Het Verbond van Verzekeraars werkt – samen met publieke en private partijen – aan een keurmerk voor cyberrisico’s. Reinder Kruyt van het Verbond van Verzekeraars vertelt over de ontwikkelingen en plannen.
“Cyberrisico’s zijn een groeiend en moeilijk grijpbaar maatschappelijk probleem. Dat betekent dat samenwerking in de hele keten essentieel is. Zowel om het risicobewustzijn te vergroten als ook het gewenste niveau van bescherming te bereiken.” Dat zei beleidsadviseur Marko van Leeuwen van het Verbond van Verzekeraars in augustus 2017 bij de bekendmaking van de plannen voor een cyberkeurmerk. Met zo’n keurmerk kunnen bedrijven en particulieren makkelijker een vakkundig en betrouwbaar bedrijf inschakelen om cyberweerbaarheid te vergroten.
Aanpak cyberrisico’s vraagt om brede samenwerking
Het Verbond van Verzekeraars voert inmiddels intensieve gesprekken met het ministerie van Justitie en Veiligheid, het ministerie van Economische Zaken, het Centrum voor Criminaliteitspreventie en Veiligheid (CCV), de politie, MKB Nederland, VNO-NCW, Hoffmann Bedrijfsrecherche en Nederland ICT. “Cyberrisico’s zijn heel divers en bij de aanpak ervan zijn dan ook veel branches betrokken”, zegt Reinder Kruyt, beleidsadviseur bij het Verbond van Verzekeraars, over deze brede samenwerking.
Cyberrisico’s vaststellen
“Verzekeraars hebben al sinds jaar en dag ervaring met bijvoorbeeld branden en inbraken. Digitale onveiligheid is een relatief nieuw fenomeen. Er zijn wel parallellen met inbraken, maar het medium waarvan cybercriminelen gebruik maken – en de wijze waarop ze opereren – is natuurlijk heel anders”, vertelt Kruyt. “Omdat de ontwikkelingen in cybercrime snel gaan en de problematiek alleen maar groter lijkt te worden, is het lastig om de dreigingen goed in te schatten – zowel voor ondernemingen als verzekeraars. Om cyberrisico’s objectief te kunnen vaststellen, ontwikkelen we daarvoor een speciale VRKI.” De Verbeterde Risicoklassenindeling (VRKI) is van oudsher een instrument om inbraakrisico’s te bepalen. Aan de hand van die analyse kan vervolgens worden vastgesteld welk type preventiemaatregelen nodig is.
Reinder Kruyt: “Om cyberrisico’s objectief te kunnen vaststellen ontwikkelen we daarvoor een speciale VRKI.”
Gebruik maken van methodiek VRKI
Het doel van de Cyber VRKI is om bedrijven, overheden en andere stakeholders te helpen een goede risico-inschatting te maken én handelingsperspectief te bieden voor preventie. Kruyt: “Als je een gloednieuwe e-bike bij het treinstation stalt, dan is het diefstalrisico groter en ernstiger dan bij een oude stadsfiets. Dat vraagt om preventieve maatregelen die zijn afgestemd op het risico. Datzelfde principe geldt in het cyberdomein. We kunnen gebruik maken van de bestaande methodiek van VRKI om cyberrisico’s juist in te schatten.”
Van VRKI naar keurmerk
De initiatiefnemers van het Cyber VRKI werken ook aan een bijbehorend keurmerk. “Het cyberkeurmerk geeft afnemers van cyberdiensten de garantie dat het bedrijf op de juiste manier naar cyberrisico’s kijkt, betrouwbaar is en goede kwaliteit levert. Dat helpt om de optimale preventieve maatregelen te nemen.”
Verzekeringen zijn in feite het sluitstuk van risicomanagement
De betrokkenheid van verzekeraars bij de preventie van cybercrime ligt volgens Kruyt voor de hand. “Het Verbond van Verzekeraars deelt regelmatig via zijn leden – schade- en levensverzekeraars en bedrijven die zich toeleggen op banksparen voor de oude dag en premiepensioeninstellingen – expertise om de samenleving veiliger te maken. Zo werkten verzekeraars mee aan de ontwikkeling van nieuwe richtlijnen voor elektrakeuringen.” Bovendien houdt de verzekeringsbranche zich nadrukkelijk bezig met risicomonitoring. “Verzekeringen zijn in feite het sluitstuk van risicomanagement. Na een risico-inventarisatie neem je eerst preventiemaatregelen. Voor de risico’s die je dan overhoudt en zelf niet kunt dragen, kan je een verzekering afsluiten. Bij cybercrime is preventie best moeilijk, vooral voor mkb’ers. Grote ondernemingen hebben vaak een eigen IT-afdeling met security-expertise. Maar mkb’ers hebben vaak niet veel bewustzijn en kennis van cyberrisico’s.” Het Cyber VRKI creëert een gedeeld kader en gemeenschappelijke taal om de risico’s te beoordelen. Als uit de analyse blijkt dat er externe expertise nodig is om preventie ter hand te nemen, helpt het bijbehorende keurmerk ondernemers om een geschikte aanbieder te vinden.
Gemeenschappelijk begrip van bestaande cyberrisico’s
Het cyberkeurmerk staat los van de cyberverzekeringen die een groeiend aantal verzekeraars aanbieden, benadrukt Kruyt. “De inzet van VRKI heeft geen directe invloed op verzekeringspolissen of -voorwaarden. Het doel is een gemeenschappelijk begrip van de cyberrisico’s die er zijn. Je kunt de Cyber VRKI dus ook gebruiken zonder dat je tot een verzekering overgaat. En iedere verzekeraar zal uiteindelijk zelf de voorwaarden bepalen voor het verzekeren van cyberrisico’s.”
De waarde van de Cyber VRKI ligt in de risicobewustwording die het instrument stimuleert
Kennis als preventie
Volgens het Verbond van Verzekeraars ligt de waarde van de Cyber VRKI voor een groot deel in de risicobewustwording die het instrument stimuleert. “In Engeland heeft de overheid, als onderdeel van de landelijke cybersecuritystrategie, de zogenoemde Cyber Essentials in het leven geroepen. In vijf stappen leren burgers omgaan met de belangrijkste cyberrisico’s. Zo’n basisniveau van kennis is een eerste stap op weg naar preventie. Tegelijkertijd stimuleert de overheid onder de noemer van Cyber Essentials bedrijven om zich te beveiligen tegen de meest voorkomende cyberdreigingen, onder meer via een certificeringsprogramma.” In Nederland zouden de Cyber VRKI en het bijbehorende keurmerk een vergelijkbare functie kunnen vervullen.
Schade door cybercrime is niet altijd direct zichtbaar
De Cyber VRKI wordt naar verwachting binnen een jaar gelanceerd. Tot die tijd kunnen bestaande methodieken een bijdrage leveren aan risicobeheersing, zegt Kruyt. “Het is altijd van belang om de kritische elementen van het gehele bedrijfsproces boven tafel te krijgen. Op basis daarvan kan je de impact van alle risico’s bepalen. Bedenk eens wat het uitvallen van een specifiek proces betekent voor de bedrijfscontinuïteit. Uit de brandpraktijk weten we dat ook als een brand geblust is een onderneming over de kop kan gaan. Bijvoorbeeld omdat producten tijdelijk niet geleverd kunnen worden en klanten daardoor overstappen naar een concurrent. Iets vergelijkbaars geldt voor cybercrime. Zelfs mkb’ers die denken dat er in hun bedrijf niets te halen valt, kunnen met flinke schade door cybercrime te maken krijgen. Zo waarschuwde de AIVD eens dat cybercriminelen offertes stelen uit computersystemen. Dan lijkt het misschien alsof je geen schade hebt, maar je bent er wel een opdracht door misgelopen.”
Lynsey Dubbeld is communicatieadviseur, contentstrateeg, trendanalist en copywriter
> Wilt u weten hoe u de digitale weerbaarheid van uw organisatie kunt vergroten, download dan hier de whitepaper Trends in cybersecurity.