CYBER RISK MANAGEMENT - IRO · 2019-02-19 · Algemeen: • Je eigen ICT partners benoemen op de...
Transcript of CYBER RISK MANAGEMENT - IRO · 2019-02-19 · Algemeen: • Je eigen ICT partners benoemen op de...
CYBER RISK MANAGEMENT
IRO: CYBER RISICO'S & CYBER VERZEKERINGEN
februari 2019
EVEN VOORSTELLEN: SJAAK SCHOUTEREN, CIPP/E
Titel: Partner European Cyber/Tech E&O Team
Rol: Business Development/ Cyber Consultant
Contact gegevens:
E-mail: [email protected]
Mobiel + 31 (0)6 538 172 82
• Certified Information Privacy Professional/Europe (CIPP/E)
• Lead Auditor ISO 27001
• Oud voorzitter Cyber platform VNAB
• Expert ShoppingTomorrow
• NARIM Award 2014
JLT Specialty Limited
WHAT IS YOUR PASSWORD?
4
30% of cyber
claims involve
insiders
13% of cyber claims
attributable to
vendors
JLT Specialty Limited
5JLT SPECIALTY LIMITED
6JLT Specialty Limited
CYBER RISK
MANAGEMENT
= MEER DAN
IT SECURITY
- 100% VOORKOMEN IS EEN ILLUSIE -
RANSOMWARE RUKT OP
EVOLUTIE CYBER CRIMINALITEIT
Scareware:
Hacking/Stelen v. data (Creditcard 2011 - EUR 21; 2016 - EUR 5)
Ransomware Ransomware as a Service (RaaS)
(2011 – EUR 250; 2017 – EUR 920)
CryptoJacking
JLT Specialty Limited
WAT VERDIENT EEN CYBER CRIMINEEL?
Investeringen
Aanschaf 100.000 records/e-mail adressen: EUR 500
Aanschaf phishing mail: EUR 500
Aanschaf ransomware: EUR 500
Totaal EUR 1.500
Verdiensten
Stel van de 100.000 klikt 5% op link in de mail.
Van die 5.000 heeft 80% goede beveiliging.
Houden we 1.000 over waar we binnen zijn.
Van die mensen gaat slechts 5% uiteindelijk betalen.
Is 50 * EUR 250 = EUR 12.500
Break even point is bereikt bij 6 mensen die betalen.
Dat is 0,006% van de populatie!
JLT Specialty Limited
CYBER CRIME ALLEEN VOOR WHIZZKIDS?
JLT Specialty Limited
EEN KIND KAN DE WAS DOEN!
JLT Specialty Limited
EEN KIND KAN DE WAS DOEN!
JLT Specialty Limited
DE MENS BLIJFT DE ZWAKSTE SCHAKEL
JLT Specialty Limited
JLT Specialty Limited
100% VOORKOMEN
IS EEN ILLUSIE
FOCUS DUS
(OOK) OP IMPACT
WAT ZIJN JE KROONJUWELEN?
Verschilt:
• Per organisatie
• Per momentum
• Per functie/rol
• Let op shadow IT
• Doorbreek de silo’s
JLT Specialty Limited
WAT GAAT U DOEN?
Wanneer u maandagochtend op kantoor komt blijkt belangrijke bestanden waaronder persoonsgegevens zijn versleuteld. Hierdoor valt uw bedrijf stil en kunnen klanten niet meer bediend worden.
Tevens bestaat de kans dat binnen enkele uren data wordt gelekt indien er niet wordt betaald.
Welke vragen komen er nu naar boven?
• Wie doet het gele hesje aan?
• Is er sprake van een datalek?
• Moeten we betalen (en hoe)?
• Wat zijn de gevolgen op korte termijn?
• Wat zijn de gevolgen op lange termijn?
• Hoe weet ik of ze niet in andere systemen zitten?
• Zijn we verzekerd?
• Hadden we dit niet moeten oefenen?
• Wie is aansprakelijk?
JLT Specialty Limited
JLT’S CYBER PROCESS
2 3 41
Risk Discovery
▪ Exploratory workshop with internal
stakeholders
▪ Identify or expand on key cyber loss
scenarios
▪ Touch on risk mitigation for key risks
Submission Preparation
▪ Populate Data Organiser
▪ Benchmark output against peers
▪ Focus on additional information in low
maturity domains
Risk Quantification
▪ Basis is output of risk and maturity
assessment
▪ Model is grounded in claims emergence
fundamentals supported by risk
scenarios
Gap Analysis
▪ Analyse affirmative and silent cyber in
current insurance portfolio
▪ Provide a clear understanding of gaps
and overlaps in order to create custom
cyber specification
Custom Wording
▪ Translate results of earlier phases into
either specific coverage requirements or
fully bespoke wording
Insurance Marketing
▪ Execution of the marketing plan
▪ Negotiations on price, retention,
capacity, and coverage with primary and
excess markets
▪ Resolution of subjectivities
Programme Design
▪ Initial market exploration including
scoping of access points against existing
relationships
▪ Structure Planning
Presentation of Programme
▪ Clear articulation of the value of the new
insurance solution in terms of cost and
volatility analysis of cyber risk
▪ NPV analysis on the efficiency of solution
▪ Support in board papers and
management presentation of new
insurance solution
Incident Table top Exercise(s)
▪ Practice the insurance response with a
given scenario
▪ Facilitated by JLT and/or
insurers/response partners
Onboarding Session(s)▪ Communicate value of new insurance to
stakeholders
▪ Cement escalation and claims/incident
reporting process
▪ Validate selection of incident response
vendors
Claims advocacy services
▪ Senior legal and technical team involved
in your claim from the start
▪ Smooth management of communication
and escalation on complex claims
JLT Specialty Limited
IDENTIFY
RISK DISCOVERY• Exploratory workshop with
internal stakeholders
• Identify or expand on key cyber loss
scenarios
• Touch on risk mitigation for key risks
THREAT VECTOR ANALYSIS• Layer on top of Risk Discovery Session
to identify key threat actors
• Evaluate critical values at risk
• Output is a set of key cyber risk
scenarios, which form the basis
for a financial analysis
REINFORCE
INVEST
ASSESS
IDENTIFY
JLT Specialty Limited
22
ASSESS PHASESUBMISSION PREPARATION
1
2
3
4
5IT Architecture
IT Asset Management
Cyber Awareness
Threat and…
Data Infrastructure
Data Protection
IT Governance
Host securityIdentity and Access…Incident Management
Network Security
IT Operations
Privacy
IT Security Monitoring
Software Security
IT Strategy
Third Party Mgmt
Cyber Maturity Benchmarking
Banking Sector Average Company A
JLT Specialty Limited
23
ASSESS PHASESUBMISSION PREPARATION
2017
2016
36%
24%
18%
14%
10%
18%
20%
23%
15%
18%
22%
13%
24%
30%
22%
24%
13%
24%
30%
34%
44%
21%
27%
25%
30%
34%
44%
21%
27%
25%
30%
34%
44%
21%
27%
25%
20%
20%
11%
43%
19%
17%
13%
16%
26%
17%
13%
16%
26%
17%
13%
16%
26%
10%
18%
13%
16%
26%
17%
19%
17%
13%
16%
19%
17%
13%
16%
19%
17%
13%
16%
5%
5%
13%
7%
17%
23%
18%
10%
2%
28%
19%
29%
7%
3%
2%
22%
21%
18%
- Threat and Vulnerability Management
- Network Security
- IT Security Monitoring
- Data Recovery & Business Interruption
- Identity and Access Management
- Software Security
- Data Protection
- Host security
- Incident Management
- Third Party Mgmt
- Privacy
- IT Operations
- Cyber Awareness
- Data Infrastructure
- IT Asset Management
- IT Governance
- IT Strategy
- IT Architecture
1 - Initializing 2 3 4 5 - Optimizing
Year over Year Comparison
JLT Specialty Limited
24
ASSESS PHASE - QUANTIFICATIONCOST AND VOLATILITY ANALYSIS
Average 1 in 100 1 in 250 1 in 1000
Estimated Number of
Unique PII Records 25,004,800 €661.9M €1,746.2M
Economic Sector Retail
Type of Company Private €94.5M €259.8M
Number of Employees 15,000
Revenue 28,000,005,000 €684.7M €2,892.8M
Profit Margin % 22%
Risk Rating (out of 10) 3.5 €24.4M €75.7M
PCI Data Yes
€337.6M €1,177.1M
Total $0.0M
Conclusion
Option X most efficiently mitigates the potential volatility of cyber risk with a cost of Y.
Recommended Cyber Insurance Limits
Conservative Moderate Risk Tolerant
Risk Parameters Cyber Loss Frequency and Severity
Frequency
Severity when a claim occurs
Data Breach Liability (including
defence , PCI related liability,
and regulatory investigations)
9.35% €14.06M €299.0M
PCI DSS Non-Compliance Fines 7.55% €1.93M €41.1M
Cyber Business Interruption 4.75% €21.78M €251.8M
Cyber Extortion 2.08% €0.40M €7.7M
Data Asset Loss 1.84% €5.96M €87.6M
x to x x to x x to x
$0.0M
$5.0M
Program 1 Program 2 Program 3
Average Cost
€0.0M€10.0M€20.0M€30.0M€40.0M€50.0M
Program 1 Program 2 Program 3
1-in-100 Year Event
What can we do?
• Using loss data and our expert experience, JLT has built a set of frequency assumptions for different aspect of cyber loss.
• Based on your risk parameters we modify the assumptions and model the potential severity of cyber incidents.
• We then run simulations of these frequency and severity outputs
• We can recommend conservative, moderate, and risk tolerant limits of cyber insurance
JLT Specialty Limited
25
GAP ANALYSIS
ASSESS PHASE
JLT Specialty Limited
Cyberverzekering nader bekeken
JLT Specialty Limited
VERZEKERINGSDEKKING
Aansprakelijkheidsrisico’s (Third Party) Brand Elektronica Aansprakelijkheid D&O Beroepsaansprakelijkheid Crime Cyber
Ongeautoriseerde toegang op netwerk of systeem X X X X √ X √
Aansprakelijkheid verlies van persoonsgegevens X X X X √ X √
Externe kosten ter beperking en voorkoming van (gevolg)schade √ X X X √ X √
Reputatieschade X X X X √ X √
Verlies van bedrijfsinformatie X X X X √ X √
Blokkering toegang door frauduleuze handelingen X X X X √ X √
Eigen schade (First Party)
Bedrijfsstilstand a.g.v. een cyberevent (verlies netto winst) X X X X X X √
Bedrijfsstilstand a.g.v. een programmeerfout X X X X X X X
Eigen kosten a.g.v. een programmeerfout X X X X X X X
Schade door misbruik van een programmeerfout X X X X X √ √
Externe kosten ter beperking en voorkoming van (gevolg)schade X X X X X √ √
Eigen kosten ter beperking en voorkoming van (gevolg)schade √ X √ X X √ √
Notificatiekosten X X X X X X √
Financiële schade door diefstal gegevens X X X X X √ √
Boetes t.g.v. overtreding wetgeving (civiele boetes) X X X X X X √
Crisismanagement, beredderingskosten X X X X X √ √
Kosten forensisch onderzoek, PR ondersteuning X X X X X √ √
Vervanging van hardware/software X √ X X X X X
Juridische kosten; terugvorderen frauduleuze of cyber gerelateerde schade X X X X X √ √
VERZEKEREN VAN UW DATA EN PRIVACY RISICO: CYBERDEKKING
• Financiële waarborg voor vervolgkosten na eigen schade (‘first party’)
− Kosten voor IT-forensics / reconstructie van data
− Kosten voor juridische ondersteuning
− Kosten voor crisismanagement/crisiscommunicatie
− Kosten gemoeid met continuïteitsverlies
− Kosten als gevolg van de meldplicht en (bestuurlijke) boetes
− Schade als gevolg van identiteitsfraude
• Financiële waarborg bij schade voor derden (‘third party’)
− Aansprakelijkheidsclaims
FIRST PARTY
THIRD PARTY
JLT Specialty Limited
DEKKINGEN CYBERVERZEKERING
Dekkingen van een standaard Cyberverzekering:
▪ Aansprakelijkheid: schadevergoeding en juridische bijstand in geval van aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie;
▪ Crisismanagement: kosten (forensisch) onderzoek, PR, klant notificatiekosten, kredietbewaking, IT-diensten, cyberincident responsediensten;
▪ Boetes: kosten voor onderzoek door een toezichthouder, juridische bijstand, bestuurlijke boetes.
Extra voor Marine:
• Cyber Attack CL380 Buyback;
• Annual fleet aggregate options of: US$ 50m; US$ 75m; US$ 100m; US$ 150m;
• Customer Cargo Damage/Deterioration Mitigation Clause.
▪ Digitale media, schadevergoeding en kosten
van verweer in verband met aanspraken van
derden tegen u die voortvloeien uit uw
multimedia-activiteiten. Bijvoorbeeld smaad en
laster of plagiaat;
▪ Cyber- / privacy afpersing, waaronder
ransomware;
▪ Hacking telefooncentrale, vergoeding van de
belkosten.
▪ Cyberdiefstal: verlies van geld of geldwaarden
en/of goederen door diefstal
(let op sub limiet)
▪ Netwerkonderbreking, gederfde netto winst in
verband met netwerkonderbreking.
JLT Specialty Limited
AANDACHTSPUNTEN BIJ CYBER VERZEKERINGEN
Algemeen:
• Je eigen ICT partners benoemen op de polis
• Property wording in Cyber verzekering. Zie sanctielanden: exclusion in territory. “any loss triggered in Iran”
• Let op (te korte) termijnen bij first party schade en crisis management
• Systeem falen: moet ook derden en cloud provider benoemen
• Contractuele aansprakelijkheid vaak uitgesloten
JLT Specialty Limited
AANDACHTSPUNTEN BIJ CYBER VERZEKERINGEN
Detail niveau:
• Betterment/hardware: Het kan zijn dat een laptop niet werkt op windows 10 en windows 7 is niet meer beschikbaar.
• Bewust/Oneerlijk: je kan iets bewust doen zonder de impact/consequenties te weten.
• Redelijke/Noodzakelijke juridische kosten: Soms doe je iets wat achteraf niet nodig is.
• Digital assets: Recreatie of Reconstrueren van data: De laatste kan alleen het terughalen van data van back-up zijn.
Daarom halen wij ook altijd onze claims advocate bij het wording proces!
JLT Specialty Limited
Q&A
CONTACT INFORMATION
Sjaak Schouteren
Partner, European Cyber Team
+31 (0)6 538 172 82
https://www.linkedin.com/in/sjaakschouteren/
@Schouteren
JLT Netherlands BV
Schouwburgplein 30-34
3012 CL Rotterdam
The Netherlands
www.jltrisk.nl
ConfidentialityThe information contained within this document is strictly confidential and may not be reproduced or disclosed to any third party without the prior written approval of JLT Specialty Limited.
Intellectual Property RightsAll intellectual property rights of Jardine Lloyd Thompson Group plc, its affiliates and/or its professional advisors shall remain the property of Jardine Lloyd Thompson Group plc, its affiliates and/or its professional advisors. Nothing herein shall be construed as conferring to you by implication or otherwise any licence or right to use any intellectual property of Jardine Lloyd Thompson Group plc, its affiliates and/or its professional advisors.
Duty of DisclosureUnder the laws of England and Wales, Scotland and Northern Ireland, JLT has a duty to remind you of a policyholder's (and its insurance agent's) duty to make a fair presentation of the risk, and to disclose all material circumstances, and the consequences of not doing so. It is necessary to disclose all information which would influence the judgement of a prudent insurer in determining whether or not to accept a risk, and upon what terms. Failure to comply with this duty may give the insurer the right to void the policy from its inception, or to impose different terms, or to reduce the amount paid on any claim. If your contract is not subject to such laws, your duty of disclosure and the consequences of its breach may vary from that stated above.
For further information please refer to our Business Protocol document and if any further material requires to be disclosed or if you have any question as to what should be disclosed please refer to your normal JLT contact.