‘Mensen denken vaak: ik heb een goede firewall en virusscanner: ik ben goed beveiligd’
‘55 procent van de volwassen internetgebruikers gebruikt steeds opnieuw hetzelfde wachtwoord’
Voor veel ondernemers zijn cyberrisico’s nog altijd een ver van mijn bed show. Maar of je nu bestuurder bent bij een multinational of een eenpitter: cybercriminaliteit overkomt iedereen. De gevolgen – financieel en voor je reputatie – kunnen enorm zijn en de Meldplicht Datalekken doet daar nog een schepje bovenop.
Een financieel adviseur laat na een klantbezoek per ongeluk zijn iPad in zijn auto liggen. De iPad wordt uit de auto gestolen, waarna de data in verkeerde handen terecht komt. In no time liggen de persoonlijke gegevens van al zijn klanten – bankrekeningnummers, paspoort kopieën en BSN-nummers – op straat. De adviseur kan tijdelijk zijn werk niet doen, hij verliest het vertrouwen van zijn klanten, riskeert een fikse boete van de Autoriteit Persoonsgegevens (AP) en kan door zijn klanten aansprakelijk gesteld worden.
Het is zomaar een voorbeeld van cybercriminaliteit waar de adviseur zelf mee te maken kan krijgen. En jij – van het middelgrote MKB-bedrijf tot aan de bloemist om de hoek – ook. Firewalls die niet goed zijn geïnstalleerd, simpele wachtwoorden, een medewerker die op een foute link klikt: er hoeft maar één zwakke plek in een systeem te zitten en criminelen weten die te vinden.
De afgelopen tien jaar werden steeds meer organisaties geraakt door een datalek ‘incident’ of een cyberaanval. Ook multinationals die onaantastbaar leken, zoals Facebook, LinkedIn, Google, T-Mobile en Ziggo. Een cyberattack op het Witte Huis leidde ertoe dat toenmalig President Obama extra privacywetgeving liet doorvoeren. Wereldwijd wordt de schade als gevolg van cybercriminaliteit geschat op 400 miljard euro. Cybercriminaliteit is een mondiaal probleem. In een wereld waarin alles en iedereen door het internet met elkaar verbonden is, nemen cyberrisico’s alleen maar toe. Mensen denken vaak: ik heb een goede firewall en virusscanner: ik ben goed beveiligd. Maar internetcriminelen beschikken over de nieuwste technologie om hetzij via de voordeur, hetzij via de achterdeur binnen te dringen.
Die cyberrisico’s zijn enerzijds het lekken van data, van privacygevoelige gegevens. Dat hoeft niet alleen digitaal te zijn. Het kan ook een dossier zijn dat iemand laat rondslingeren. Anderzijds het feit dat bedrijven afhankelijk zijn van computers en software: het risico dat alles plat komt te liggen.
Verzekeringstechnisch kun je spreken van aansprakelijkheidsrisico’s en eigen schaderisico’s. Als data van consumenten op straat liggen door toedoen van een bedrijf, kunnen die consumenten dat bedrijf aansprakelijk stellen. Je leest het in de pers over grote bedrijven die gehackt worden en waar hele personeels- of klantenbestanden op straat liggen.
“Voor een bedrijf zal er in zo’n geval, naast de aansprakelijkheidsgevolgen, ook sprake zijn van eigen schade. Hierbij kan bijvoorbeeld gedacht worden aan meldingskosten, onderzoekskosten, een eventuele boete, het inschakelen van een PR-bureau of een callcenter. Maar bijvoorbeeld ook de kosten van stil liggen en de eventuele klantverliezen als gevolg van het incident.”
Cybercrime neemt zoveel verschillende gedaanten aan dat je al snel het overzicht verliest. Grote bedrijven krijgen vaak te maken met een DDoS aanval waarbij de computersystemen worden uitgeschakeld, of ze worden afgeperst na gijzeling van gegevens.
Particulieren stuiten op identiteitsdiefstal, transactiefraude, misbruik van vertrouwelijke gegevens, onbevoegd bankieren, misbruik van passwords en het ontvangen van virussen.
“Het meeste wat voorkomt is toch nog Phishing”, vertelt Andela. “Je ontvangt reclame met een link waar je op klikt. Dat leidt tot een ransomware-attack waarbij je data versleuteld worden en je gechanteerd wordt.”
Internetbeveiligingsbedrijf Symantec schat dat er elke dag 156 miljoen Phishing e-mails verstuurd worden. Ongeveer acht miljoen van deze berichten wordt geopend en op 800.000 links wordt geklikt.
Er zijn nog veel meer risico’s. Je kunt zelf goed beveiligd zijn, maar een leverancier inhuren die dat niet is, een ICT-bedrijf of een kredietbeoordelaar. En dan is er nog het risico van medewerkers die ‘thuiswerken’ met apparatuur en netwerken die vaak minder goed beveiligd zijn dan die op kantoor.
Onderzoek van de toezichthouder voor de Britse communicatiebranche Ofcom toont aan dat 55 procent van de volwassen internetgebruikers steeds hetzelfde wachtwoord gebruikt voor de meeste websites.
De ‘mens’ is en blijft dan ook de zwakste schakel als het gaat om cybersecurity. “Criminelen zoeken naar de zwakke plek in een organisatie. Dat is toch vaak een mens. Er hoeft maar één medewerker ondoordacht een Phishing-link aan te klikken en de criminelen zijn binnen.”
Cyberincidenten zijn het afgelopen jaar weer regelmatig in het nieuws geweest: gestolen wachtwoorden, gehackte accounts en DDoS-aanvallen op websites. Dergelijke incidenten hebben vaak financiële schade tot gevolg. Volgens het Verbond van Verzekeraars wordt de schade als gevolg van cyberincidenten wereldwijd op meer dan 100 miljard euro geschat. Heeft u er wel eens over gedacht om uw bedrijf te verzekeren tegen cyberrisico’s?
Een cyberrisico heeft specifiek betrekking op het financiële nadeel dat een verzekerde oploopt door of via computer- en/of ICT-systemen, zonder dat er sprake is van materiële schade. De drie voornaamste manieren waarop cyberrisico’s ontstaan zijn door een moedwillige aanval van buitenaf, een menselijke fout of door technisch falen. Deze incidenten kunnen verlies of beschadiging van data tot gevolg hebben, (on)toegankelijkheid van systemen, aansprakelijkheid, bedrijfsschade, afpersing en boetes.
Met een cyberverzekering kunt u zich tegen dergelijke financiële schade verzekeren. Wij hebben daarom onlangs ons aanbod van zakelijke verzekeringen uitgebreid met een cyberverzekering. Hiermee bent u verzekerd tegen de gevolgen van systeeminbraak, digitale aansprakelijkheid, diefstal van privacygevoelige gegevens, hacking en afpersing.