Lek: risicobeheer cyber en data

Lek: risicobeheer cyber en data

Maandag 18 september 2017

Lek

Waarom risicobeheer voor cybercrime en datalekken zo belangrijk is voor uw bedrijf

Data is geld waard. Veel geld. Niet voor niets maakte BMW afgelopen juni als eerste autofabrikant bekend hun ‘car-data’ actief te gaan vermarkten. Maar er is ook een keerzijde. Kwaadwillende hackers verdienen aan de schemerzijde van het internet kapitalen door vertrouwelijke informatie te verkopen op de zwarte markt. Of door fraude te plegen met gestolen BSN-nummers.

De gevolgschade voor gehackte bedrijven is groot en kan al gauw oplopen tot enkele tonnen of meer. Het gaat bovendien niet alleen om cybercrime; de schade van een datalek door onzorgvuldigheid kan even groot zijn. Experts roepen op tot een actieve houding en verantwoord risicobeheer.

Adviesgesprek risicobeheer cyberaanvallen

Cybercrime: actieve houding bedrijfsleven nodig

Het bleek al in 2015 na onderzoek in opdracht van Ernst & Young: alleen een actieve houding van het bedrijfsleven kan de toenemende internetcriminaliteit voldoende weerstand bieden. Inmiddels experimenteert TNO in het recent geopende Cyber Threat Intelligence Lab met nieuwe technologieën. Aansluitend heeft de overheid de regelgeving verscherpt om u – als potentieel doelwit – te motiveren ook zelf technische en organisatorische maatregelen te nemen.

Dat betekent niet dat ondernemers wakker hoeven te liggen van mogelijke aansprakelijkheidsclaims in geval van een datalek, of van het bedrag dat door criminelen wordt geëist in geval van ransomware. Wat ondernemers zich moeten realiseren is dat er een ongelofelijke hoeveelheid verplichtingen op hen af komt wanneer zij slachtoffer worden van een datalek of cybercriminaliteit. Wanneer namelijk blijkt dat zij onvoldoende voorbereid waren, worden zij een prooi van de Autoriteit Persoonsgegevens met kans op hoge boetes. Maar wanneer zij via een protocol hebben vastgelegd wat te doen in die gevallen, wordt de schade zoveel mogelijk beperkt.

Het protocol datalekken

Een kijkje in het handboek van gespecialiseerde adviseurs geeft helderheid in wat ondernemers bij een datalek te doen staat. Bedrijven en instellingen moeten - samen met hun adviseur - een protocol opstellen waarmee iedereen binnen hun organisatie weet wat er van hem of haar wordt verwacht. Er komt nogal wat bij kijken wanneer er een datalek of hack heeft plaatsgevonden.

Allereerst moet u identificeren wat er precies is gebeurd. Mogelijk moet u specialisten inhuren om te helpen problemen te ontcijferen en systemen weer bruikbaar te maken. Vervolgens moet worden uitgezocht wiens privacygevoelige informatie is gelekt: deze personen moeten worden geïnformeerd. Uw reputatie is hierin ook belangrijk: partijen zullen naar u wijzen wanneer door u gelekte informatie op verkeerde plekken opduikt. Een goed communicatiebureau kan dat managen.

In geval van ransomware ligt de overweging voor de hand om de criminelen dan maar te betalen, maar wij adviseren om hier vanaf te zien. De kans is groot dat je binnen afzienbare tijd opnieuw aan de beurt bent en de privacywetgeving is daar niet van gediend. Het is beter om een nieuw computersysteem in werking te stellen en via back-ups te proberen om informatie terug te krijgen.

Verantwoord risicobeheer en de cyberverzekering

Een netwerk van financiële, juridische en technische specialisten kan de impact voor uw bedrijf verkleinen. Het grootste deel van de te maken kosten ligt bij een datalek of een hack aan de kant van de dienstverlening van alle partijen die u moet inschakelen om de schade te beheersen. Naast deze kosten kunnen de kosten van bedrijfsstilstand fors oplopen. Wanneer een week lang alle medewerkers niet declarabel zijn, dan gaat het om forse bedragen. En dan is het nog maar hopen dat alle dossiers weer helemaal hersteld kunnen worden. Tot slot loopt u nog het risico dat de Autoriteit Persoonsgegevens een boete oplegt of dat een benadeelde, wiens gegevens gelekt zijn, u aansprakelijk stelt.

Een goede verzekering dekt veel kosten. Het dekt niet de buikpijn, de onzekerheid en stress in de organisatie en voorkomt niet dat er waarschijnlijk een litteken zichtbaar blijft. Het voorkomt wel dat de schade groter wordt dan die al was en voorkomt een groot financieel verlies.

Met de vier V’s van verantwoord risicobeheer kan een goede verzekeringsadviseur ondernemers helpen om deze digitale risico’s op de juiste wijze te beoordelen:

  1. Sommige problemen kun je Voorkomen.
  2. Je kunt de kans Verlagen, dan wel de impact verminderen.
  3. Sommige zaken kan je Verdragen, bijvoorbeeld in de vorm van een eigen risico.
  4. Risico’s die je niet kunt dragen moet je Verzekeren.

Het draait allemaal om bewuste keuzes maken. Welke risico’s kan ik vermijden, welke accepteer ik en welke houd ik buiten mijn bedrijf door ze te verzekeren? Ik begrijp dat een ondernemer of bestuurder vaak andere interesses heeft. Zolang je je maar door experts laat voorlichten om daar vervolgens zelf een bewuste keuze in te maken. Dan ben je voldoende actief om effectief cyberrisico’s of de gevolgen daarvan uit je organisatie te weren.

Specialist in cyber- & datarisico's

Een goede adviseur zal – rekening houdend met uw risicogebied – een passende cyberverzekering kunnen aanbieden. Bij VMD Koster hebben wij vijf gespecialiseerde risicomanagers in dienst die periodiek met bedrijven in gesprek gaan om te kijken of de polis nog aansluit bij de actualiteit. Alle vijf zijn zij uitstekend getraind op het gebied van cyberrisico’s. In de binnendienst worden zij ondersteund door twee productspecialisten. Samen kunnen zij maatwerk voor u verzorgen. Ook omdat uw vaste adviseur uw bedrijf, branche en omgeving goed kent.

Advies over de cyberverzekering van VMD Koster