De Allianz Risk Barometer 2020 laat er geen twijfel over bestaan: cyberincidenten zijn het grootste bedrijfsrisico, aldus ruim 2.700 riskmanagementexperts. Het aantal hacks stijgt, criminelen eisen hogere losgeldbedragen, phishingmails zien er steeds realistischer uit en datalekken hebben zwaardere gevolgen.
Toch bestaat er met name bij het MKB nog een blinde vlek voor deze gevaren. ‘Mijn IT’er regelt dat’ en ‘daar hoef ik me toch niet voor te verzekeren’, zijn veelgehoorde misvattingen. Natuurlijk moet die IT-oplossing er komen, maar de laatste jaren zijn de aansprakelijkheidsrisico’s, reputatieschade en de kosten voor crisismanagement enorm gegroeid. Aan de hand van een aantal praktijksituaties wordt in dit artikel het belang van een cyberverzekering toegelicht.
Cyber is een onlosmakelijk onderdeel van het totale risicomanagement van een onderneming
Ondernemers zijn voortdurend bezig om hun bedrijf te optimaliseren. En dat gaat vaak samen met automatisering en digitalisering, maar ook met nieuwe risico’s. De digitale risico’s kunnen inmiddels niet meer los worden gezien van andere bedrijfsrisico’s. Deze hebben hoe dan ook een enorme impact op een onderneming. Cyber is daarmee dus een onlosmakelijk onderdeel van het totale risicomanagement van een onderneming.
Wat kan mij nou gebeuren?
Veel ondernemers weten dat er inderdaad zoiets als cyber is, maar denken dat hun bedrijf zo’n calamiteit niet zal overkomen. Genoemde redenen zijn bijvoorbeeld dat men vindt dat het bedrijf geen doelwit is, dat het bedrijf in de cloud werkt, of dat hun IT’er aangeeft dat alle systemen goed beveiligd zijn. Kortom, alles onder controle en een cyberverzekering is (lijkt?) niet nodig.
De volgende praktijksituaties illustreren het belang van een cyberverzekering en laten zien dat zo’n verzekering meer dekt dan alleen de kosten die een IT-oplossing met zich meebrengt.
Datalek
Stel, een ondernemer krijgt te maken met een fout van een medewerker die een e-mail met een database van de klanten naar een verkeerd e-mailadres heeft gestuurd. Of men gaat over naar een nieuw computersysteem en dat daarna het oude systeem nog voor de zekerheid open blijft staan. Vervolgens wordt dit systeem niet meer onderhouden en er wordt op ingebroken. Of een medewerker gaat uit dienst, maar hij heeft met een wachtwoord nog toegang en maakt een kopie van een bepaald cloud-bestand met alle klantgegevens of andere gevoelige data.
In deze voorbeelden is er sprake van een datalek. De ondernemer zal al deze klanten moeten informeren. Hoe gaat hij dat doen? Wat gaat hij zeggen? Wat vertellen de medewerkers aan de buitenwereld? Wanneer gaat hij zijn klanten informeren? In veel gevallen dient er bovendien een melding bij de Autoriteit Persoonsgegevens te worden gedaan. En de kans bestaat dat 1 of meerdere personen de ondernemer aansprakelijk gaan stellen. Hij krijgt te maken met imagoschade. Er komt dus in een kort tijdsbestek heel veel op de ondernemer af. En dan moet het probleem nog steeds worden opgelost.
Ransomware
Ransomware is een vorm van cybercrime, waarbij criminelen een computersystemen ‘gijzelen’. Ze kidnappen bestanden, waardoor er geen toegang meer is tot administratie, klantgegevens of andere belangrijke documenten. Ook kan een productieproces stilgelegd worden. Een ondernemer kan dan geen kant meer op, totdat het geëiste losgeld betaald wordt. En dat kunnen zeer forse bedragen zijn. Van enkele (tien)duizenden euro’s tot zelfs miljoenen bij grote ondernemingen.
Uiteraard kan dit gebeuren, omdat een specifieke onderneming door een hacker bewust wordt aangevallen. Bijvoorbeeld omdat het een groot bedrijf is, of omdat er waardevolle data beschikbaar zijn, of omdat blijkt dat het om een makkelijke target gaat. Maar dit kan ook heel breedschalig gebeuren als criminelen duizenden e-mails met daarin een virus versturen, in de hoop dat een enkeling het fatale bestand zal openen.
Gehackt, wat nu?
Wat moet een ondernemer allemaal doen als zijn bedrijf toevallig ook zo’n e-mail ontvangt en een medewerker deze opent? Met welke schade wordt de ondernemer dan geconfronteerd? Ten eerste kunnen de bedrijfsactiviteiten stilvallen. Er moet door specialisten onder andere onderzocht worden wat de schade is, of er data verdwenen is, en of gegijzelde data weer te ontsleutelen is? Wellicht wordt er losgeld in bitcoins gevraagd. Is het dan verstandig om te betalen? En hoe moet je dan betalen? En wat moet er gedaan worden om herhaling te voorkomen? Ook hier geldt: wat moet er gecommuniceerd worden aan klanten, leveranciers en medewerkers? Misschien is er wel een back-up, maar kan deze zomaar teruggezet worden?
Vergelijking met een brandverzekering
Vrijwel elke onderneming heeft een goederen-/inventarisverzekering en een bedrijfsschadeverzekering. Ook het gebouw zelf zal verzekerd zijn. In het gebouw zit een alarm met doormelding, zijn er blusmiddelen, sprinklers en brandwerende deuren of muren. En ondanks al deze preventieve maatregelen is er toch een brandverzekering afgesloten voor als het fout gaat.
Met een cyberverzekering is het net zo. Er kunnen zeer goede preventieve IT-maatregelen genomen zijn, maar kan een onderneming het aan wanneer men te maken krijgt met bijvoorbeeld een ransomware-aanval waardoor de bedrijfsactiviteiten drie weken stilliggen? Of wanneer er op het netwerk aangesloten machines stilstaan? Hoe vangt de ondernemer de aanzienlijke kosten op als hij aansprakelijk gesteld wordt? Hoe pakt reputatieschade uit voor een ondernemer en welke communicatie-activiteiten moet hij doen om deze te beperken?
Wat zou jij doen?
Vertel jij je klanten dat je bedrijf stilligt, omdat je bent gehackt? Veel ondernemers hebben een gevoel van schaamte als ze het slachtoffer zijn van cybercrime.
Ga met het beantwoorden van de volgende vragen voor jezelf maar eens na wat je doet als je constateert dat je te maken hebt met ransomware en je bedrijf stilligt:
- Heeft jouw bedrijf hiervoor een bedrijfscontinuïteitsplan? Of moet je ter plekke bedenken wat je moet doen?
- Wie ga je bellen; en is diegene gespecialiseerd in ransomware? En zo niet, wat dan?
- Wat ga je jouw klanten vertellen en wanneer?
- Je krijgt een voorstel om 1 procent van jouw omzet in bitcoins aan losgeld te betalen, waarna hackers beloven dat de data weer ontsleuteld wordt. Zou je dit doen? En hoe?
- Je krijgt te maken met allerlei aansprakelijkheidsclaims? Wie ondersteunt je hierbij?
- Jouw bedrijf krijgt te maken met imagoschade. Wellicht kiezen jouw klanten voor andere leveranciers? Of raken ze geïrriteerd of verontrust omtrent het uitblijven van een levering? Of jouw bedrijf komt in de publiciteit omtrent de hack. Hoe ga je hiermee om?
Cyberverzekering
Een cyberverzekering biedt in dergelijke gevallen ondersteuning door experts en beschermt een ondernemer tegen schade door een cyberincident. Die schade kan optreden op verschillende gebieden: aansprakelijkheid, eigen bedrijfsschade, en de kosten van crisismanagement.
Een goede cyberverzekering geeft 24/7 toegang tot een crisisteam. Dit team omvat specialisten in verschillende disciplines op het gebied van cybercrime en cybersecurity, maar bijvoorbeeld ook op het gebied van externe crisiscommunicatie, forensisch onderzoek, forensische accountancy, juridisch verweer en public relations.
Voorkomen is beter dan genezen
Wil je eenvoudig en snel inzicht krijgen over de cyberrisico’s die jouw bedrijf wellicht loopt? Doe dan eens een risicoscan (bijvoorbeeld: Allianz Cyber Risicoscan) en neem vervolgens de juiste voorzorgsmaatregelen. Zorg er ook voor dat IT jouw preventie up-to-date houdt en dat jouw beleid op orde is en blijft.
Jaap de Lange, Productmanager Allianz