De ogen sluiten voor cyberrisico kan niet meer

Cyberverzekeringen zijn geen niche meer. Cyberveiligheid bespreekbaar maken is zelfs een verantwoordelijkheid van de zakelijk adviseur geworden. Toch krijgt cyber bij veel assurantiekantoren niet de aandacht die het verdient. Concordia de Keizer investeert fors in de markt. Hoe pakken zij het aan? Annet Govaert van Concordia vertelt hoe ze Kees Pruim, cfo bij de internationale softwareleverancier To Increase, adviseerde.

Lees verder 


Een assurantieadviseur moet uitstralen dat hij boven de materie staat, zijn klant laten blijken dat hij haarfijn weet waarover hij het heeft. En dan sta je ineens met een cyberverzekering onder je arm op de stoep bij een IT-bedrijf. Hoewel op het visitekaartje van Annet Govaert senior specialist cyber staat, is ze van huis uit jurist. Dat je een IT-achtergrond moet hebben om over cyberverzekeringen te adviseren, is volgens haar onzin.  

 

Kees Pruim hoefde ook niet overtuigd te worden van een cyberpolis. Zijn bedrijf verkoopt wereldwijd softwareoplossingen. Hij heeft ongeveer 160 man in dienst, verspreid over twee Nederlandse vestigingen in Veenendaal en Amstelveen, en internationaal in India en de VS. Nadat To Increase vorig jaar vanuit een grotere holding verkocht werd aan een investeerder, had het bedrijf een eigen cyberverzekering nodig.

 

“We hebben in het verleden twee keer te maken gehad met een cyberattack”, vertelt Pruim. De eerste keer liet een medewerker zijn inloggegevens achter op een phishing website, waarop prompt zijn mailbox werd gehackt. De tweede keer was serieuzer. Criminelen konden de cloud van het moederbedrijf binnendringen. Alleen tegen betaling van een aantal bitcoins zouden ze de boel weer vrijgeven.

Betalen voor criminaliteit doen we uit principe niet

 

 

“Betalen voor criminaliteit doen we uit principe niet”, zegt Pruim over die inbraak. “We hebben toen de backups teruggeschreven.” De casus laat zien dat ook een bedrijf vol ICT-professionals kwetsbaar kan zijn door menselijke fouten. Je kunt alles regelen, maar honderd procent veiligheid bestaat niet. Voor het restrisico zocht hij een verzekering.

 

Bedrijfsschade (business interruption) is natuurlijk een belangrijk onderdeel van de polis. Maar ook als je over recente backups beschikt, ontkom je niet aan het team van experts dat je weer op gang helpt om verdere schade te voorkomen. “Vergis je niet in die uurtarieven”, zegt Govaert. “Daar heb ik rekeningen van voorbij zien komen waar je drie keer naar moet kijken.”

 

Als ervaringsdeskundige weet Pruim inmiddels ook wat dat restrisico inhoudt. Wie te maken heeft gehad met een beveiligingslek, moet dat melden. “Daar horen allerlei formulieren bij die je moet invullen. Dan vind ik het prettig om wat legal backup te hebben. Dat zijn geen goedkope jongens.”

 

Het komt neer op risicobeheersing. Dat besef valt echter lang niet bij elk bedrijf in vruchtbare aarde, weet Govaert. “Ik heb bij klanten aan tafel gezeten waar de IT-manager aanschoof en de eigenaar zei: ‘Dit is de meneer die ervoor zorgt dat ik deze verzekering niet nodig heb.’ Zo werkt het natuurlijk niet. We gaan het hele risicomanagementverhaal door. Hoe heb je je zaken geregeld? Wat kan er beter? Wat is echt nog noodzakelijk? En dan hou je altijd een risico over.”

Kees Pruim

Govaert kent de tegenargumenten inmiddels zo goed, dat ze die voor haar accountmanagers al eens onder elkaar zette. “Dan vertellen ze bijvoorbeeld over dat gewéldige mannetje van een extern IT-bedrijf. Die kunnen ze altijd bellen. Dan zeg ik: ‘Heeft die persoon expertise op dit vlak?’ Vaak denken ze dat zo’n externe IT-provider de schade ook wel oppakt. Dat kan natuurlijk helemaal niet. Daar zijn contracten afgesloten waarin de aansprakelijkheid beperkt wordt. Als je dat soort gesprekken aangaat, dan zie je wel dat het kwartje valt.”

Kees Pruim

Als jij leverancier bent en ze komen bij de klantgegevens, dan draag je daar ook de verantwoordelijkheid voor

Pruim ziet ze in zijn zakelijke omgeving ook. Typische DGA-bedrijven waar IT en zeker IT-security vaak een ondergeschoven kindje is. “Het mkb moet echt een inhaalslag maken. Het is een maatschappelijk probleem. Als jij leverancier bent en ze komen bij de gegevens van je klanten, dan draag je daar ook de verantwoordelijkheid voor.”

 

Zelf zorgt To Increase ervoor dat het geen enkele toegang heeft tot de systemen van klanten. Als ze dan worden aangevallen, heeft dat nooit gevolgen voor de ruim 2.300 klanten. Klanten die de softwareleverancier overigens ook adviseert over veiligheid. “Maar dat gaat dan heel specifiek over de oplossing die wij bieden binnen de Dynamics365 Business Applications”, zegt Pruim. “Dat is een belangrijk maar zeer afgebakend stukje en gaat niet over de veiligheid van je complete digitale infrastructuur.”

 

Het is dus ook zeker niet zo dat hij zelf de wijsheid in pacht heeft. “Voor mij is het soms ook een beetje zwemmen: wat is goed genoeg? Je regelt van alles om je veiligheid op een zo hoog mogelijk niveau te krijgen, maar het blijft een complex en veranderend gebied.”

 

Cyberverzekeraars kunnen zeker bij de grotere klanten scans laten uitvoeren door hun riskengineers. Hoewel To Increase vanuit een verzekerde situatie een nieuwe risicodrager zocht, bleek ook bij hen nog het een en ander aan te merken. De verzekeraar was kritisch op het feit dat er te veel medewerkers met een adminaccount rondliepen. “Dat hebben we heel drastisch teruggebracht, anders kon de aanvraag niet geaccepteerd worden”, vertelt Pruim. “Dat hadden we bij onze vorige eigenaar dus niet goed geregeld.”

 

Govaert merkt dat cyberverzekeraars de laatste jaren steeds meer verlangen in preventie. Dus niet alleen backups verplichten, maar ook het regelmatig testen met de backups. Pas dan komen bedrijven erachter dat de systemen herstellen veel tijdrovender is dan ze dachten. In plaats van een paar uur, kan het soms weken duren. Extreem kostbare tijd als de hele onderneming bevriest.

Annet Govaert

Als je een cyberincident hebt meegemaakt en er rollen claims van derden uit, dan kun je voor de rechter niet meer zeggen dat je je er nooit mee bezig hebt gehouden

Nog een argument waarmee Govaert directies kan overtuigen: bestuurdersaansprakelijkheid. “Als je een cyberincident hebt meegemaakt en er rollen claims van derden uit, dan kun je voor de rechter niet meer zeggen dat je je er nooit mee bezig hebt gehouden. Die tijd is echt voorbij. Dat proberen we ze wel duidelijk te maken.”

 

Voor het mkb werd onlangs een nieuwe cybertool ontwikkeld. De Risicoklassenindeling Digitale Veiligheid. Aan de hand van elf vragen krijgen ondernemers een beeld van het risico dat ze lopen en wat ze al kunnen doen om zich beter te weren. De tool is ontwikkeld in samenspraak met de verzekeraars, vandaar dat de aanwijzingen al behoorlijk overeenkomen met de acceptatie-eisen van de aanbieders.


Annet Govaert

In omvang is To Increase een paar maten groter dan waar de risicoklassentool voor bedoeld is. Desalniettemin ziet Govaert er toch zaken in verwerkt die voor elk bedrijf relevant zijn. “Ook bij onze grote relaties die met incidenten te maken hebben gehad. Als zij aan al deze voorwaarden hadden voldaan, dan was de impact van deze incidenten waarschijnlijk een stuk kleiner geweest.”

 

Pruim zou graag zien dat mkb’ers zich bewuster worden van de narigheid als je niks regelt. “Ik hoor regelmatig verhalen van ondernemers waar de hele productielijn na een cyberaanval stil is gelegd. En voor je een idee hebt wat er precies aan de hand is, ben je zo al een paar uur verder. En als hackers FedEx al kunnen platleggen, heb ik niet de illusie dat je het altijd kunt voorkomen. Maar je kunt wel een aantal standaardmaatregelen treffen. En daar slaap je absoluut rustiger van.”


Klaverblad

Cyber-crime

3/11
Loading ...