Uit het Cyber Readiness Report 2021 (Hiscox) blijkt dat de cyberuitgave van Nederlandse bedrijven groeit. Van 10 procent van het totale IT-budget in 2018, naar 22 procent in 2020. Ondanks deze groei hebben bedrijven volgens FTI Consulting nog een lange weg te gaan. Daarom deelden vier specialisten tijdens de Week van het Veilig Ondernemen inzichten en tips over onder andere operational risk management en crisisplannen.
Menselijk handelen
Eerst even terug naar het Cyber Readiness Report 2021. In het webinar op 16 juni schoof Yasin Chalabi (Hiscox) aan en gaf een inkijkje in de resultaten van dit onderzoek. Naast de stijging van IT-uitgaven zette hij een aantal key findings op een rij. Zo worden steeds meer bedrijven het doelwit van cybercriminelen. Het aandeel van de aangevallen bedrijven is gestegen van 38 naar 43 procent. Tegelijkertijd zijn ransomware aanvallen nu gemeengoed, waarbij maar liefst 58 procent van de succesvol aangevallen bedrijven losgeld heeft betaald. Phishing e-mails zijn daarbij het belangrijkste startpunt van het stelen of versleutelen van data. Het is dan ook niet gek dat in de categorie: people, process en technology, de mensen het laagst scoren.
Ook de sprekers van FTI Consulting (Kate Brader, Dave Harvey en Rory O’Brien) zien deze ontwikkelingen bij bedrijven. Uit hun Resilience Barometer, waarin meer dan 2.000 C-suite en senior managers van grote internationale bedrijven zijn ondervraagd, blijkt dat vaker wel dan niet een succesvolle aanval het gevolg is van misbruik van iemand binnen een organisatie. Denk dan aan menselijke fouten, social engineering of de ouderwetse ‘wachtwoordhack’. Feit is dat het makkelijker is om de mens te hacken, dan de geavanceerde beveiligingssystemen van een organisatie. Enkele van de meest productieve cyberaanvallen van 2020 werden dan ook op deze manier uitgevoerd.
Ransomware
De impact van phishing met als gevolg een succesvolle ransomware aanval, kan volgens Harvey verwoestend zijn. Niet alleen voor de operationele bedrijfsvoering, maar ook voor de reputatie. Zo’n soort aanval is volgens hem een bijzondere tactiek, want hackers dwingen bedrijven hiermee plaats te nemen aan een ‘onderhandelingstafel’. En als je besluit om losgeld te betalen, weet je dan zeker dat je de data terugkrijgt? Brader benadrukt daarbij dat die garantie er nooit 100 procent is. Daarnaast is er volgens haar nog een ander belangrijk aandachtspunt. Na betaling is de kans groot dat hackers volgend jaar weer bij je aankloppen. Ransomware aanvallen zijn daarom heel complex én niet alleen een zaak van cyber security specialisten. Ransomware heeft impact op het hele bedrijf.
Tips
Om grip te krijgen op het risico van ransomware en andere cyberrisico’s, deelde O’Brien tijdens het webinar de onderstaande tips voor risicomanagers:
- Cyber Risk Awareness & Assessment – Maak een grondige diagnose van blootstelling aan cyberrisico’s. Wat zijn de belangrijkste risico’s voor het bedrijf? En hoe worden kwetsbaarheden beoordeeld ten aanzien van cyberindicenten?
- Managing Cyber Risks – Neem cyberrisico's op in het Operational Risk Management (ORM) en de Own Risk and Solvency Assessment (ORSA). Bepaal ook de aard van de analyse: kwantitatief versus kwalitatief of beide? En ga na welke analyse passend is: stresstest, worst case scenario-analyses of meervoudige scenario-analyse.
- Quantitative Impacts of Cyber Incidents Assessment - Wees je bewust van de complexiteit van cyberincidenten en de aannames die in de berekeningen zijn meegenomen. Het volgen van de standaardformule van Solvency II is niet voldoende.
Crisisplan voor cyberincidenten
Brader voegde daar nog aan toe dat het eigenlijk geen kwestie is van of je te maken krijgt met een ransomware aanval, maar wanneer. En op zo’n moment is een crisisplan onmisbaar. In zo’n plan moet rekening gehouden worden met allerlei stakeholders zoals klanten, shareholders, externe (software)leveranciers en eigen personeel. Als je direct na een incident duidelijk communiceert met deze partijen, krijg je vervolgens tijd voor interventies en oplossingen.
Risicomodel Digitale Veiligheid
Wil je inzicht en grip krijgen op zakelijke cyberrisico’s? Het Risicomodel Digitale Veiligheid voor bedrijven (groot en klein) bestaat uit een checklist. Na het invullen van deze checklist worden de risicoklassen bepaald en kwetsbaarheden inzichtelijk gemaakt. De tool is relevant voor zakelijke klanten van verzekeraars en verzekeringsadviseurs, maar ook voor verzekeringsmaatschappijen zelf. Het risicomodel is beschikbaar via het Digital Trust Centre, een initiatief van het ministerie van Economische Zaken & Klimaat. Ook het Verbond is nauw betrokken bij de ontwikkeling van dit risicomodel.
Meer informatie
Wil je meer weten over cyberveiligheid en verzekeraars? Neem dan contact op met Marko van Leeuwen, beleidsadviseur zakelijke markt bij het Verbond én host van het webinar over cyber tijdens de Week van het Veilig Ondernemen 2021.
Nederlandse cyberverzekeringsmarkt anno 2021
Het Verbond verzamelt sinds 2016 data over de cyberverzekeringsmarkt. Ondanks de toenemende dreiging, de bewustwording van cyberaanvallen en meer aanbieders, stijgt de bruto omzet langzaam. Van 17 miljoen euro in 2019 naar 25 miljoen euro in 2020. De bruto omzet van de totale Nederlandse schadeverzekeringsmarkt is 13 miljard euro in 2020. Op de Nederlandse cyberverzekeringsmarkt zijn op dit moment 10 verzekeraars actief en 90 procent van het aanbod is gericht op de zakelijke markt.
Was dit nuttig?