Herleid cyberrisico's tot het minimum

Een onderneming runnen zonder een beroep te doen op internet kan men zich bijna niet meer voorstellen. De operationele werking en het voortbestaan van een bedrijf kunnen niet enkel worden bedreigd door - bij wijze van voorbeeld - een brand, maar evenzeer door een cyberaanval. Mensen gaan er vaak vanuit dat cybercrime (enkel) een ICT-probleem is. De tijd dat alleen ICT-ers hackers konden tegenhouden, ligt evenwel al een tijdje achter ons. Cyberaanvallen, datalekken, IT-fraude… Zowel grote als kleine bedrijven worden het slachtoffer van hackers die op zoek zijn naar data, geld, informatie of die imagoschade willen aanbrengen. Vaak leidt een dergelijke aanval tot hoge kosten aan investeringen in beveiliging. De gemiddelde individuele hacker van enkele jaren geleden heeft plaats gemaakt voor professioneel georganiseerde bendes. Niet zelden beschikken deze over een callcenter en bieden ze een soort ‘hacking on demand’ aan. Te weinig bedrijven zijn echt immuun voor cybercrime. Firewalls worden massaal bestookt met virussen en phishing mails.

2016 is het jaar waarin de cyberverzekering echt doorbrak. In dat jaar werden enkele honderden polissen voor cyberrisico’s afgesloten. Een steeds breder spectrum van sectoren en bedrijven verzekert zich inmiddels tegen cybercrime; naast heel wat industriële bedrijven, transportfirma’s, organisaties en dienstverlenende kantoren worden ook steeds meer bouwbedrijven het slachtoffer. Het al dan niet vlot draaien van een bedrijf is nu eenmaal onlosmakelijk verbonden met het functioneren van zijn IT-systeem.  Het uitvallen hiervan door een cyberaanval betekent vaak het deels of volledig stilvallen van de activiteiten, gekoppeld aan financiële verliezen op verschillende vlakken. Uit onderzoek van Unizo blijkt dat het percentage kmo’s dat op een of andere manier slachtoffer werd van cybercriminaliteit in het jaar 2017, liefst 51% bedroeg. Volgens Norton Semantec blijkt de gemiddelde tijd nodig om een computersysteem te herstellen na een cyberaanval 24 uren (drie werkdagen) te bedragen.

Ongetwijfeld speelt ook de Europese datarichtlijn (General Data Protection Regulation of GDPR, van kracht sinds begin 2018) een rol van betekenis in de stijging van het aantal cyberpolissen. De normen voor het behandelen van privé-gegevens werden aanzienlijk verstrengd. Inbreuken op deze GDPR-wetgeving worden bestraft met hoge boetes. Ook deze risico’s worden opgevangen in een cyberverzekering. Dit kan worden beschouwd als een gespecialiseerde verzekering waarmee men de schadelijke gevolgen van een cyberaanval kan beperken en tot het minimum herleiden.

Momenteel is de verzekeringsmarkt om dergelijke cyberrisico’s op te vangen in volle ontwikkeling. Verzekeraars willen zo snel mogelijk zoveel mogelijk marktaandeel verwerven, de bestaande schadestatistieken zijn evenwel nog te beperkt in de tijd om ze als 100% betrouwbaar te bestempelen. De meeste cyberverzekeringen betalen voor de eigen schade aan het bedrijf en voor de schade aan derden. Indien de klant dit wenst, kan hij kiezen voor een waarborg Rechtsbijstand. De betreffende verzekeraars stellen wel een aantal basisvereisten aan hun kandidaat-verzekeringsnemers. Doorgaans betreft het o.m. volgende voorschriften: de toegang tot de bedrijfssystemen verloopt via login en paswoord; er is een firewall met geautomatiseerde update; er is kwalitatieve antivirussoftware met geautomatiseerde update voorhanden die voor de effectiviteit van de virusdetectie, de performantie van de pc en de gebruiksvriendelijkheid zorgt; er wordt geregeld gebackupt en deze back-ups worden beveiligd bewaard; en last but not least worden de wettelijk voorgeschreven veiligheidsvoorschriften zoals de GDPR nagekomen. Welke dekking de cyberpolissen precies bieden, is sterk afhankelijk van het bedrag waarvoor de klant-onderneming zich wil verzekeren. In de meeste gevallen - bij de meeste aanbieders van cyberpolissen - wordt de schade die bv. voortvloeit uit oorlog, terrorisme of milieuverontreiniging niet betaald. Voor sommige schadevergoedingen zijn sublimieten ingesteld.

Een aantal verzekeraars werkt met een soort crisismanager die samen met het slachtoffer bepaalt hoe men de cyberaanval onder controle zal krijgen en daarvoor experts inschakelt. Denk hierbij aan forensische IT-experts en consultants, gespecialiseerde advocaten, forensische accountants, eventueel onderhandelaars bij afpersing... Waar aanvankelijk de meeste (bouw)bedrijven pas de stap naar een cyberverzekering zetten nadat ze zelf te maken hadden met een cyberincident of met ransomware, lijken nu ook meer en meer ondernemingen hierop te willen anticiperen en preventief over te gaan tot een dergelijke verzekering. Bij een ransomware-aanval kan men in eerste instantie nog altijd proberen het computersysteem te beschermen en te deblokkeren zonder verdere ‘toegevingen’ aan de criminelen, en is het betalen van losgeld de laatste optie die eventueel wordt overwogen.

Zoals het er momenteel naar uit ziet zal het afsluiten van een cyberverzekering binnenkort evenzeer voor de hand liggen als een verzekering burgerlijke aansprakelijkheid of een brandverzekering.  Het marktaanbod aan cyberverzekeringen zal verder toenemen en diversifiëren volgens de behoeften van de klant. Enkele tips om een digitaal veiliger bedrijf te creëren helpen de ondernemer een eind op weg (Bron: Federale Verzekering):

• stel een verantwoordelijke informatiebeveiliging aan. Deze persoon moet onafhankelijk zijn en mag geen deel uitmaken van het ICT-team van de onderneming.
• stel een strategisch stappenplan tegen potentiele cyberincidenten op, en evalueer dit jaarlijks.
• creëer een eigen veiligheidsbeleid - en gedragscode - op maat van de onderneming. Denk onder meer aan het opzetten van procedures van toepassing bij het aanwerven en het vertrekken van werknemers.
• beveilig servers en werkposten met antivirussoftware en leer werknemers hoe ze deze moeten gebruiken.
• Let op voor oplichting en andere vormen van oplichterij zoals bijvoorbeeld phishing.
• Automatiseer het updateproces van alle softwareprogramma’s. Besturingssysteem, web browser en emailprogramma moeten geregeld een update krijgen.
• Zorg voor een dagelijkse back-up van alle informatie. Optimale beveiliging bekomt men het best door alle toestellen, drives en mails met gevoelige informatie data te encrypteren.
• Beheer de toegang tot uw computer en netwerken. Voorzichtig omgaan met - en regelmatig wijzigen van - paswoorden is hierbij cruciaal.
• Bescherm hardware tegen diefstal. Laat laptops, tablets, … nooit onbewaakt achter.
• Houd werk en plezier gescheiden. Een device wordt bij voorkeur niet terzelfdertijd voor privé én voor professionele doeleinden gebruikt. - PDC