CYBER RISK MANAGEMENT

IRO: CYBER RISICO'S & CYBER VERZEKERINGEN

februari 2019

EVEN VOORSTELLEN: SJAAK SCHOUTEREN, CIPP/E

Titel: Partner European Cyber/Tech E&O Team

Rol: Business Development/ Cyber Consultant

Contact gegevens:

E-mail: sjaak.schouteren@jltrisk.nl

Mobiel + 31 (0)6 538 172 82

• Certified Information Privacy Professional/Europe (CIPP/E)

• Lead Auditor ISO 27001

• Oud voorzitter Cyber platform VNAB

• Expert ShoppingTomorrow

• NARIM Award 2014

JLT Specialty Limited

WHAT IS YOUR PASSWORD?

4

30% of cyber

claims involve

insiders

13% of cyber claims

attributable to

vendors

JLT Specialty Limited

5JLT SPECIALTY LIMITED

6JLT Specialty Limited

CYBER RISK

MANAGEMENT

= MEER DAN

IT SECURITY

- 100% VOORKOMEN IS EEN ILLUSIE -

RANSOMWARE RUKT OP

EVOLUTIE CYBER CRIMINALITEIT

Scareware:

Hacking/Stelen v. data (Creditcard 2011 - EUR 21; 2016 - EUR 5)

Ransomware Ransomware as a Service (RaaS)

(2011 – EUR 250; 2017 – EUR 920)

CryptoJacking

JLT Specialty Limited

WAT VERDIENT EEN CYBER CRIMINEEL?

Investeringen

Aanschaf 100.000 records/e-mail adressen: EUR 500

Aanschaf phishing mail: EUR 500

Aanschaf ransomware: EUR 500

Totaal EUR 1.500

Verdiensten

Stel van de 100.000 klikt 5% op link in de mail.

Van die 5.000 heeft 80% goede beveiliging.

Houden we 1.000 over waar we binnen zijn.

Van die mensen gaat slechts 5% uiteindelijk betalen.

Is 50 * EUR 250 = EUR 12.500

Break even point is bereikt bij 6 mensen die betalen.

Dat is 0,006% van de populatie!

JLT Specialty Limited

CYBER CRIME ALLEEN VOOR WHIZZKIDS?

JLT Specialty Limited

EEN KIND KAN DE WAS DOEN!

JLT Specialty Limited

EEN KIND KAN DE WAS DOEN!

JLT Specialty Limited

DE MENS BLIJFT DE ZWAKSTE SCHAKEL

JLT Specialty Limited

JLT Specialty Limited

100% VOORKOMEN

IS EEN ILLUSIE

FOCUS DUS

(OOK) OP IMPACT

WAT ZIJN JE KROONJUWELEN?

Verschilt:

• Per organisatie

• Per momentum

• Per functie/rol

• Let op shadow IT

• Doorbreek de silo’s

JLT Specialty Limited

WAT GAAT U DOEN?

Wanneer u maandagochtend op kantoor komt blijkt belangrijke bestanden waaronder persoonsgegevens zijn versleuteld. Hierdoor valt uw bedrijf stil en kunnen klanten niet meer bediend worden.

Tevens bestaat de kans dat binnen enkele uren data wordt gelekt indien er niet wordt betaald.

Welke vragen komen er nu naar boven?

• Wie doet het gele hesje aan?

• Is er sprake van een datalek?

• Moeten we betalen (en hoe)?

• Wat zijn de gevolgen op korte termijn?

• Wat zijn de gevolgen op lange termijn?

• Hoe weet ik of ze niet in andere systemen zitten?

• Zijn we verzekerd?

• Hadden we dit niet moeten oefenen?

• Wie is aansprakelijk?

JLT Specialty Limited

JLT’S CYBER PROCESS

2 3 41

Risk Discovery

▪ Exploratory workshop with internal

stakeholders

▪ Identify or expand on key cyber loss

scenarios

▪ Touch on risk mitigation for key risks

Submission Preparation

▪ Populate Data Organiser

▪ Benchmark output against peers

▪ Focus on additional information in low

maturity domains

Risk Quantification

▪ Basis is output of risk and maturity

assessment

▪ Model is grounded in claims emergence

fundamentals supported by risk

scenarios

Gap Analysis

▪ Analyse affirmative and silent cyber in

current insurance portfolio

▪ Provide a clear understanding of gaps

and overlaps in order to create custom

cyber specification

Custom Wording

▪ Translate results of earlier phases into

either specific coverage requirements or

fully bespoke wording

Insurance Marketing

▪ Execution of the marketing plan

▪ Negotiations on price, retention,

capacity, and coverage with primary and

excess markets

▪ Resolution of subjectivities

Programme Design

▪ Initial market exploration including

scoping of access points against existing

relationships

▪ Structure Planning

Presentation of Programme

▪ Clear articulation of the value of the new

insurance solution in terms of cost and

volatility analysis of cyber risk

▪ NPV analysis on the efficiency of solution

▪ Support in board papers and

management presentation of new

insurance solution

Incident Table top Exercise(s)

▪ Practice the insurance response with a

given scenario

▪ Facilitated by JLT and/or

insurers/response partners

Onboarding Session(s)▪ Communicate value of new insurance to

stakeholders

▪ Cement escalation and claims/incident

reporting process

▪ Validate selection of incident response

vendors

Claims advocacy services

▪ Senior legal and technical team involved

in your claim from the start

▪ Smooth management of communication

and escalation on complex claims

JLT Specialty Limited

IDENTIFY

RISK DISCOVERY• Exploratory workshop with

internal stakeholders

• Identify or expand on key cyber loss

scenarios

• Touch on risk mitigation for key risks

THREAT VECTOR ANALYSIS• Layer on top of Risk Discovery Session

to identify key threat actors

• Evaluate critical values at risk

• Output is a set of key cyber risk

scenarios, which form the basis

for a financial analysis

REINFORCE

INVEST

ASSESS

IDENTIFY

JLT Specialty Limited

22

ASSESS PHASESUBMISSION PREPARATION

1

2

3

4

5IT Architecture

IT Asset Management

Cyber Awareness

Threat and…

Data Infrastructure

Data Protection

IT Governance

Host securityIdentity and Access…Incident Management

Network Security

IT Operations

Privacy

IT Security Monitoring

Software Security

IT Strategy

Third Party Mgmt

Cyber Maturity Benchmarking

Banking Sector Average Company A

JLT Specialty Limited

23

ASSESS PHASESUBMISSION PREPARATION

2017

2016

36%

24%

18%

14%

10%

18%

20%

23%

15%

18%

22%

13%

24%

30%

22%

24%

13%

24%

30%

34%

44%

21%

27%

25%

30%

34%

44%

21%

27%

25%

30%

34%

44%

21%

27%

25%

20%

20%

11%

43%

19%

17%

13%

16%

26%

17%

13%

16%

26%

17%

13%

16%

26%

10%

18%

13%

16%

26%

17%

19%

17%

13%

16%

19%

17%

13%

16%

19%

17%

13%

16%

5%

5%

13%

7%

17%

23%

18%

10%

2%

28%

19%

29%

7%

3%

2%

22%

21%

18%

- Threat and Vulnerability Management

- Network Security

- IT Security Monitoring

- Data Recovery & Business Interruption

- Identity and Access Management

- Software Security

- Data Protection

- Host security

- Incident Management

- Third Party Mgmt

- Privacy

- IT Operations

- Cyber Awareness

- Data Infrastructure

- IT Asset Management

- IT Governance

- IT Strategy

- IT Architecture

1 - Initializing 2 3 4 5 - Optimizing

Year over Year Comparison

JLT Specialty Limited

24

ASSESS PHASE - QUANTIFICATIONCOST AND VOLATILITY ANALYSIS

Average 1 in 100 1 in 250 1 in 1000

Estimated Number of

Unique PII Records 25,004,800 €661.9M €1,746.2M

Economic Sector Retail

Type of Company Private €94.5M €259.8M

Number of Employees 15,000

Revenue 28,000,005,000 €684.7M €2,892.8M

Profit Margin % 22%

Risk Rating (out of 10) 3.5 €24.4M €75.7M

PCI Data Yes

€337.6M €1,177.1M

Total $0.0M

Conclusion

Option X most efficiently mitigates the potential volatility of cyber risk with a cost of Y.

Recommended Cyber Insurance Limits

Conservative Moderate Risk Tolerant

Risk Parameters Cyber Loss Frequency and Severity

Frequency

Severity when a claim occurs

Data Breach Liability (including

defence , PCI related liability,

and regulatory investigations)

9.35% €14.06M €299.0M

PCI DSS Non-Compliance Fines 7.55% €1.93M €41.1M

Cyber Business Interruption 4.75% €21.78M €251.8M

Cyber Extortion 2.08% €0.40M €7.7M

Data Asset Loss 1.84% €5.96M €87.6M

x to x x to x x to x

$0.0M

$5.0M

Program 1 Program 2 Program 3

Average Cost

€0.0M€10.0M€20.0M€30.0M€40.0M€50.0M

Program 1 Program 2 Program 3

1-in-100 Year Event

What can we do?

• Using loss data and our expert experience, JLT has built a set of frequency assumptions for different aspect of cyber loss.

• Based on your risk parameters we modify the assumptions and model the potential severity of cyber incidents.

• We then run simulations of these frequency and severity outputs

• We can recommend conservative, moderate, and risk tolerant limits of cyber insurance

JLT Specialty Limited

25

GAP ANALYSIS

ASSESS PHASE

JLT Specialty Limited

Cyberverzekering nader bekeken

JLT Specialty Limited

VERZEKERINGSDEKKING

Aansprakelijkheidsrisico’s (Third Party) Brand Elektronica Aansprakelijkheid D&O Beroepsaansprakelijkheid Crime Cyber

Ongeautoriseerde toegang op netwerk of systeem X X X X √ X √

Aansprakelijkheid verlies van persoonsgegevens X X X X √ X √

Externe kosten ter beperking en voorkoming van (gevolg)schade √ X X X √ X √

Reputatieschade X X X X √ X √

Verlies van bedrijfsinformatie X X X X √ X √

Blokkering toegang door frauduleuze handelingen X X X X √ X √

Eigen schade (First Party)

Bedrijfsstilstand a.g.v. een cyberevent (verlies netto winst) X X X X X X √

Bedrijfsstilstand a.g.v. een programmeerfout X X X X X X X

Eigen kosten a.g.v. een programmeerfout X X X X X X X

Schade door misbruik van een programmeerfout X X X X X √ √

Externe kosten ter beperking en voorkoming van (gevolg)schade X X X X X √ √

Eigen kosten ter beperking en voorkoming van (gevolg)schade √ X √ X X √ √

Notificatiekosten X X X X X X √

Financiële schade door diefstal gegevens X X X X X √ √

Boetes t.g.v. overtreding wetgeving (civiele boetes) X X X X X X √

Crisismanagement, beredderingskosten X X X X X √ √

Kosten forensisch onderzoek, PR ondersteuning X X X X X √ √

Vervanging van hardware/software X √ X X X X X

Juridische kosten; terugvorderen frauduleuze of cyber gerelateerde schade X X X X X √ √

VERZEKEREN VAN UW DATA EN PRIVACY RISICO: CYBERDEKKING

• Financiële waarborg voor vervolgkosten na eigen schade (‘first party’)

− Kosten voor IT-forensics / reconstructie van data

− Kosten voor juridische ondersteuning

− Kosten voor crisismanagement/crisiscommunicatie

− Kosten gemoeid met continuïteitsverlies

− Kosten als gevolg van de meldplicht en (bestuurlijke) boetes

− Schade als gevolg van identiteitsfraude

• Financiële waarborg bij schade voor derden (‘third party’)

− Aansprakelijkheidsclaims

FIRST PARTY

THIRD PARTY

JLT Specialty Limited

DEKKINGEN CYBERVERZEKERING

Dekkingen van een standaard Cyberverzekering:

▪ Aansprakelijkheid: schadevergoeding en juridische bijstand in geval van aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie;

▪ Crisismanagement: kosten (forensisch) onderzoek, PR, klant notificatiekosten, kredietbewaking, IT-diensten, cyberincident responsediensten;

▪ Boetes: kosten voor onderzoek door een toezichthouder, juridische bijstand, bestuurlijke boetes.

Extra voor Marine:

• Cyber Attack CL380 Buyback;

• Annual fleet aggregate options of: US$ 50m; US$ 75m; US$ 100m; US$ 150m;

• Customer Cargo Damage/Deterioration Mitigation Clause.

▪ Digitale media, schadevergoeding en kosten

van verweer in verband met aanspraken van

derden tegen u die voortvloeien uit uw

multimedia-activiteiten. Bijvoorbeeld smaad en

laster of plagiaat;

▪ Cyber- / privacy afpersing, waaronder

ransomware;

▪ Hacking telefooncentrale, vergoeding van de

belkosten.

▪ Cyberdiefstal: verlies van geld of geldwaarden

en/of goederen door diefstal

(let op sub limiet)

▪ Netwerkonderbreking, gederfde netto winst in

verband met netwerkonderbreking.

JLT Specialty Limited

AANDACHTSPUNTEN BIJ CYBER VERZEKERINGEN

Algemeen:

• Je eigen ICT partners benoemen op de polis

• Property wording in Cyber verzekering. Zie sanctielanden: exclusion in territory. “any loss triggered in Iran”

• Let op (te korte) termijnen bij first party schade en crisis management

• Systeem falen: moet ook derden en cloud provider benoemen

• Contractuele aansprakelijkheid vaak uitgesloten

JLT Specialty Limited

AANDACHTSPUNTEN BIJ CYBER VERZEKERINGEN

Detail niveau:

• Betterment/hardware: Het kan zijn dat een laptop niet werkt op windows 10 en windows 7 is niet meer beschikbaar.

• Bewust/Oneerlijk: je kan iets bewust doen zonder de impact/consequenties te weten.

• Redelijke/Noodzakelijke juridische kosten: Soms doe je iets wat achteraf niet nodig is.

• Digital assets: Recreatie of Reconstrueren van data: De laatste kan alleen het terughalen van data van back-up zijn.

Daarom halen wij ook altijd onze claims advocate bij het wording proces!

JLT Specialty Limited

Q&A

CONTACT INFORMATION

Sjaak Schouteren

Partner, European Cyber Team

+31 (0)6 538 172 82

Sjaak.schouteren@jltrisk.nl

https://www.linkedin.com/in/sjaakschouteren/

@Schouteren

JLT Netherlands BV

Schouwburgplein 30-34

3012 CL Rotterdam

The Netherlands

www.jltrisk.nl

ConfidentialityThe information contained within this document is strictly confidential and may not be reproduced or disclosed to any third party without the prior written approval of JLT Specialty Limited.

Intellectual Property RightsAll intellectual property rights of Jardine Lloyd Thompson Group plc, its affiliates and/or its professional advisors shall remain the property of Jardine Lloyd Thompson Group plc, its affiliates and/or its professional advisors. Nothing herein shall be construed as conferring to you by implication or otherwise any licence or right to use any intellectual property of Jardine Lloyd Thompson Group plc, its affiliates and/or its professional advisors.

Duty of DisclosureUnder the laws of England and Wales, Scotland and Northern Ireland, JLT has a duty to remind you of a policyholder's (and its insurance agent's) duty to make a fair presentation of the risk, and to disclose all material circumstances, and the consequences of not doing so. It is necessary to disclose all information which would influence the judgement of a prudent insurer in determining whether or not to accept a risk, and upon what terms. Failure to comply with this duty may give the insurer the right to void the policy from its inception, or to impose different terms, or to reduce the amount paid on any claim. If your contract is not subject to such laws, your duty of disclosure and the consequences of its breach may vary from that stated above.

For further information please refer to our Business Protocol document and if any further material requires to be disclosed or if you have any question as to what should be disclosed please refer to your normal JLT contact.