar intellectueel eigendom of commerciële data die je hebt van je klanten.

 

Techniek: hoe afhankelijk ben je van andere partijen?
Ook andere vragen komen veel te weinig aan de orde bij het afwegen van risico’s. ‘Hoe afhankelijk ben je van providers, welke gegevens staan er bijvoorbeeld allemaal in de cloud (en waar)? Wat gebeurt er als een provider failliet gaat of als je data in de cloud onverhoopt toch kwijt raakt? Wat staat er precies in de SLA’s en contracten? Wat is er geregeld in geval van nood, wie is waarvoor verantwoordelijk en wie doet wat? Kortom: wie trekt het gele hesje aan?’

 

Ransomware as a service
Cyberrisicomanagement is veel meer dan alleen IT Security. 100% voorkomen van incidenten is een illusie. Sjaak liet zien hoe eenvoudig het is ransomware te fabriceren. ‘Ransomware as a service is sterk in opkomst en gaat voorlopig niet weg. Computers doen het werk en de verdiensten voor criminelen zijn goed. Het is gemakkelijk geld verdienen.’ Sjaak toonde een voorbeeld hoe met een eenvoudige investering van € 1.500 al snel een bedrag van (minimaal) € 12.500 is te verdienen. ‘Het break even point wordt bereikt bij 6 mensen die op een foute link klikken: in dit voorbeeld is dat 0,006% van de populatie waarnaar het bericht met de link is gestuurd. Het heeft je misschien een dag werk gekost. Geen slecht rendement …’. De georganiseerde criminaliteit vindt dit een zeer interessante markt en richt zich dan ook steeds meer op deze vorm van makkelijk geld verdienen.’


120 dagen

De gemiddelde periode voor het ontdekken van moedwillige inbreuk op het systeem is 120 dagen. ‘Het betekent dat hackers al die tijd op hun gemak hebben kunnen speuren naar bruikbare informatie binnen de netwerken van je organisatie.'

 

Uitsluitingen in meer reguliere polissen zoals Property, K&R en CAR markeren een kentering in de markt

 

Uitsluitingen op verzekeringspolissen
Verbazend is dat veel verzekeraars tot voor kort maar weinig eisen stelden aan partijen bij het afsluiten van een ‘standaard’ cyberpolis. ‘Het is een van de gebieden waar nog groei is te realiseren. Uit commerciële overwegingen werden premies laag gehouden. Terwijl de risico’s juist heel groot kunnen zijn.’ Toch is op dit gebied een kentering gaande. Waarbij ook de bepaalde uitsluitingen in meer reguliere polissen zoals Property, K&R en CAR een kentering in de markt markeren.

 

Kenniscentrum Cyberrisks NARIM

 

Wapen je tegen aanvallen van cybercriminelen
De strijd met cybercriminaliteit is niet te winnen, meent Sjaak. Toch kun je je als organisatie wel wapenen tegen cyberincidenten. ‘De mens blijft de zwakste schakel. Dat moet iedereen zich realiseren. Naast technische beveiligingsmaatregelen is het zaak je daarop te richten. Door mensen bewust te maken van hun handelen en de risico’s die dat met zich meebrengt, maar ook door met elkaar in gesprek te gaan. Het is opmerkelijk hoe weinig dat nog gebeurt. Omdat Legal, ICT en Marketing/Sales van nature niet snel met elkaar in overleg gaan, weet men vaak niet wat er allemaal gebeurt in de organisatie. Hoe kun je adequaat reageren op een cyberincident als je niet weet wat de (potentiële) impact is? Hoe zit het met de aansprakelijkheid, wat voor invloed heeft een incident op de betrokkenen, op leveranciers en andere stakeholders en op de eigen business? Deze vragen kun je alleen beantwoorden als je alle interne stakeholders hierin betrekt.’

 

Silo’s doorbreken
Silo’s moeten worden doorbroken. ‘Ga met elkaar in gesprek, ontwikkel protocollen voor cyberincidenten en test de gemaakte afspraken regelmatig in de praktijk. Waarom gebeurt dat wel met de risico’s van brand of schade aan property? Dat is zichtbaar. Cyber is dat veel minder, want cyber is overal.’ Praat hierbij als Risk & Insurance Manager dus niet alleen met ICT, Legal en de CFO maar ook met HR en de afdeling Marketing/PR. Welke content verspreidt de laatste bijvoorbeeld via YouTube en/of andere mediakanalen. Het voorbeeld van een zorginstelling die een cliëntgesprek online had gezet is daarbij een goed voorbeeld van hoe makkelijk kritieke data “gelekt” kan worden.’

 

Kroonjuwelen
Wat zijn je kroonjuwelen? Deze verschillen per bedrijf, per moment (seizoen) en per functie binnen het bedrijf. ‘Voor een online retailer is de webshop heel belangrijk, voor een productiebedrijf de applicatie voor supply chain management.’

 

Hoe krijg je de kroonjuwelen op tafel? ‘Door met alle belanghebbenden binnen de organisatie het gesprek aan te gaan: van de CFO tot en met de operational manager, de IT-mensen, de mensen van marketing, HR en Legal. Waarvan krijg je echt buikpijn als er wat gebeurt? Hoe gaan zaken in de praktijk en waar bevinden zich risico’s. Vaak gaan in dit soort sessies de ogen past echt open.’ Intensieve sessies maar wel van belang. ‘Van daaruit kun je voor verschillende situaties een apart plan van aanpak ontwikkelen.’

 
De tools van JLT

Om hiaten in kaart te brengen, heeft JLT een hele set tools ontwikkeld bestaande uit onder andere ISO27001 en Cobit om de volwassenheid van een organisatie in kaart te brengen. Ook is er tooling om scenario’s te kwantificeren. ‘Tot slot is het in dit proces om tot een goede wording te komen erg belangrijk om ook de claims advocate van ons team mee te nemen. Deze heeft namelijk gezien welke discussies er komen na het incident/claim en kan deze kennis aan de voorkant van het proces meenemen.’

 

Risk & Insurance Manager: grijp je kans
De Risk & Insurance Manager moet een belangrijke rol claimen, vindt Sjaak. Als de spin in het bekende web. Op het gebied van ‘cyber’ gebeurt dat nog veel te weinig. ‘Terwijl je als Risk & Insurance Manager bij uitstek degene kan zijn om silo’s te doorbreken en met mensen in gesprek te gaan.’ Grijp je kans, meent Sjaak. ‘Doordring je collega’s van het belang om eens met elkaar na te gaan wat er gebeurt in geval van een incident en wie dan wat doet. Maak er afspraken over en neem een leidende rol in het regelmatig oefenen. Een rol als aanjager en coördinator voor mensen met verstand van risico’s. De Risk & Insurance Manager.’

 


« vorige pagina         meer nieuws »