VERZEKERD! nummer 2, mei 201322 VERZEKERD!22

Door het wijdverbreide gebruik van internet en computers nemen digitale risico’s toe. De schade door een incident kan hoog oplopen. Preventie en een goed doortimmerd plan van aanpak zijn daarom essentieel in het bedrijfsleven. Verzekeraars kunnen daarbij een rol

spelen.

Banken zijn begin april het doelwit van een grote cyberaanval. Met een zogeheten DDoS- aanval sturen hackers enorme hoeveel-heden data af op de servers van banken. Vooral ING wordt hard getroffen: dagen achtereen zijn er problemen met internetbankie-ren doordat de bank het extra internetverkeer niet kan verwer-ken. Ook betalingssysteem iDeal is slachtoffer. Op sociale media als Facebook en Twitter laten geïrriteerde klanten van zich horen.Begin 2012 hackt een zeventienjarige jongen honderden servers van KPN. Intern wordt code rood, de hoogste alarmfase afgekon-digd, omdat de jongen onder meer het belverkeer van KPN-klan-ten naar 112 had kunnen blokkeren.

Altijdalert op digitalerisico’s

Het is maar een greep uit de incidenten die het nieuws haalden. Digitale risico’s nemen vele gedaanten aan en door het wijdver-breide gebruik van computers en internet heeft vrijwel elk bedrijf ermee te maken. Consumenten vertrouwen steeds vaker persoon-lijke gegevens toe aan de digitale wereld: ze bankieren via inter-net, doen belastingaangifte en boeken vakanties. Tegelijkertijd slaan overheden en het bedrijfsleven grote hoeveelheden informa-tie op van klanten en personeel.Als het misgaat, kunnen de kosten hoog oplopen. De continuïteit van bedrijven is in het geding en er dreigt reputatieschade; of dat nu komt door een technische storing, een fout in de software, fysieke schade, hackers die inbreken voor de kick of criminelen die gericht gevoelige data stelen.

TIENTALLEN MILJARDENAlleen al in Nederland bedraagt de schade door cybercriminali-teit minstens tien miljard euro per jaar, schat onderzoeksinstituut TNO op basis van buitenlandse cijfers. De vervolgschade, zoals

VERZEKERD!nummer 2, mei 2013 23

ACHTERGROND

de kosten voor het herstel van systemen en het opsporen van daders, komt daar nog eens bovenop. Bovendien zijn de werke-lijke kosten van cybercriminaliteit waarschijnlijk twee tot drie keer zo hoog, omdat de hoge internetdichtheid en de grote hoe-veelheid dataverkeer Nederland kwetsbaarder maken dan veel andere landen.De exacte schade is moeilijk vast te stellen, onder meer omdat bedrijven incidenten liever voor zich houden. ‘Ze zijn bang voor imagoschade, waardoor er bijna geen harde cijfers over cyberrisi-co’s zijn’, zegt Erik Peeters, innovatiedirecteur bij TNO. ‘De ban-kensector is eigenlijk de enige die structureel informatie over digi-tale fraude naar buiten brengt.’ De Nederlandse Vereniging van Banken maakt ieder halfjaar bekend hoe hoog de financiële schade is door fraude met internetbankieren en skimming.

DEURHet is essentieel dat bedrijven de beveiliging van hun ICT-syste-men op orde hebben. Dat begint bij de deur: een aparte ruimte met servers moet goed zijn beveiligd, anders hoeven hackers niet eens in het computersysteem in te breken om grote schade te kunnen aanrichten. De wachtwoorden van werknemers moeten daarnaast complex genoeg zijn. Het updaten van software wordt ook nog wel eens vergeten, waardoor hackers eenvoudig toegang kunnen krijgen tot het systeem. Digitale risico’s spreiden zich volgens Peeters bovendien verder uit doordat bedrijven steeds meer uitbesteden. Door het opknip-pen van het bedrijfsproces wordt het moeilijker risico’s in te schatten en preventieve maatregelen te nemen. ‘Het risicoma-nagement moet de keten overstijgen. Daarvoor moeten partijen uit de keten, zoals leverancier en afnemer, samen zoeken naar manieren om risico’s te beperken.’

DAADKRACHTIG OPTREDENMinstens zo belangrijk is dat bedrijven goed zijn voorbereid op een incident. Een degelijk plan van aanpak kan bij een calamiteit de imagoschade beperken, zegt Peeters. ‘Daadkrachtig optreden en helder communiceren zijn essentieel voor het behoud van het vertrouwen van klanten. Zij kunnen zelfs positiever gaan denken over een bedrijf dat na een crash snel en voortvarend ingrijpt. Vergelijk het met het tevreden gevoel dat je krijgt als een bedrijf een klacht netjes oplost.’Omgekeerd: slecht of helemaal niet communiceren is funest. De problemen bij het inmiddels failliete DigiNotar zijn daar een goed voorbeeld van. In 2011 slaagden hackers erin het systeem van DigiNotar – beveiliger van overheidswebsites – te kraken (zie kader). De directie wist van de hack, maar maakte daar aanvan-kelijk geen melding van. Het concern bleef ontkennen dat er iets mis was, totdat het lek landelijk nieuws werd.Door incidenten als die bij DigiNotar en KPN komt er nu een meldplicht voor datalekken. Die geldt al voor telecombedrijven, maar binnenkort moeten alle bedrijven melden om wat voor soort lek het gaat, hoeveel en welke persoonsgegevens in het geding zijn, hoe ze het lek willen dichten en hoe ze toekomstige problemen willen voorkomen. De Europese Commissie werkt

ook aan een meldplicht voor datalekken, die naar verwachting eind 2014 in werking treedt.Naast de meldplicht voor datalekken zijn bedrijven in sectoren die werken met zogenoemde vitale informatiesystemen binnen-kort ook verplicht security breaches te melden. Bij zulke “beveili-gingsinbreuken” hoeven niet per se gevoelige data op straat te liggen. Vitale sectoren zijn onder meer telecom, energie en de financiële sector.

WAPENWEDLOOPDe financiële sector is de laatste jaren steeds vaker het mikpunt van criminele hackers. Richtten cybercriminelen zich aanvanke-lijk voornamelijk op het stelen van creditcardgegevens, gaande-weg hebben zij hun werkgebied uitgebreid. Er is een levendige handel in creditcardgegevens en met malware (malafide software) proberen criminelen inloggegevens voor internetbankieren te ste-len.Het expertisecentrum ICT Risico’s van De Nederlandsche Bank (DNB) spreekt van een wedloop tussen financiële instellingen en criminelen. Creditcardmaatschappijen en banken bedenken steeds weer nieuwe beveiligingsmethodes; de criminelen volgen met ingenieuze trucs om die te omzeilen.Mede dankzij allerlei maatregelen neemt fraude met internetban-kieren wel af. De schade daalde van 24,5 miljoen euro in de eer-ste helft van vorig jaar naar tien miljoen euro in de tweede helft, blijkt uit cijfers van de Nederlandse Vereniging van Banken

‘HACKERS VAN NU ZIJN CRIMINELEN

DIE BEWUST SCHADE AANRICHTEN’

�

HET FAILLISSEMENT VAN DIGINOTARDigiNotar was een zogeheten certificaatautoriteit; een bedrijf dat digitale certificaten verleent aan andere partijen. Zulke certificaten zijn een soort identiteitsbewijs voor de eigenaar. DigiNotar verzorgde deze voor grote delen van de overheid, waaronder DigiD. In juni 2011 wist een hacker in te breken en daardoor uit naam van het bedrijf valse certificaten uit te geven. Daarmee kan een kwaadwillende zich voordoen als betrouwbare website. De hacker maakte onder meer valse certificaten voor Gmail (de e-maildienst van Google), Twitter en Facebook. Toen de hack in augustus bekend werd, werden ook Nederlandse overheidswebsites en andere sites onveilig verklaard. De hack leidde uiteindelijk tot het faillissement van DigiNotar in september 2011.

(NVB). De NVB schrijft de daling toe aan het monitoringssys-teem, waardoor banken fraude snel kunnen ontdekken. Ook voorlichtingscampagnes werpen volgens de brancheorganisatie vruchten af.Maar dat betekent niet dat banken rustig achterover kunnen leu-nen. ‘De ontwikkelingen volgen elkaar razendsnel op’, zegt Mar-cel Baveco van het expertisecentrum van DNB. ‘Hackers worden steeds slimmer. Financiële instellingen moeten constant in de gaten houden of hun digitale beveiliging nog wel voldoende is.’

DIRECTIENIVEAUDNB doet onderzoek naar de informatiebeveiliging bij financiële instellingen (zie kader onderaan deze pagina). Ieder jaar gaat de toezichthouder langs bij een aantal banken, verzekeraars en pen-sioenfondsen. Bij het eerste bezoek blijken instellingen bij circa 35 procent van de beveiligingsmaatregelen niet volledig te vol-doen aan de eisen van DNB. Daarna volgt in de meeste gevallen snel verbetering en voldoet circa 90 procent aan de maatregelen.Dat betekent overigens niet dat de informatiebeveiliging bij het eerste bezoek helemaal niet deugt, benadrukt Baveco. ‘We stellen zeer hoge eisen. Het kan dus ook zijn dat een instelling op één of twee punten net onder de maat presteert.’Beveiliging van digitale informatie vraagt om een integrale aan-pak, stelt de toezichthouder. In de praktijk ziet DNB echter vaak dat de nadruk te veel op de techniek ligt. Baveco: ‘Op alle niveaus

moeten organisaties zich bewust zijn van cyberrisico’s.’ Perma-nente aandacht voor cyberrisico’s op directieniveau is in zijn ogen cruciaal, want daar zitten de mensen die over het geld beslissen. ‘Als organisaties beseffen dat ze risico lopen, volgt de motivatie om maatregelen te nemen vanzelf.’

HOGE BOETESIn het bedrijfsleven neemt het bewustzijn van cyberrisico’s lang-zaam maar zeker toe. Uit onderzoek van verzekeraar ACE blijkt dat ruim een kwart van de risicomanagers op het hoogste niveau cyberrisico’s zeer belangrijk noemt voor het bedrijf. Opvallend is dat de meesten beschadiging van hun imago de grootste bedrei-ging vinden (zie kader bovenaan pagina 25).Door de aanstaande Europese meldplicht zal het bewustzijn over cyberrisico’s verder toenemen, verwacht Trevor Maynard, specia-list nieuwe risico’s bij verzekeringsmarkt Lloyd’s of London. ‘Bedrijven kunnen dan hoge boetes krijgen als ze verzuimen mel-ding te maken van een incident. In het huidige voorstel kan de boete oplopen tot twee procent van de wereldwijde omzet van een bedrijf. In de Verenigde Staten bestaat vergelijkbare wetge-ving al.’Maynard benadrukt dat cybercriminelen steeds professioneler worden. ‘Vroeger wilden hackers vooral laten zien dat ze het sys-teem kunnen kraken. De meeste hackers van nu zijn criminelen die er bewust op uit zijn informatie te stelen of schade te veroor-zaken. Er is een levendige zwarte markt voor hackertechnieken. Data kunnen zelfs “op bestelling” worden gestolen.’Verzekeraars kunnen een rol spelen bij het financieel afdekken van cyberrisico’s en adviseren over preventie en het beperken van de schade als zich een incident voordoet, zegt Maynard. Voor cyberrisico’s bestaan speciale verzekeringen, want de schade wordt meestal niet gedekt door traditionele brand- en bedrijfs-schadeverzekeringen.

CYBERRISICO KAN VERTROUWEN ONDERMIJNENCyberrisico’s vormen een bedreiging voor het betalingsver-keer en kunnen het vertrouwen in de financiële sector onder-mijnen. De Nederlandsche Bank (DNB) doet sinds 2010 onder-zoek naar de informatiebeveiliging bij financiële instellingen. Banken, verzekeraars en pensioenfondsen moeten voldoen aan hoge eisen die zijn vastgelegd in een toetsingskader. Dat bestaat uit maatregelen die onder meer de continuïteit moeten waarborgen. Instellingen kunnen met een self assessment nagaan of zij voldoen aan het vereiste niveau van informatie-beveiliging.

INFORMATIEKNOOPPUNT CYBERCRIMEVerzekeraars kunnen meedenken over verzekeringsoplossin-gen, maar kunnen ook zelf de dupe worden van cybercrimina-liteit. Het Verbond van Verzekeraars vindt dat verzekeraars een maatschappelijke verantwoordelijkheid hebben om hun weerbaarheid tegen digitale dreigingen te vergroten. In over-leg met het Nationaal Cyber Security Center (NCSC) wordt daarom dit jaar een platform opgezet binnen het zogeheten Informatieknooppunt Cybercrime. Doel is dat verzekeraars onderling, en met overheidsdiensten en andere (vitale) secto-ren, informatie delen over incidenten, kwetsbaarheden en maatregelen, zodat ze beter in staat zijn risicoanalyses te maken en adequate maatregelen te treffen.

�

VERZEKERD! nummer 2, mei 201324

VERZEKERD!nummer 2, mei 2013 25

BANG VOOR REPUTATIESCHADEVerzekeraar ACE deed vorig jaar onderzoek naar het bewust-zijn van cyberrisico’s onder meer dan zeshonderd topmana-gers uit het Europese bedrijfsleven. Ze kregen onder meer de vraag welke ontwikkeling of gebeurtenis de grootste invloed kan hebben op het bewustzijn van cyberrisico’s in het bedrijf. Op de eerste plaats staan incidenten die tot negatieve aan-dacht in de pers leiden. Bijna een derde van de managers noemt dit het belangrijkste risico. De top drie:1. Datalekken en inbraken die de media halen (30 procent)2. Grotere afhankelijkheid van leveranciers; bijvoorbeeld door

outsourcing (27 procent)3. Grotere afhankelijkheid van ICT (19 procent)

Vrijwel alle Europese bedrijven krijgen te maken met schade als gevolg van cyberrisico’s. In het onderzoek werd ook gevraagd door welk soort cyberincidenten het bedrijf in de afgelopen vijf jaar schade heeft geleden. Slechts één procent van de managers in het ACE-onderzoek zegt op geen enkele manier verlies te hebben geleden als gevolg van cyberrisico’s. Ongeoorloofd gebruik van computers en systemen wordt het meest genoemd als oorzaak voor schade. De top drie:1. Ongeoorloofd gebruik van het computersysteem (43 procent)2. Uitval van systemen als gevolg van problemen met het net-

werk (42 procent)3. Aanvallen van hackers (36 procent)

‘BEDRIJVEN DENKEN TEN ONRECHTE DAT

ZE ZICH NIET KUNNEN VERZEKEREN’

GROEIMARKTIn Nederland is de markt nog niet groot. ACE – een van de twee partijen die in Nederland cyberverzekeringen aanbiedt met lokale voorwaarden – schat de totale jaarlijkse premie op minder dan één miljoen euro. ‘Dat is zeer bescheiden, zelfs als je er rekening mee houdt dat sommige Nederlandse multinationals hun cyberri-sico’s in het buitenland verzekeren’, zegt Daniël Jacobs, Technical Lines Manager bij ACE. ‘In landen als België en Frankrijk is de markt veel groter.’ACE verzekert al meer dan vijftien jaar cyberrisico’s. Aanvanke-lijk vooral in de Verenigde Staten, dat vooroploopt in het verze-keren van cyberrisico’s. Jacobs: ‘In België verkochten we tien jaar geleden onze eerste polis, in Nederland pas vijf jaar geleden. In ons land wordt relatief weinig cyberschade gemeld, waardoor het risicobewustzijn hier laag is. Bovendien denken veel bedrijven – ten onrechte – dat ze zich niet voor cyberrisico’s kunnen verzeke-ren.’ACE verwacht dat de markt in Nederland en Europa fors gaat groeien. Het bewustzijn neemt toe door mediaberichten over hac-kers, cybercriminaliteit en dataverlies. Bovendien zal de Europese meldplicht de markt een flinke prikkel geven, zegt Jacobs. ‘De aanscherping van privacywetgeving gaf eerder een enorme impuls aan de markt voor cyberverzekeringen in de VS.’

JURIDISCHE BIJSTANDVerzekeringen tegen cyberrisico’s kunnen onder meer de kosten dekken voor herstel van data en software, het garanderen van de bedrijfscontinuïteit, gederfde inkomsten en kosten die het bedrijf moet maken om de crisis of calamiteit te bezweren. Jacobs: ‘Bij dat laatste kun je denken aan kosten voor onderzoek en juridi-sche bijstand, en het plaatsen van advertenties of versturen van brieven of e-mails om klanten te informeren.’Ook de kosten voor het herstel van de aangetaste reputatie zijn

verzekerbaar. Zo had Vodafone, dat in april 2012 schade opliep toen door een brand zevenhonderd masten uitvielen, wellicht de kosten kunnen verzekeren die het bedrijf maakte om klanten enkele dagen gratis te laten bellen nadat het netwerk plat lag.Niet alle schade is echter te verzekeren. De belangrijkste uitslui-ting is schade als gevolg van softwarefouten. Een programma als Windows heeft altijd kleine bugs, dat is de reden dat Microsoft er geen garantie op geeft. Ook verzekeraars kunnen dit risico niet afdekken.Ondanks de mogelijkheden cyberrisico’s te verzekeren, blijven preventie en een doortimmerd plan van aanpak van groot belang, benadrukt innovatiedirecteur Peeters van TNO. Cyberrisico’s verdwijnen namelijk niet meer en criminelen zullen telkens nieuwe wegen proberen in te slaan om binnen te komen. ‘Het is een wedstrijd die je als bedrijf eigenlijk niet had willen spelen, maar er zit niets anders op.’ <