DIGITALE RISICO’S, 2016 SCHOUTEN ZEKERHEID CYBERCRIMINALITEIT Dé tip voor ondernemers: laat uw bedrijf eens hacken Pagina 12 Tip: laat uw bedrijf preventief hacken Digitale risico’s zijn voor veel ondernemers nog ongrijpbaar Pagina 8 De vraag is niet óf een datalek zich zal voordoen, maar wanneer Pagina 11
Een nieuwe vorm van ondernemen zzp’ers in Nederland al wel slachtoffer is geworden van cybercriminaliteit. Wereldwijd gezien gaat het nog verder: per seconde worden 18 mensen slachtoffer van een cybercrimineel. Dat is 4 keer zoveel als het aantal baby’s dat per seconde wordt geboren. Rob van Os, Algemeen Directeur Heeft u een alarminstallatie op kantoor? Waarschijnlijk wel, want u wilt inbrekers buiten de deur houden. En de kans is groot dat u ook een camera heeft die ongewenste bezoekers op video zet en goede sloten op alle toegangsdeuren. Maar hoe zit het digitaal? Heeft u ook een digitale alarminstallatie? Of digitale buren die een oogje in het zeil houden? De wereld digitaliseert, dat is wel duidelijk. We kunnen bijna niet meer zonder onze computers en internet. Dat daarmee ook de risico’s digitaliseren, willen nog niet alle ondernemers inzien. Terwijl ruim 25% van de mkb’ers en Het digitale risico is dus een risico waar we met z’n allen niet meer omheen kunnen. Maar voor veel ondernemers is het nog wat ‘vaag’. Dat herken ik helemaal. Ransomware, malware, hackers, DDoS… Ik moet eerlijk zeggen dat ook ik voordat deze krant gemaakt werd van veel van deze termen nog nooit had gehoord. Virussen, ja, phisingmails, ja, en ook de zin ‘hang op, klik weg, bel uw bank’ klinkt bekend. Maar verder dan dat… Zo leerde ik tijdens het maken van deze krant dat een goede cybercrimineel tonnen verdient met een goede hack. En dat het vaak niet gaat om een eenzame jongeman achter zijn computer op de zolderkamer van zijn ouders, maar om goed geoliede organisaties, met betaald personeel, een helpdesk en marketingafdeling. Cybercriminaliteit lijkt bijna op ondernemen. Het is alleen belangrijk om geen klant van deze organisatie te worden. Maar hoe erg je ook je best doet om cybercriminelen uit de buurt te houden, helemaal buiten de deur houden lukt bijna niet. En dan spreek ik uit ervaring. Ondanks alle inzet en middelen van onze IT-afdeling, zijn ook bij ons virussen binnen gedrongen via een foute link op een website of e-mail. En ook van onze relaties horen we helaas genoeg voorbeelden. Zoals van een klant waar de telefooncentrale gehackt werd en er een weekend lang veelvuldig naar het buitenland werd gebeld. bedreigingen moet de aandacht krijgen die het verdient. Ook op directieniveau. Zeker nu het niet meer de vraag is óf uw bedrijf gehackt wordt, maar wanneer. In deze krant hebben we de digitale risico’s van diverse kanten belicht om het risico voor u zo tastbaar mogelijk te maken. Denk aan de preventieve kant, de juridische kant en de verzekeringstechnische kant. Ook komen ‘goede’ hackers aan het woord: welke tips hebben zij voor u als ondernemer? “Er worden per seconde meer mensen slachtoffer van cybercriminaliteit dan dat er baby’s worden geboren” Maar het hoeft natuurlijk niet van buiten te komen: digitale risico’s kunnen ook van binnen komen. Denk aan een medewerker die een USBstick met gevoelige informatie in de trein laat liggen, of een ex-werknemer die nog toegang heeft tot alle systemen en hier de concurrentie blij mee maakt. Het tijdig detecteren van serieuze Verder in deze krant veel informatie op het gebied van digitale risico’s. Informatie waarmee u uw voordeel kunt doen. Wilt u na het lezen van deze krant meer weten over úw digitale risico’s? Wij helpen u graag deze in kaart te brengen én te verzekeren. Als laatste wil ik alle partners die deze krant mede mogelijk hebben gemaakt bedanken voor hun bijdrage. Dankzij jullie hulp is dit wat mij betreft een interessante krant geworden, een must read voor alle ondernemers. En vraagt u zich nog af waarom wij in dit digitale tijdperk een krant uitgeven? Simpel: deze is in ieder geval níet te hacken. Inhoud Voorwoord Rob van Os 2 3 Inbreuk op uw data: welke technieken zijn er? 4 6 De dagelijkse strijd tussen cybercriminelen en het gezonde verstand van ondernemers Schadevoorbeelden uit diverse sectoren 7 8 Uw e-mails en offertes bij het grofvuil 10 11 Rondetafelgesprek: Risicobereidheid of onwetendheid? De rekening? De vraag is niet óf een datalek zich binnen uw bedrijf zal voordoen, maar wanneer 12 13 14 15 16 Tip: laat uw bedrijf eens hacken De aanpak van uw digitale risico’s Better safe than sorry Case: het Groene Hart Ziekenhuis De cyberpolis: wat dekt het en wat kost het Colofon Deze krant is een uitgave van Schouten Zekerheid. © 2016 Schouten Zekerheid Auteurs Olaf van Haperen, Erica van Heukelom, Irene Okkerman, Rob van Os, Dick Snel en Sanne Verbeek Vormgeving Sanne Verbeek Redactieadres Rivium Quadrant 81 2909 LC Capelle aan den IJssel 2 Het computervirus bestaat dertig jaar. Het eerste virus werd als experiment ontwikkeld door twee broers om de veiligheid van systemen te testen.
Kwart mkb’ers en zzp’ers slachtoffer cybercriminaliteit Ruim één op de vier ondernemers, zowel mkb’ers als zzp’ers, is de afgelopen twee jaar slachtoffer geworden van cybercriminaliteit. Dit blijkt uit onderzoek door het lectoraat Cybersafety van NHL Hogeschool en de Politieacademie. De meeste slachtoffers schakelen de politie niet in, met als gevolg dat het de politie ontbeert aan inzicht en de aard en omvang van cybercriminaliteit. Bijna alle ondernemers (MKB en ZZP) mailen, internetten en maken gebruik van internetbankieren. Daarnaast hebben zij bedrijfswebsites en maken ze gebruik van sociale media. Veel ondernemers zijn zich bewust van de risico’s van internetgebruik en treffen uiteenlopende maatregelen, zoals het installeren van een virusscanner of het opstellen van regels voor veilig internetgedrag, om zichzelf te beschermen tegen cybercrime. Ondanks die maatregelen is 28,5% van het MKB en 27,9% van de zzp’ers slachtoffer van een of meer vormen van cybercriminaliteit. De meest voorkomende cybercriminaliteitvormen waarmee ondernemers worden geconfronteerd zijn malware, phishing, afpersing en defacing. Ondernemers zijn zelfredzaam Cybercriminaliteit leidt niet per definitie tot directe schade: ruim 40% van de slachtoffers van cybercriminaliteit is schadeloos. Tijdverlies, financiële schade en beperkte toegang tot gegevens zijn posten die het meest voorkomen bij ondernemers die wel schade ondervinden. Slachtoffers tonen zich hierin zelfredzaam: zij lossen de problemen, zoals het verwijderen van virussen of het herstellen van gehackte accounts, zelf op en/of treffen (beveiligings) maatregelen om cybercriminaliteit in de toekomst te voorkomen. Van de onderzochte cybercriminaliteitslachtoffers neemt slechts 12,8% van het MKB en 7,2% van de zzp’ers contact op met de politie. Het ontbeert de politie dus aan inzicht in de aard en omvang van cybercriminaliteit. Implicaties voor cybercriminaliteitbestrijding Om cybercriminaliteit te kunnen bestrijden is inzicht in de aard en omvang ervan essentieel. Het stimuleren van politiecontact is dus van belang. Door een gebrek aan capaciteit kan echter niet iedere zaak geprioriteerd worden. Op basis van informatie uit het te intensiveren politiecontact kan de politie zich daarom wellicht beter richten op het boeken van zaakoverstijgende successen. Bovendien is cybercriminaliteitbestrijding, ook volgens ondernemers, niet uitsluitend de verantwoordelijkheid van de politie. Samen met andere (private) partijen kan kennis worden ontwikkeld en verspreid die bijdraagt aan de zelfredzaamheid en het probleemoplossend vermogen van ondernemers. Het combineren van deze strategieën leidt tot selectie aan de politiepoort: het gros van de zaken kan, met het oog op het boeken van zaakoverstijgende successen, worden afgehandeld met een melding of met een advies waarmee de zelfredzaamheid van ondernemers wordt vergroot. De overige zaken vragen om een strafrechtelijke aanpak. Op die selectie van zaken kan de politie zich dan nadrukkelijker toeleggen. Inzicht door onderzoek Van begin 2013 tot en met het voorjaar van 2015 is in opdracht van de Nationale Politie het eerste landelijke slachtofferonderzoek verricht naar cybercriminaliteit onder ondernemers. Hiervoor vulden in totaal 1.203 midden- en kleinbedrijven en 1.622 zzp’ers een online vragenlijst in en werden 36 interviews afgenomen. Inbreuk op uw data: welke technieken zijn er? Digitale risico’s zijn er in alle soorten en maten. De belangrijkste op een rij. Malware Kwaadaardige software die niet door de virusscanner allerlei gegevens van uw computer verzamelt. Phishing Via e-mails (zogenaamd afkomstig van bijvoorbeeld de bank) of telefoon wordt u gevraagd om uw (inlog)gegevens. Of een internetcrimineel die uit uw (bedrijfs)naam een mail naar uw klanten stuurt en hen persoonlijke gegevens afhandig maakt. Defacing Bij defacing veranderen cybercriminelen de inhoud van uw content (bijvoorbeeld op uw website), zonder dat u dit wilt. Zo kan een hackersgroep uw website hacken en alle prijzen die hierop staan wijzigen. herkend wordt en ongemerkt DDoS Een DDoS-aanval heeft als doel een server, dienst of infrastructuur onbeschikbaar te maken door overbelasting van de bandbreedte van de server. Bij een DDoS-aanval wordt een groot aantal verzoeken gelijktijdig verzonden vanaf meerdere punten van het internet. Social engineering Hierbij worden medewerkers misleid om via hen toegang te krijgen tot gevoelige gegevens of het bedrijfsnetwerk. De cybercrimineel probeert met social engineering via de zwakste schakel in de computerbeveiliging, namelijk de mens, toegang te verkrijgen. Spyware Dit is de naam voor computerprogramma’s (of delen daarvan) die informatie vergaren over een computergebruiker en deze doorsturen naar een externe partij. Het doel van spyware is meestal om geld te verdienen. Keyloggers Een keylogger is een programma dat bijhoudt welke toetsen een gebruiker aanslaat. Deze gegevens kunnen vervolgens via het internet of per e-mail onopgemerkt verstuurd worden naar een kwaadwillende. Keyloggers behoren niet tot de standaard programma’s op uw computer, maar worden vaak op slinkse wijze geïnstalleerd door cybercriminelen. Man-in-the-middle Dit is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen dat weten. Hierbij bevindt de computer van de aanvaller zich tussen de twee communicerende partijen. De berichten kunnen daarbij gelezen en veranderd worden. Ook kunnen berichten worden verzonden die niet door de andere partij zijn geschreven. Malware kan gemiddeld 200 dagen onontdekt functioneren. In de periode 2008-2012 was 1 op de 20 Nederlanders slachtoffer van identiteitsfraude. 3
De dagelijkse strijd tussen cybercriminelen en het gezonde verstand van ondernemers In 2015 wonnen ze de Computable Award voor Nederlandse start-up van het jaar: RedSocks, specialist in het opsporen van malware. Al is het bedrijf met 46 man personeel bijna geen start-up meer te noemen. Sinds 2012 draaien ze volledig mee in de wereld van de digitale risico’s en kunnen u dus alles vertellen over de gevaren van het wereldwijde web. Denkt u: ‘mijn data is toch helemaal niet interessant voor cybercriminelen?’ Dan heeft u het mis: álle data is interessant voor cybercriminelen. Malware. Het klink vast wel bekend, maar wat is het eigenlijk? Malware is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot computersystemen. Bijvoorbeeld een cybercrimineel die uw bestanden ‘gijzelt’ en deze pas na betaling weer teruggeeft, inbreekt in uw financiële administratie en zorgt dat alle betalingen voortaan naar zijn rekening gaan of uw telefooncentrale hackt en op uw kosten voor duizenden euro’s naar het buitenland belt. “Het eerste bedrijf dat geen schade oploopt als ze geraakt worden door ransomware moet nog opgericht worden” Voorbeelden te over, maar toch hebben veel ondernemers de digitale risico’s niet altijd bovenaan in hun risico-inventarisatie staan. “Voor veel ondernemers is dit ook een nieuwe wereld,” denkt Gert Jan Schol, Senior Accountmanager bij RedSocks. “We gaan er vanuit dat een crimineel fysiek is. Maar tegenwoordig zijn criminelen ook onzichtbaar, anoniem. moeten ondernemers mee om leren gaan.” Maar ik heb toch geen interessante data? Ook denken veel ondernemers dat zij geen interessante data hebben voor cybercriminelen. Die gedachte had ook de winkelketen Target, die alarmbellen voor een malware-aanval niet had herkend of had genegeerd. Digitale inbrekers stalen de creditcard- en NAW-gegevens van ruim 40 miljoen klanten. Hoe? Via de airo die was gekoppeld aan internet. Alleen aan directe kosten was Target in 2013 en 2014 al 160 miljoen dollar kwijt. Los daarvan nog de gevolgschade: zo’n 3% van het klantenbestand heeft besloten Target links te laten liggen. Daar De gedachte dat u geen interessante data heeft is dus onjuist: iedereen die werkt in een digitale omgeving heeft informatie die in potentie interessant kan zijn voor cybercriminelen. Niels Groeneveld, Threat Intelligence Analyst: “Bij malware interesseert het een cybercrimineel meestal niet wat voor bedrijf of data het is, als er maar betaald wordt. schade oploopt als ze geraakt worden door ransomware moet nog opgericht worden.” “Tegenwoordig zijn criminelen onzichtbaar, anoniem. Daar moeten ondernemers mee om leren gaan” Een cybercrimineel kan ook uw netwerk platleggen waardoor er niet meer gewerkt kan worden. Pas na betaling geeft hij dit netwerk weer vrij.” Reza Rafati, Malware Intelligence Analyst: “Er is een hele ‘marktplaats’ voor criminelen. Iemand is bijvoorbeeld op zoek naar data om een bedrijf te kunnen afpersen en kan dat online van een ander kopen. De ene crimineel ondersteunt de andere. Ga er vanuit dat uw data interessant is. Misschien is het niet op eerste gezicht geld waard, maar het kan wel vertaald worden naar geld.” Niels vult aan: “Het eerste bedrijf dat geen Gert Jan: “Primair denken veel bedrijven aan informatie, zoals klant- of betaalgegevens. Maar het is juist belangrijk te denken op het gebied van bedrijfscontinuïteit. U wilt dat uw website in de lucht blijft, dat al uw processen door kunnen lopen, dat uw boekhouding leesbaar is. Ieder bedrijf wil zelf de controle hebben en wil snel kunnen detecteren en vervolgens reageren als deze controle wordt verstoord.” Kosten cybercriminaliteit stijgen met 200% in vijf jaar tijd Cybercriminaliteit als bedrijf 700 600 500 400 300 200 100 0 Apple Cybercriminaliteit Exxon Mobil Microsoft Bron: Bloomberg, cybercrime cost van Allianz Cyber Risk Guide (2014) Berkshire Hathaway De kosten die bedrijven gemiddeld moeten maken voor schade door cybercriminaliteit stijgen snel. Iedere vijf jaar nemen de gemiddelde kosten met maar liefst 200% toe. De totale jaarlijkse schadepost door cybercriminaliteit wereldwijd bedraagt inmiddels 450 miljard dollar. Naar verwachting blijft de schade de komende jaren in hetzelfde tempo stijgen. Naast duidelijk meetbare kosten zoals het inhuren van externe security professionals en het investeren in beveiligingsoplossingen om herhaling van incidenten te voorkomen zijn er Ook moeilijk meetbaar is de schade die organisaties lijden indien een branchegenoot wordt getroffen. Als voorbeeld noemt Hamilton Place Strategies de malware-aanval op het Amerikaanse bedrijf Target, waarbij creditcardgegevens van miljoenen klanten werden gestolen. Ook bij de veiligheid van andere Amerikaanse retailbedrijven zouden klanten hierdoor vraagtekens plaatsen. Cybercriminaliteit als bedrijf Tot slot: wanneer Het is niet eenvoudig de kosten die bedrijven door cybercriminaliteit maken in kaart te brengen. Hoewel het moeilijk is, heeft Hamilton Place Strategies toch onderzoek kunnen doen. ook minder eenvoudig meetbare kostenposten. Denk hierbij aan reputatieschade die een bedrijf oploopt nadat het getroffen is door een cyberincident. cybercriminaliteit een Amerikaans bedrijf zou zijn, was dit het tweede grootste bedrijf van de Verenigde Staten! 4 Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Er worden per seconde 18 mensen slachtoffer van cybercriminaliteit. Marktkapitalisatie in miljarden dollars
24/7 Traditioneel proberen ondernemers met een firewall of anti-virussoftware te voorkomen dat een cybercrimineel binnenkomt. Maar wat als het gevaar al binnen is? Gemiddeld ‘dwaalt’ malware 200 dagen rond binnen een IT-omgeving voordat deze ontdekt wordt. RedSocks helpt bedrijven dit te minimaliseren naar een uur. Klanten van RedSocks krijgen een appliance – een fysiek of virtueel kastje – dat via dataverkeercontrole checkt of uw systeem is geïnfecteerd met malware. Zij doen dit door het uitgaande internetverkeer van uw bedrijf te monitoren en dit te matchen met threat intelligence. Threat intelligence zijn bestemmingen en gedragingen geproduceerd door het RedSocks Lab. Als malware wordt gedetecteerd wordt deze informatie omgezet in waarschuwingen. Een unieke manier van het opsporen van malware, die zeer succesvol Niels: “Wij kunnen niet meekijken bij de klant, maar als klanten ons berichten dan horen we dat er bijna altijd iets gevonden is.” Een belangrijk proces dus waar het bedrijf 24/7 mee bezig is. Reza: “Dat moet ook wel. Zodra we stil staan ontstaat er een gat in onze kennis en daar kunnen cybercriminelen mogelijk hun voordeel mee doen.” Front tegen cybercriminelen RedSocks stort zich graag in de ‘strijd’ tegen cybercriminaliteit. Gert Jan: “Dat is ook een reden waarom we bijvoorbeeld contact hebben met het Nationaal Cybercenter en de politie “Voor veel ondernemers is de digitale wereld een nieuwe wereld” Gert Jan Schol, Senior Accountmanager is. om trends en ontwikkelingen te bespreken. We willen op een positieve manier iets doen met de kennis die we hebben.” Ook het netwerk dat veel van de medewerkers van RedSocks hebben opgebouwd helpt hierbij. Reza: “Cyberexperts kennen heel veel personen die kwaad kunnen doen op het internet. Wij kennen een heleboel mensen die goed kunnen doen en kwaad kunnen herkennen. Dan vorm je samen een front: het is echt het kwade tegen het goede.” Stop met struisvogelpolitiek Maar wat moeten we nu doen dan? Geld in een oude sok bewaren en onze financiële administratie weer met de hand doen? “We hebben onze IT-omgeving nodig om te functioneren en daar moeten we ook zeker gebruik van maken,” begint Gert Jan. “Maar ondernemers moeten ook oog hebben voor het feit dat er risico’s kunnen zijn. Daar wilt u gewoon zicht op hebben en het beheersbaar “In het donker klopt u op straat toch ook niet op elke deur” Reza Rafati, Malware Intelligence Analyst maken. Maar we hoeven niet gelijk door te slaan en te stoppen met alles wat we digitaal doen.” Realiseer u daarnaast ook dat cybersecurity niet alleen het probleem is van de IT-afdeling. Zeker nu we te maken hebben met de Wet meldplicht datalekken. Het is breder dan na een inbraak de techniek herstellen. Want de malware kan wel uit jullie systeem weggehaald zijn, maar wat gebeurt er daarna? Er kunnen wachtwoorden gestolen zijn. Wat is dan het protocol? Wat doen jullie met klanten? Informeren jullie deze? En “Het interesseert cybercriminelen niet wat voor bedrijf of data het is” Niels Groeneveld, Threat Intelligence Analyst juist voor het management is de waarom-vraag interessant. Waarom zijn we gehackt? Maar het allerbelangrijkste is om te accepteren dat er een risico is en hier op een veilige manier mee om te gaan. Reza: “Het is een dagelijkse strijd tussen criminelen en uw gezonde verstand. Als u op straat loopt, gaat u toch ook niet in het donker op elke deur kloppen? Doe dat op internet dan ook niet en ga alleen naar sites die u vertrouwt.” 5 tips om digitale inbrekers zo veel mogelijk te weren Zorg dat beveiligingsupdates op tijd worden gedaan. Werk niet met meer gebruikersrechten dan nodig. Creëer bewustzijn bij uw medewerkers over de digitale risico’s. Werk met twee-staps-verificatie, dus bijvoorbeeld met wachtwoord en sms. Zorg dat uw software altijd up-to-date is. Ook cybercriminelen gebruiken zwakke wachtwoorden We weten allemaal dat een zo sterk mogelijk wachtwoord onze gegevens beter beschermt tegen cybercriminelen. Helaas kiezen we toch vaak voor een makkelijk wachtwoord. Ook cybercriminelen blijken geen sterke wachtwoorden te gebruiken. Wat zijn de meest voorkomende? Meest gebruikte wachtwoorden: 1. 123456 2. password 3. 12345678 4. qwerty 5. 12345 6. 123456789 7. football 8. 1234 9. 1234567 10. baseball Bron: RedSocks Meest gebruikte wachtwoorden door hackers: 1. 123 2. abcd1234 3. admin 4. 123456 5. mypass 6. cybergate 7. 1234 8. 12345 9. @client$321$ 10. 123456789 De 10 grootste online datalekken wereldwijd Eind 2015 werd bekend dat een database met daarin de gegevens van 191 miljoen Amerikaanse geregistreerde kiezers toegankelijk was voor iedereen die het IP-adres van de host kende. Onderstaand overzicht laat zien wat tot nu toe de grootste datalekken wereldwijd zijn. US Voter database (Dec ‘15) Adobe (Sep ‘13) eBay (Mrt ‘14) Heartland (Jan ‘09) T.J. Maxx (Mrt ‘07) AOL (Dec ‘14) Anthem (Feb ‘15) Sony PSN (Apr ‘11) JP Morgan Chase (Jul ‘14) US Military (Jan ‘09) 0 Bron: Statista (2016) 50 100 150 200 Aantal miljoen gestolen gegevens De geschatte kosten van cybercriminaliteit wereldwijd zijn $ 100 miljard. 1 op de 10 social media-gebruikers zegt slachtoffer te zijn geworden van oplichterij. 5
Schadevoorbeelden uit diverse sectoren Ieder bedrijf loopt digitale risico’s, ook dat van u. Vaak zijn deze risico’s minder zichtbaar, waardoor u als ondernemer wellicht denkt dat uw bedrijf zich geen zorgen hoeft te maken om een datalek. Helaas: onderstaande - waargebeurde - situaties geven aan dat in elke bedrijfstak bedrijven te maken kunnen krijgen met kosten als gevolg van inbreuken op de privacy. De bouw De computers van een bouwbedrijf worden besmet met een virus dat onbedoeld wordt doorgegeven aan potentiële klanten, bestaande klanten en leveranciers. Het bedrijf is aansprakelijk voor de kosten die zij moeten maken om het virus te verwijderen en gegevens te herstellen. Accountantskantoren Een computersysteem van een accountantskantoor wordt gehackt, waardoor betalingsgegevens van honderden klanten gevaar lopen. Het kantoor moet opdraaien voor de kosten van alle gedupeerde klanten en voor de kosten van uitgifte van nieuwe creditcards. Reclamebureaus Een ontevreden werknemer van een bureau voor digitale reclame geeft vertrouwelijke gegevens over gevolgd klikgedrag door aan een concurrent van een klant van het bureau. De klant daagt het bureau voor de rechter vanwege contractbreuk en nalatigheid. Landbouw Een werknemer van een veevoerleverancier verliest een laptop waarop gevoelige gegevens, waaronder factuurgegevens, van zijn klanten zijn opgeslagen. Hoewel niet zeker is of er ooit wat met die gegevens zal worden gedaan, is het de verantwoordelijkheid van de leverancier dat alle bedrijven waarvan de gegevens zijn gecompromitteerd op de hoogte worden gesteld. Bron: Hiscox Hackers lopen 1 miljard dollar mis door spelfout naar rekeningen in de Filipijnen en Sri Lanka. Een spelfout in de instructie voor een bankoverschrijving heeft er onlangs voor gezorgd dat bijna 1 miljard dollar (ongeveer 912 miljoen euro) niet gestolen kon worden door hackers. Hackers probeerden om geld van de centrale bank in Bangladesh, dat stond gestald bij de Federal Reserve Bank of New York, over te schrijven Bron: NU.nl De hackers deden vier verzoeken aan de bank, waarbij in totaal 81 miljoen dollar werd buitgemaakt. Een vijfde verzoek maakte bankmedewerkers echter achterdochtig omdat de naam van het goede doel waarnaar het geld zou moeten worden overgemaakt Adviesbureaus Enkele consultants van een bureau voor managementadvies werken tijdens een project op locatie bij een klant. Eén van de consultants stuurt per ongeluk een vertrouwelijk memo naar een grote e-maillijst met adressen van zowel interne als externe ontvangers. De klant daagt het adviesbureau voor de rechter. Energie Het computersysteem van een leverancier van zonne-energie wordt gehackt waardoor de betaalgegevens van alle klanten alsmede gevoelige persoonsgegevens op straat komen te liggen. De kosten voor kennisgeving aan alle getroffen personen en de verlening van fraudecontrolediensten moeten door de leverancier worden betaald. Amusement De nieuwe single van een populaire artiest wordt door een medewerker van een platenbedrijf per ongeluk vrijgegeven aan sites waar gratis muziek kan worden gedownload. De artiest daagt het bedrijf voor de rechter wegens gederfde royalty’s. Overheidsinstellingen Het computersysteem wordt gehackt van een overheidsinstelling die toeziet op een programma voor volwassenen personen met een handicap. De persoonsgegevens van de deelnemers aan het programma zijn gecompromitteerd. De instelling moet de getroffen deelnemers en hun zorgverleners of vertegenwoordigers inlichten en fraudecontrolediensten aanbieden. Advocatenkantoren Een nieuwe medewerker in een advocatenkantoor gooit een afschrift van vertrouwelijke betalingsinformatie van klanten in de openbare papiercontainer in plaats van het document door de papierversnipperaar te halen. Het kantoor moet de klanten ervan in kennis stellen dat hun gegevens mogelijk gecompromitteerd zijn en hun fraudecontrole aanbieden. Productie Een uitvinder geeft een fabrikant de opdracht een beperkt aantal producten te vervaardigen waarop nog geen octrooi is verleend. Een werknemer van de fabrikant verstuurt per ongeluk een e-mailbericht met de productspecificaties aan potentiële concurrenten. De fabrikant wordt voor de rechter gedaagd wegens schending van de geheimhoudingsovereenkomst en andere schade. Non-profitorganisaties Een non-profitorganisatie raakt een laptop kwijt waarop de lijst van donoren is opgeslagen. De organisatie moet iedereen die op de lijst staat inlichten en fraudecontrole aanbieden, ongeacht of de informatie ooit wordt verspreid. Uitgeverijen Het computersysteem voor orderverwerking van een uitgever van e-books wordt gehackt en gevoelige betalingsgegevens worden gecompromitteerd. De uitgever moet al zijn klanten inlichten en aanbieden gedurende een jaar fraudecontrolediensten te verlenen. De kosten daarvan zijn voor zijn rekening. Detailhandel In een winkel wordt het kassasysteem gehackt waardoor de nummers van betaalpassen en creditcards van duizenden klanten op straat komen te liggen. De winkel moet de uitgevers van de kaarten inlichten, de kosten voor vervanging van de kaarten betalen en fraudecontrolediensten aanbieden aan de gedupeerden. IT-ontwikkelaars Een ontwikkelaar verliest een back-upstation waarop de code voor een nieuwe applicatie is opgeslagen. De klant daagt de ontwikkelaar voor de rechter wegens nalatigheid en de ontstane schade door vertraging. Aanbieders van technische diensten Door een probleem in een servicesysteem van een aanbieder wordt de website en het intranet van verschillende klanten platgelegd. De aanbieder wordt aangeklaagd wegens schade door bedrijfsstagnatie en de kosten voor herstel. Telecommunicatie Het computernetwerk van een aanbieder van telecommunicatiediensten wordt gehackt waardoor inbreuk is gepleegd op de betalingsgegevens van duizenden klanten. De aanbieder is verplicht alle gedupeerden in te lichten, de kosten te betalen voor het uitgeven van nieuwe creditcards en draait op voor boetes, omdat hij verzuimd heeft gevoelige gegevens te versleutelen. verkeerd was gespeld. In plaats van ‘foundation’ schreven de hackers ‘fandation’, waardoor een routineonderzoek werd gestart. Daarbij kwam de fraude aan het licht en bleek dat ook bij andere banken verzoeken uitstonden voor het overschrijven van hoge bedragen die opliepen tot in totaal zo’n 1 miljard dollar. 6 59% van de werknemers zegt bedrijfsdata te hebben gestolen van een ex-werkgever. 556 miljoen mensen worden jaarlijks slachtoffer van cybercriminaliteit.
Uw e-mails en offertes bij het grofvuil U bent de hele ochtend al druk met van alles en nog wat en moet nog even gauw een kopie van een belangrijk document maken. In alle haast laat u het vervolgens op de printer liggen. Gelukkig is er dan vaak een behulpzame collega die dit document even bij u langs brengt of u komt er zelf snel achter. Maar wat als u uw printer, die tegenwoordig vaak ook een scanner en kopieermachine is, weg doet? Natuurlijk controleert u dan of er niets meer op de kopieerplaat ligt. Maar weet u ook zeker dat het apparaat zélf leeg is? “Wanneer bedrijven een oude server weg doen, weten ze heel goed hoe belangrijk het is om deze te laten defragmenteren zodat er geen belangrijke informatie meer op staat,” vertelt Jorg Gorisse, eigenaar van Ricoh Document Center ZuidHolland. “Maar tegenwoordig hebben bijna alle printers ook een harde schijf, die alle scans, prints, kopietjes en e-mails bevat die door het apparaat zijn verwerkt. Dit maakt van een printer of kopieermachine een bron van vertrouwelijke informatie. U kunt zich voorstellen dat niemand wil dat deze belangrijke informatie bij het grofvuil of op straat gezet wordt.” 400.000 vertrouwelijke gegevens op straat Dat dit wel gebeurt, blijkt uit het voorbeeld van een Amerikaanse zorgverzekeraar die een geleasde kopieermachine terugbracht. De harde schijf stond nog vol met medische en persoonsgegevens van ruim 400.000 klanten en werknemers. Gelukkig was het leasebedrijf zo professioneel hier niets mee te doen, maar wel moesten al deze 400.000 personen geïnformeerd worden. Niet echt gunstig voor de reputatie van de zorgverzekeraar. Was dit een op zichzelf staand incident? Nee, uit onderzoek van CBS News is gebleken dat het schrikbarend vaak voorkomt dat ondernemers zich niet bewust zijn van de informatie die hun apparatuur bevat als ze deze weggooien of retourneren aan het leasebedrijf. Onwetendheid Jorg: “Onwetendheid is hierbij denk ik het grootste probleem. De meeste ondernemers weten niet dat in hun apparaten een harde schijf zit en kennen er dus ook de risico’s niet van. Daarnaast zijn er mensen die wel weten dat de machine een harde schijf bevat, maar die zich er niet druk om maken en de gevaren ervan niet inzien. Een kwalijke zaak, als je het mij vraagt.” Wettelijke voorschriften Nu bent u bekend met deze gevaren, maar wat kunt u hiertegen doen? U heeft verstand van ondernemen, niet van het leegmaken van uw kopieermachines en printers. En als u daaraan begint, hoe weet u dan zeker dat uw apparaat écht leeg is als u deze weg doet? Het beste is om hierbij de hulp in te schakelen van een professioneel bedrijf, zoals Ricoh. Jorg: “Onze relaties kunnen gebruik maken van onze Data Cleansing Service. Dit is een veilige verwijderingsservice die alle achterblijvende klantgegevens van apparaten verwijdert, zodat die niet meer terugJorg Gorisse, Eigenaar gehaald kunnen worden. Wij verstrekken certificaten als bewijs van naleving van de wettelijke voorschriften.” Dat laatste is vooral door de invoering van de meldplicht datalekken steeds belangrijker geworden. Want ook dit digitale risico kan leiden tot een boete van € 820.000,- of 10% van uw wereldwijde jaaromzet. 55 miljoen persoonsgegevens gestolen Dit jaar 250% meer ransomware-aanvallen Er is sprake van een forse toename van het aantal data-incidenten als gevolg van hacking en aanvallen met malware. Het aantal gevallen waarbij na een gelekte cyberaanval losgeld werd gevraagd om het euvel te verhelpen (ransomware) is dit jaar zelfs met 250% gestegen, meldt de Britse verzekeraar Beazley. Uit hun eigen onderzoek in de afgelopen twee jaar blijkt dat de zorgsector, hogere onderwijsinstellingen en de wereld van de financiële dienstverlening het meeste risico lopen. De speciale Breach Response afdeling van de verzekeraar heeft vorig jaar al 60% meer cyberincidenten geconstateerd, met name in de drie genoemde sectoren. Het aantal gevallen van hacking en malware als middel hiertoe is bijna verdubbeld. Van alle cyberincidenten werd in 2015 eenderde veroorzaakt door hacking en malware tegen 18% in 2014. Het aantal incidenten waarbij data of toegang tot de in de eigen computer opgeslagen informatie werd verkregen, is vorig jaar al bijna verdubbeld tot 43 stuks. Voor dit jaar wordt een toename verwacht met 250%. In de zorgsector heeft 27% van de cyberincidenten betrekking op de toepassingen hacking en malware en 20% op het fysieke verlies van data. Volgens Beazley zijn criminelen vooral geïnteresseerd in de medische gegevens van patiënten met het oog op onder meer identiteitsfraude. Medische gegevens zijn voor criminelen 16 keer zoveel waard als die van creditcards. Universiteiten en hogescholen zijn vorig jaar eveneens vaker getroffen door hacking en malware: 35% van alle cyberincidenten tegen 26% in 2014. In de financiële sector steeg dat percentage van 23% naar 27%. Onlangs werden de persoonsgegevens van 55 miljoen Filipijnen gestolen, toen de servers van verkiezingscommissie COMELEC werden gehackt. Tussen de gegevens zat ook gevoelige data, concludeert beveiligingsbedrijf Trend Micro. Met deze data kan de identiteit van een groot aantal Filipijnen worden gestolen. Een woordvoerder van COMELEC beweerde dat er geen gevoelige gegevens op straat liggen, maar het onderzoek van Trend Micro zou het tegendeel aantonen. Zo zou de paspoortdata en bijbehorende vingerafdrukken van 1,3 miljoen Filipijnen door de hack op straat liggen. Lang niet alle data van het bestand waren versleuteld, waardoor internetcriminelen moeiteloos gegevens kunnen gebruiken. Dat is bij een hack van deze schaal groot nieuws. Gegevens zoals paspoorten kunnen worden gebruikt om iemands identiteit op het internet te stelen, waardoor het bijvoorbeeld makkelijk is om bankaccounts of e-mailadressen te hacken. Schade door cybercriminaliteit bestaat vooral uit diefstal van intellectuele eigendommen, verlies van geld door fraude of het stilleggen van bedrijfsprocessen. 7
Risicobereidheid of onwetendheid? Het overkomt de besten. Per ongeluk ‘verkeerde’ informatie rondmailen of op een ‘foute’ link klikken. We worden steeds afhankelijker van IT en lopen daarmee een grotere kans om slachtoffer van een cyberincident te worden. Jhalmar de Vaal van Schouten Zekerheid gaat daarom in gesprek met drie verzekeraars over de impact, financiële gevolgen en oplossingen voor dit soort digitale risico’s. Is het digitale risico het grootste ondernemersrisico? Het antwoord was eensluidend. “Alle risico’s die de continuïteit van een onderneming in gevaar brengen, zijn even belangrijk.” Wel zijn digitale risico’s het meest complex en is hierover (nog) weinig bekend. Zo vroeg CHUBB ondernemers eens naar de meest kritische cyberrisico’s. Daar waar zij de cybercrimineel in algemene zin als grootste veroorzaker noemden, gaven hun IT-ers concreet patchmanagement, het installeren van updates, als dé grootste oorzaak van digitale risico’s aan. Technische storingen of hacking van een website waarop producten worden verkocht, kunnen de continuïteit van een onderneming ernstig aantasten volgens Lars Springeling (AIG). Omdat dit type schades behoorlijk kunnen oplopen en steeds vaker voorkomen, vraagt Jhalmar de verzekeraars waarom veel ondernemers nu geen of een zéér beperkte dekking hebben. “Bedrijven zijn in toenemende mate afhankelijk van IT, maar ondernemers zijn zich van de risico’s niet of onvoldoende bewust”, verklaart Zico van Rooijen (CNA Hardy) deze terughoudendheid. Daniël Jacobs (CHUBB) vult aan: “De onlangs in werking getreden Wet meldplicht datalekken brengt deze bewustwording echter versneld op gang en legt een grote verantwoordelijkheid bij organisaties neer. In het verleden konden zaken makkelijker in de doofpot worden gestopt, maar nu moeten gedupeerden over mogelijke nadelige gevolgen worden geïnformeerd. Ook kan sprake zijn van hoge aansprakelijkstellingen. Bijvoorbeeld bij het uitlekken van medische gegevens.” Wat zijn de voordelen van een cyberpolis? Een cyberpolis vergoedt de kosten voor het inzichtelijk maken en verhelpen van de calamiteit en de mogelijke aansprakelijkheid die daaruit voort kan vloeien. Jhalmar: “Evenzo belangrijk is dat verzekeraars een pallet aan dienstverleners aanbieden die de ondernemer bij een dergelijke calamiteit ondersteunen.” Daniël beaamt dat: “Wij helpen de klant zo snel mogelijk bij het concreet herstellen van zijn IT-systeem. Ook bieden wij callcenter-activiteiten of een responseservice aan om klanten van de gedupeerde ondernemer te informeren of op een andere manier van dienst te zijn. Alles om de continuïteit van de onderneming zo snel mogelijk te herstellen.” “Alle risico’s die de continuïteit van een onderneming in gevaar brengen, zijn belangrijk” Ook Zico benadrukt: “Aangezien de beleidsregels van de meldplicht 62 pagina’s beslaan, is ook juridische ondersteuning geen overbodige luxe. Vaak zie je dat een ondernemer niet specifiek is voorbereid op een cyberincident waar het gaat om het opvolgen van deadlines, het informeren van stakeholders en de beschikbaarheid van IT-mensen. Actueel is ook dat bedrijven worden geconfronteerd met ransomware (een vorm van internetfraude). Daarbij worden systemen geblokkeerd en kan de sleutel worden verkregen via het betalen van een afkoopsom in bijvoorbeeld bitcoins. De services van verzekeraars zijn specifiek op deze incidenten afgestemd, met een 24/7-garantie.” Is het noodzakelijk om een cyberpolis af te sluiten? Vanwege de stijgende schadelast wordt het cyberrisico in de Verenigde Staten voor particulieren meestal standaard verzekerd. De verwachting is dat over tien jaar 80% van de ondernemers een vorm van een cyberverzekering heeft. Jhalmar en Lars zijn het eens dat ondernemers moeten weten wat hun meest kritische informatie is. Welke informatie over werknemers, processen, klanten of juist leveranciers absoluut niet op straat mag komen te liggen. Jhalmar: “Doe dit door bijvoorbeeld een risicoanalyse te maken in samenwerking met Schouten Zekerheid. De ondernemer kan vaak zelf al een aantal maatregelen treffen voor het waarborgen van de bedrijfscontinuïteit. Verzekeren is een optie, maar is niet altijd noodzakelijk.” Ook Zico is deze mening toegedaan. “Op voorwaarde dat er goed geanalyseerd is en het een weloverwogen beslissing is om het risico niet te verzekeren, hoeft een verzekering in sommige gevallen niet per se noodzakelijk te zijn. Als ondernemer kun je een team van dienstverleners om je heen verzamelen en een incident-responseplan hebben waardoor je de risico’s volledig in eigen beheer kan tackelen. Als je kapitaalkrachtig bent, zou dit een oplossing kunnen zijn.” Kun je digitale risico’s helemaal uitsluiten? Digitale risico’s kennen twee kanten. De harde, IT-procesmatige kant en de zachte, menselijke kant. Lars ziet ook bij klanten van AIG procentueel veel schade door menselijk handelen ontstaan. “Denk aan het kwijtraken van een USB-stick of het door de drukte te laat updaten van software. Je kunt nog zulke goede IT en “Over 10 jaar heeft naar verwachting 80% van de ondernemers een cyberverzekering” 8 25% van de bedrijven heeft niet nagedacht over online beveiliging. Het verlies aan productiviteit na een cyberaanval bedraagt gemiddeld 31 dagen.
Politie luidt noodklok over beschikbaarheid hacksoftware “Ondernemers zijn zich onvoldoende bewust van hun IT-afhankelijkheid” Zico van Rooijen, Senior Underwriter – Technology & Cyber Risks bij CNA Hardy “Wij helpen de klant zo snel mogelijk bij het concreet herstellen van zijn IT-systeem” Daniel Jacobs, Cyber Manager Benelux bij CHUBB Het gemak waarmee criminelen toegang hebben tot programma’s waarmee ze het bedrijfsleven en particulieren kunnen duperen, is volgens de politie groot. In een interview met de Telegraaf geven Inge Philips, plaatsvervangend hoofd van de landelijke recherche, en Rob van Bree, portefeuillehouder Intensivering Aanpak Cybercrime Nationale Politie, aan dat ‘cybercrime as a service’, waarmee waarschijnlijk kant-en-klare malwarepakketten worden bedoeld, steeds makkelijker te koop is in een steeds groter assortiment. “Bedrijven moeten zich de impact van een incident realiseren” Jhalmar de Vaal, Teamleider Brand, Transport & Aansprakelijkheid bij Schouten Zekerheid “Fouten door menselijk handelen kun je nooit helemaal voorkomen” Lars Springeling, Underwriter Professional Liability & Cyber bij AIG processen hebben, fouten door menselijk handelen kun je nooit helemaal voorkomen. Op de meeste cyberpolissen kan hiervoor een dekking worden ingekocht.” Een onterecht heersende opvatting is volgens hem ook dat veel schade veroorzaakt zou worden door cybercriminaliteit, maar ook menselijk handelen is een belangrijk component. “Omdat wij veel incidenten als gevolg van menselijk handelen zien langskomen, zoomen we vooral in op de menselijke component. We proberen erop te sturen dat processen en beveiligingen goed op orde moeten zijn en voor de ‘menselijke component’ bieden we trainingen aan.” Bestaat er een beste polis? Omdat de technologie sterk in ontwikkeling is, is ook de cyberpolis voortdurend aan verandering onderhevig. Ook zijn er diverse manieren mogelijk om het risico te verzekeren, bijvoorbeeld als een aanhangsel bij bestaande aansprakelijkheidsverzekeringen. Schouten Zekerheid houdt alle aanpassingen in de diverse cyberpolissen goed in de gaten, aldus Jhalmar. “Wij adviseren momenteel uitsluitend een aparte cyberpolis omdat die het meest compleet is en de klant daardoor meer zekerheid en duidelijkheid krijgt.” Wat kost een cyberpolis? Een cyberpolis laat zich qua premie moeilijk met andere verzekeringen vergelijken. Daniël: “De premie is sterk afhankelijk van zaken als het type bedrijf en de mate van beveiliging. Op basis van een ingevulde vragenlijst kan de verzekeraar het risico inschatten en in overleg met de makelaar een eigen risico bepalen afhankelijk van de financiële draagkracht.” “Een ondernemer moet dit afzetten tegen de kosten die hij bij een incident moet maken voor het inschakelen van specialisten, zoals een IT-er, jurist en/of andere specialisten”, vindt Lars. Zico noemt het kunnen budgetteren van een incident voor de wat grotere organisaties een belangrijk argument voor het afsluiten van een verzekering. “Instellingen met een verhoogd risico, bijvoorbeeld medische instellingen, voorkomen daarmee eventuele negatieve uitschieters in hun cashflow.” Over 10 jaar Wat Schouten Zekerheid en de verzekeraars nu vooral zien, is dat de bewustwording van de ondernemer na een schade heel hard groeit. Jhalmar: “Wat natuurlijk niet het juiste uitgangspunt is. Bedrijven moeten zich de impact van een incident realiseren en zich bewust zijn van het reële risico dat zij lopen.” Zico ziet een grote diversiteit in de afnemers van cyberpolissen. “Dit loopt uiteen van centrale overheden en zorginstellingen tot productieen IT-bedrijven.” Volgens alle deelnemers aan het gesprek heeft de bewustwording vooral tijd nodig. “Deze neemt echter zienderogen toe waardoor de risicobereidheid steeds beter kan worden ingeschat.” Het is volgens Philips een ‘misvatting om te denken dat alleen hoogopgeleide, nieuwe criminelen en OostEuropeanen aan cybercrime doen’. Daarvoor haalt Philips een voorbeeld aan van een 45-jarige drugsverslaafde die nu naast zijn carrière als veelpleger met inbraken en diefstallen, ook de computer als ‘breekijzer’ gebruikt door samen te werken met een ‘eerder veroordeelde ITwonderjongen uit de buurt’. “Cybercriminaliteit maakt nu ruim 11% van de totale geregistreerde criminaliteit uit, maar met de makkelijk toegankelijke software, wordt de technologische drempel wel heel laag”, zegt Van Bree. De politie pleit daarom voor meer mogelijkheden om internetcriminelen de baas te kunnen. Daar biedt de Wet computercriminaliteit uitkomst voor, zegt Philips. Ze vergelijkt het inbreken van de politie via computers met een ‘reguliere inval’ van een arrestatieteam in een woning. Ook is een fysieke inval volgens Philips niet praktisch, omdat een verdachte met één druk op de knop al het bewijs kan vernietigen en de computer ontoegankelijk kan maken. “Dat moet je voor zijn door op afstand informatie veilig te stellen”, zegt Philips. Daarbij moet volgens haar niet gedacht worden dat de politie nu ‘grenzeloos’ door computers kan snuffelen. De rechter-commissaris moet zorgen dat alles volgens de regels gaat en alle stappen moeten worden vastgelegd, wat volgens het duo technisch beter te controleren is dan een gewone inval. Bron: Tweakers / de Telegraaf Het is volgens de politie steeds makkelijker om software te kopen voor het plegen van cybercriminaliteit, bijvoorbeeld voor het hacken van websites of het uitvoeren van een malware-aanval, te kopen. De recherche uitte zijn zorgen hierover onlangs in de Telegraaf. Cybercriminaliteit kost de Nederlandse economie jaarlijks 10 miljard euro. In 2015 waren 6 op de 100 computergebruikers slachtoffer van een computervirus. 9
De rekening? Tussen de € 34.750,- en € 504.000,Grote bedrijven zijn gemiddeld € 504.000,- kwijt om te herstellen van een inbreuk op de beveiliging. Bij het MKB liggen de gemiddelde kosten op € 34.750,-. Dit blijkt uit onderzoek van Kaspersky Lab onder 5.500 bedrijven in samenwerking met B2B International. Werknemersfraude, cyberspionage, het binnendringen van netwerken en falen door externe leveranciers blijken de duurste IT-beveiligingsincidenten te zijn. Totale kosten zijn moeilijk te overzien Een ernstige inbreuk op IT-beveiligingssystemen leidt tot veel bedrijfsproblemen. Doordat de schade erg uiteenloopt, is het voor de slachtoffers zelf soms lastig om de totale kosten van een inbreuk in te schatten. De voor dit onderzoek gebruikte methodiek baseerde zich op gegevens uit voorgaande jaren, zodat exact bepaald kon worden op welke vlakken bedrijven uitgaven moeten doen of Bron: Executive People geld verliezen als gevolg van een incident. Bedrijven investeren doorgaans in professionele diensten zoals externe IT-deskundigen, juristen en consultants. Tegelijkertijd zien zij hun inkomsten teruglopen door gemiste bedrijfskansen en uitvaltijd. De waarschijnlijkheid van de verschillende uitgaven of verliezen varieert, wat iets is waar bedrijven rekening mee moeten houden. cijfers geven bedrijven meestal tussen de € 7.000,- (MKB) en € 63.000,- (grote bedrijven) uit aan personeel, opleiding en upgrades aan de infrastructuur. De gemiddelde rekening voor een beveiligingsincident bij grote bedrijven ziet er als volgt uit: Indirecte uitgaven Een soortgelijke methode werd gebruikt om de indirecte uitgaven in te schatten. Onder indirecte uitgaven verstaat Kaspersky het budget dat bedrijven nodig hebben nadat de herstelwerkzaamheden hebben plaatsgevonden, maar dat nog steeds samenhangt met het ITbeveiligingsincident. Bovenop de genoemde Professionele services (IT, communicatie, risicobeheer, advocaten): tot € 77.000,-. Gemiste bedrijfskansen: tot € 185.000,-. Uitvaltijd: tot € 1,2 miljoen. Indirecte uitgaven: tot € 63.000,-. Reputatieschade: tot € 187.000,-. Totaal gemiddeld: € 504.000,-. MKB en grote bedrijven lijden op verschillende manieren schade Negen van de tien bedrijven die deelnamen aan het onderzoek meldden ten minste één beveiligingsincident. Niet alle incidenten waren echter ernstig en/of leidden tot het verlies van gevoelige gegevens. Meestal is een ernstige beveiligingsinbreuk het gevolg van een malwareaanval, phishing, het lekken van gegevens door werknemers en het misbruik van softwarelekken. De geschatte kosten bieden een nieuwe kijk op de ernst van IT-beveiligingsincidenten, waarbij de vooruitzichten voor het MKB en grote bedrijven enigszins van elkaar verschillen. Grote ondernemingen betalen aanzienlijk meer als een IT-beveiligingsincident het resultaat is van het falen door een vertrouwde externe partij. Andere kostbare incidenten zijn fraude door werknemers, cyberspionage en het binnendringen van het netwerk. MKB's verliezen meestal aanzienlijke bedragen bij vrijwel elk type inbreuk en betalen een vergelijkbaar hoge prijs, of het nu gaat om herstel na bedrijfsspionage of om DDoS- en phishing-aanvallen. Leraar hackt collega’s voor hogere cijfers Een 29-jarige leraar in de Verenigde Staten is onlangs tot een jaar gevangenisstraf veroordeeld. Hij brak in op de computers van zijn collega’s om de cijfers van zijn studenten te verhogen. De leraar installeerde hiervoor een keylogger, een USB-stick die de toetsaanslagen van zijn medeleraren voor hem opsloeg. Op deze manier achterhaalde hij gebruikersnamen en wachtwoorden. De inbraak werd ontdekt nadat één van de collega’s opmerkte dat er ineens hogere cijfers in het systeem stonden dan hij had ingevoerd. De leraar probeerde de politie nog te slim af te zijn door de USB-stick te formatteren, maar autoriteiten slaagden er uiteindelijk toch in de data te achterhalen. Dat diende als bewijslast in deze zaak. Met een celstraf van een jaar komt hij er nog goed vanaf; voor zijn daden hing hem een gevangenisstraf van zestien jaar boven het hoofd. Recordaantal nepmails gemeld in 2015 Het afgelopen jaar is er een recordaantal meldingen binnengekomen van valse e-mails bij het meldpunt fraudehelpdesk.nl. In heel 2015 kwamen er 123.000 meldingen binnen. Het jaar daarvoor waren dat er nog 104.000. Volgens het meldpunt versturen internetoplichters jaarlijks miljoenen nepmailtjes. Ze doen zich voor als grote banken of bedrijven en proberen zo geld af te troggelen bij mensen of vertrouwelijke informatie te krijgen. Bron: Computer Idee Volgens André Vermeulen van fraudehelpdesk.nl zijn mensen ondanks de vele waarschuwingen nog steeds geneigd om valse e-mails voor echt aan te zien. “Helaas trappen sommigen er nog steeds in als ze zogenaamd een prijs kunnen winnen of een flinke korting kunnen krijgen. Als je daarop ingaat, dan hang je. Maar het zijn niet alleen naïevelingen die gevaar lopen, want internetcriminelen gaan steeds professioneler te werk. Nepmailtjes zijn vaak bijna niet meer van echt te onderscheiden. Zo zitten er veel minder spelfouten in en logo’s van bedrijven worden gekopieerd, zoals het CIJB, Rabobank, ING en ABN Amro en ICS Cards. Daarbij wordt soms ook de naam van bestaande medewerkers gebruikt.” 10 In 2015 waren er meer dan 7.000 malware-apps die het gemunt hadden op apps van banken. In 2015 hebben wereldwijd 1.673 datalekken plaatsgevonden.
De vraag is niet óf een datalek zich binnen uw bedrijf zal voordoen, maar wanneer Het merendeel van de Nederlandse bedrijven voldoet nog lang niet aan de Wet meldplicht datalekken, die op 1 januari 2016 in werking is getreden. Zo blijkt uit een recent onderzoek van PwC Nederland dat 7 op de 10 bedrijven geen of slechts redelijk zicht heeft op datastromen naar derde partijen. In het eerste kwartaal van 2016 zijn er (slechts) 700 datalekken gemeld. Het vermoeden is dat lang niet alle datalekken worden gemeld. Toch moeten alle bedrijven klaar zijn om verantwoording af te leggen over de beveiliging van persoonsgegevens. Als de Autoriteit Persoonsgegevens de beveiliging ernstig verwijtbaar ondermaats vindt ingericht, kan de boete oplopen tot € 820.000,- of als deze niet passend genoeg is 10% van de wereldwijde netto-jaaromzet bedragen. Olaf van Haperen van Kneppelhout & Korthals Advocaten geeft toelichting. Eigenlijk verwerkt ieder bedrijf persoonsgegevens, variërend van informatie over werknemers tot gegevens van klanten of leveranciers. Daarmee valt ieder bedrijf onder de Wet bescherming persoonsgegevens. Het gaat om die gegevens die herleidbaar zijn tot een natuurlijk persoon. Er is al sprake van verwerking van persoonsgegevens als gegevens van uw klanten (tijdelijk) worden opgeslagen, zelfs als uw klant een bedrijf is. U heeft namelijk altijd wel een contactpersoon waarvan u (ook) persoonsgegevens bewaart. In geval van een online webshop heeft die klant vaak ook een eigen account, waarin tal van persoonsgegevens kunnen worden opgeslagen, gewijzigd en verwijderd. Maar elk bedrijf verzamelt ook persoonsgegevens van eigen werknemers. Denk bijvoorbeeld aan uw verzuim- en personeelsregistratie. Zodra u voor een bepaald doel persoonsgegevens verwerkt en daarvoor de middelen ter beschikking stelt, heeft u een vergaande verantwoordelijkheidsplicht. Wat is een datalek? Een datalek is een beveiligingsincident, waarbij persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking redelijkerwijs niet is uit te sluiten. Het is dus een heel ruim begrip waar alle vormen van onbevoegde toegang onder vallen, maar ook de vernietiging van data (opzettelijk of per ongeluk). Een datalek hoeft niet per se een ‘hack’ te zijn. Ook een medewerker die een veiligheidsmaatregel omzeilt, een malwarebesmetting, een rondslingerend wachtwoord of een calamiteit zoals brand in een datacentrum, kunnen dus leiden tot een overtreding van de Wet bescherming persoonsgegevens. Datalekken vinden dikwijls buiten uw macht plaats. Niet verwonderlijk dus, die twintig meldingen in de eerste week van 2016. Melden: aan de Autoriteit Persoonsgegevens èn de betrokkene? U hoeft echter niet ieder datalek te melden bij de Autoriteit Persoonsgegevens. Volgens de wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot ‘(een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’. Een factor die hierbij wel een rol speelt is de aard van de gelekte persoonsgegevens. Denk hierbij aan medische gegevens, gegevens over politieke of levensovertuiging, ras, maar ook financiële gegevens (zoals betalingsachterstanden), gebruikersnamen, wachtwoorden en andere inloggegevens of gegevens die kunnen leiden tot (identiteits)fraude. Als er dergelijke persoonsgegevens van gevoelige aard zijn gelekt, dan is een melding binnen 72 uur (!) bij de Autoriteit Persoonsgegevens eigenlijk altijd noodzakelijk. Het wel of niet melden van een datalek is een (juridisch) lastige vraag; raadpleeg hiervoor dan ook altijd een deskundige, zoals Kneppelhout & Korthals Advocaten. Kneppelhout & Korthals is één van de grootste full-service advocatenkantoren van Rotterdam dat zich richt op ondernemers in de handel, industrie, maritieme sector, transport, export, bouw, vastgoed en telecom. Verder bepaalt de Wet dat u (ook) een melding moet doen aan de betrokkene wiens gegevens zijn gelekt (uw klant of medewerker) als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Zij kunnen namelijk door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij moet u denken aan onrechtmatige publicaties, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe ook van uitgaan dat u dit ‘onverwijld’ (!) aan deze betrokkene moet melden. U dient de betrokkene in staat te stellen maatregelen te nemen en hem hierover zelfs te adviseren. Blacklist en schadelijke gevolgen Wanneer blijkt dat het datalek te wijten valt aan inadequate beveiliging en een bindende aanwijzing van de Autoriteit Persoonsgegevens niet wordt opgevolgd, of als er sprake is van opzet/ernstig verwijtbare nalatigheid, kan een hoge boete worden opgelegd. Ook komt uw bedrijf op een (niet-openbare) blacklist en zal de Autoriteit Persoonsgegevens u dus gaan monitoren. Bovendien kan een datalek zelf al leiden tot slechte publiciteit. De gevolgen van een datalek kunnen dus zeer ingrijpend en schadelijk zijn. Alleen door preventief maatregelen Olaf van Haperen, Managing Partner en Advocaat te nemen, kunnen ondernemers deze schade beperken of zelfs voorkomen. Zodra een datalek zich voordoet, kan het al te laat zijn. “Datalekken vinden dikwijls buiten uw macht plaats” Privacy is belangrijk voor iedereen, dus ook voor uw klanten, medewerkers en andere relaties. Bereidt u zich daarom goed voor. De vraag is immers niet óf een datalek zich zal voordoen, maar wanneer. 6 tips voor elk bedrijf Creëer bewustzijn binnen uw bedrijf. Zorg voor een beleidsdocument voor informatiebeveiliging dat voldoet aan de (in uw branche geldende) normen. Voorzie uw bedrijf van passende juridische, organisatorische en technische beveiligingsmaatregelen: bijvoorbeeld het uitsluiten van onbevoegde toegang, zowel digitaal als fysiek. Zorg voor een up-to-date draaiboek voor het geval een datalek zich voordoet. Zorg ervoor dat uw leverancier (bijvoorbeeld uw hostingbedrijf) de contractuele plicht heeft een datalek aan u te melden. Overweeg uw digitale risico’s te verzekeren. In de Benelux waren er in 2015 in totaal 8 geregistreerde datalekken. In het jaar 2016 werd voor het eerst een Apple-computer getroffen door ransomeware. 11
Tip: laat uw bedrijf eens hacken Jaarlijks worden zo’n 556 miljoen mensen wereldwijd slachtoffer van cybercriminelen. Maar waarom doen deze hackers wat ze doen? Waar zijn ze op uit? Hoe snel zijn ze bij u ‘binnen’? En wat moet u als ondernemer nu juist wel of niet doen wanneer u gehackt wordt? Dick Snel en Jasper Weijts, twee white hat hackers van informatiebeveiligingsbedrijf Onvio, geven antwoord op de meest gestelde vragen. Hoe goed zijn Nederlandse bedrijven beschermd? Uit onze ervaring blijkt dat de meeste Nederlandse bedrijven een matige beveiliging voeren. Wanneer een white hat hacker (een ‘legale’ hacker, zie kader) aan de slag gaat, schrikken bedrijven vaak van de eenvoudige manier waarop en de korte tijd waarbinnen de hacker toegang heeft verkregen tot alle gevoelige gegevens van het bedrijf. De kans dat een cybercrimineel inbreekt wordt vaak onderschat, mede omdat een hacker vaak tijden onopgemerkt zijn gang kan gaan zonder dat het bedrijf ook maar iets in de gaten heeft. Hoe lang duurt het gemiddeld om digitaal bij een ondernemer ‘in te breken’? Bij de meeste van onze testen hebben we binnen één dag al een kwetsbaarheid gevonden waarmee we toegang krijgen tot gevoelige gegevens en in veel gevallen toegang tot het volledige bedrijfsnetwerk met alle data daarbinnen. Vaak zijn er nog meer van dit soort kwetsbaarheden aanwezig. Wat gebeurt er als een hacker ‘binnen’ is? Als een hacker ‘binnen’ is kan hij een virus achterlaten waarmee hij op elk moment opnieuw binnen kan komen. Hiermee kan de hacker op zijn gemak het netwerk verkennen en op zoek gaan naar gevoelige data zonder op te vallen. Met de gevonden gegevens kan hij vervolgens ook weer nieuwe aanvallen opzetten om andere systemen en bedrijven te hacken. Wat zijn de belangrijkste redenen voor een black hat hacker (zie kader) om een bedrijf te hacken? Meestal is dat financieel gewin, maar het komt ook vaak voor dat een persoon een bedrijf schade wil toedoen, bijvoorbeeld een exwerknemer die wraak wil nemen op zijn niet zo soepel verlopen ontslag. In het eerste geval gaat het om het stelen van gevoelige gegevens voor verkoop of afpersing of toegang tot financiële systemen om geld over te boeken. Ook kan het gaan om concurrenten die meekijken met het bedrijf en gevoelige gegevens buitmaken. Wanneer een ex-werknemer wraak neemt, worden er vaak systemen onbruikbaar gemaakt of gevoelige gegevens gelekt met reputatieschade tot gevolg. Wat moet een bedrijf in ieder geval doen als het gehackt is? Een digitaal forensisch expert inschakelen om onderzoek te doen naar de oorzaak en herkomst van de inbraak. Vaak kan de hacker niet Zijn alle hackers op kwaad uit? Hackers zijn globaal onder te verdelen in ‘black hat’ hackers en ‘white hat’ hackers. Black hat is een term voor hackers die inbreken op computers en systemen zonder toestemming en vaak voor eigen gewin. Een white hat hacker die kwetsbaarheden vindt in een systeem zal deze nooit zonder toestemming gebruiken en zal organisaties hier ook over informeren zodat ze de problemen kunnen oplossen. Het uitvoeren van een afgesproken penetratietest is een typisch voorbeeld van het werk van een white hat hacker. Er zijn ook bedrijven, zoals Google, die een aantal white hat hackers in dienst hebben om hun systemen continu te laten testen op kwetsbaarheden. Jasper Weijts en Dick Snel, White Hat Hackers gepakt worden, maar kan het lek dat hij gebruikt heeft wel ontdekt worden. Van hieruit kunnen maatregelen genomen worden om systemen beter te beveiligen. Wat moet een bedrijf vooral niet doen als het gehackt is? Vooral geen stekkers uit Dat is vaak niet opgenomen in het contract en daardoor ontstaat er een misvatting over de beveiliging systemen. van het stopcontact trekken. In dat geval kunnen essentiële logbestanden gewist worden die hadden kunnen leiden naar de inbreker. Wanneer een hacker binnen het netwerk wordt ontdekt, is de kans zeer groot dat hij al toegang heeft gehad tot alle gegevens. Wat is de meest gemaakte fout bij ondernemers op het gebied van digitale beveiliging? Dat is toch dat veel ondernemers denken dat de partij die ze inschakelen voor hun website of het onderhoud van het netwerk ook de beveiliging verzorgt. “Een hacker kan vaak tijden onopgemerkt zijn gang gaan zonder dat het bedrijf ook maar iets in de gaten heeft” Welke preventieve maatregelen kan een bedrijf nemen om hun applicaties en data te beschermen tegen een hack? Bedrijven kunnen als preventieve maatregel een penetratietest (beveiligingstest) uit laten voeren om de digitale risico’s en kwetsbaarheden in hun applicaties in kaart te brengen. Bij zo’n test neemt een white hat hacker de systemen onder vuur net zoals een cybercrimineel dat in de praktijk zou doen. Hieruit vloeien quick wins voort waarmee de beveiliging snel naar een hoger niveau getild kan worden. Bijvoorbeeld het afsluiten van onnodige applicaties en systemen, het updaten van software of het plaatsen van een moderne firewall. Dick: “Voor een beursgenoteerde onderneming hebben we recent vanaf het internet het systeem getoetst op kwetsbaarheden (een penetratietest). Hierbij was afgesproken dat we vooraf geen informatie over de systemen zouden krijgen, dit noemen wij Black Box. Binnen twee dagen hebben we via een kwetsbaarheid toegang verkregen tot een server die gekoppeld was aan het interne netwerk. Eenmaal aanwezig op het interne netwerk is vervolgens op slinkse wijze toegang verkregen tot financiële systemen en gevoelige bedrijfsdata.” Zo doen ze dat 12 Wereldwijd zijn er meer dan 40.000 verschillende soorten computervirussen bekend. Jaarlijks komen er ongeveer 5.000 nieuwe computervirussen bij.
De aanpak van uw digitale risico’s Digitale risico’s zijn niet enkel de verantwoordelijkheid van uw IT-afdeling. Onderstaand een overzicht van alle betrokkenen en 5 praktische vragen die u aan diverse afdelingen kunt stellen om zeker te weten dat u bij een eventuele digitale inbraak voorbereid bent. 5 vragen aan de risicomanager In hoeverre voorzien onze huidige verzekeringen in dekking voor de digitale risico’s? Welke verschillen zijn te onderkennen en in welke mate betreft dit verzekerbare risico’s? Zijn dit risico’s die de organisatie zelf kan/wil dragen? Hoe verhouden deze zich tot de risicotoleranties en het financiële draagvermogen? Hoe ziet ons ideale verzekeringsprogramma eruit en wat zijn daarvan de kosten en voorwaarden? Kan risico-overdracht een zinvolle en kosteneffectieve aanvulling zijn op onze totale set aan beheersmaatregelen? 5 vragen aan de IT-manager Wat zijn voor onze organisatie de kosten van een datalek, systeemuitval of een hack? Welke personen of groeperingen kunnen interesse hebben in onze gegevens en waarom? Waarom zijn wij goed beveiligd? En waarom zijn wij goed voorbereid op een incident? Hebben wij over de gehele linie ‘passende’ beheersmaatregelen getroffen? Waaruit blijkt dit? Waar stopt de verantwoordelijkheid en bevoegdheid van de eigen IT-afdeling? Leverancier Management Directeur Operationeel Digitale risico’s: het hele bedrijf heeft ermee te maken HR Compliance Klant Communicatie Wat hebben wij afgesproken met onze klanten en leveranciers? Hebben wij een actueel en volledig beeld van onze belangrijkste risico’s (bijvoorbeeld risico-register)? Wat is de werkelijk geleden schade? Of: hoe groot kan de schade zijn door IT uitval en/of datadiefstal? Welk deel daarvan kunnen wij terugvorderen bij onze leverancier(s)? Onder welke voorwaarden? Voor welk deel kunnen wij aansprakelijk worden gehouden en wat is daarvan de (verwachte/maximale) omvang? Welke wettelijke regelingen en contractuele bepalingen liggen hieraan ten grondslag? Voldeed de organisatie aan haar verplichtingen en waar/hoe is dit vastgelegd? 5 vragen aan de bedrijfsjurist Kennen wij de bestaande beheersmaatregelen en risicoeigenaren en weten wij wat de financiële gevolgen hiervan zijn? Hoe verhoudt de verwachte en/of maximale schade door digitale risico’s zich tot onze risicotoleranties? Hoe verhoudt dit risico zich tot onze financiële kernratio’s en financiële draagvermogen? Wat is kostentechnisch gezien de meest effectieve beheersmaatregel voor onze digitale risico’s? 5 vragen aan de financieel directeur Medische gegevens zijn voor criminelen 16 keer zoveel waard als die van creditcards. In 2015 werd voor het eerst een grote hack ontdekt in de App Store. 13
Better safe than sorry De kans voor bedrijven om met een cyberincident te worden geconfronteerd is in de afgelopen jaren gegroeid en zal de komende tijd alleen maar verder toenemen. “Bijna dagelijks zijn er berichten van bedrijven die niet meer bij hun spullen kunnen, tenzij ze een hoog bedrag betalen”, begint Jos Oskam van online platform ‘Uw huis uw wensen’. Hij is dit risico liever voor en heeft sinds de invoering van de Wet meldplicht datalekken verschillende maatregelen genomen, zoals het afsluiten van een cyberpolis. Op 1 januari 2016 is coöperatie ‘Uw huis uw wensen’ met 16 installateurs een nieuwe digitale wereld gestart, legt Jos uit. Een online platform om voor kopers of huurders online inzichtelijk te maken hoe de badkamer van hun nieuwbouwwoning er uit kan komen te zien. De start van de coöperatie viel tegelijk met de invoering van de Wet meldplicht datalekken. Dit heeft het bestuur aan het denken gezet. Wat als de gegevens van onze klanten op straat komen te liggen of het systeem tijden plat ligt? Afwachten of anticiperen Jos: “Ik heb het idee dat veel ondernemers nog steeds denken dat het risico wel meevalt en liever afwachten dan anticiperen op de nieuwe wetgeving. Zeker wanneer er net als bij ons geen geldstromen door het bedrijf lopen. Toch bevat onze database inmiddels gegevens van honderden en in de toekomst hopelijk duizenden klanten. Wanneer deze informatie onverhoopt verloren gaat of op straat komt te liggen, betekent het dat je een forse boete moet betalen. Geld dat we liever besteden aan onze groei.” Dat het binnen deze sector geen onlogische gedachte is, blijkt uit een voorbeeld van een aannemer van multifunctionele gebouwen. De vertrouwelijke ontwerpplannen van een projectontwikkelaar werden door een ontevreden medewerker van de aannemer gelekt naar een concurrent. De projectontwikkelaar heeft de aannemer voor de rechter gedaagd wegens schending van de geheimhoudingsovereenkomst. Preventie Jos denkt dat er met name veel onzekerheid is ontstaan door de vele veranderingen op het gebied van cyber. Zowel door de nieuwe technieken als de nieuwe wetgeving. Jos: “Met onder andere een cyberpolis proberen we onze leden, de reputatie en de bedrijfscontinuïteit voor nu en in de toekomst zo goed mogelijk te beschermen. Met behulp van een vragenlijst over digitale risico’s hebben we inzichtelijk gekregen welke risico’s we lopen.” Jos vindt de verzekeringsoplossing bovendien het sluitstuk van de bewustwording. “Wanneer je een autoverzekering afsluit, betekent dat ook niet dat je 180 kilometer per uur kunt gaan rijden.” Het kernteam binnen de coöperatie zorgt daarom voor een sterk wachtwoordbeleid en versleutelt gegevens in de database van afgeronde projecten. Jos: “Natuurlijk kan het ook ons nog steeds overkomen, maar dan zijn we in elk geval goed voorbereid. Ons motto op dit gebied: better safe than sorry.” Jos Oskam, Eigenaar Duizenden pizza’s gratis door hack Een lek in de website van New York Pizza heeft het onlangs mogelijk gemaakt om gratis pizza’s te bestellen. Het bedrijf heeft zo duizenden pizza’s verloren. Klanten konden neporders plaatsen om spaarpunten te verzamelen, vertelt New York Pizzawoordvoerder Melinda Visser. Met deze spaarpunten was het vervolgens mogelijk om een code te bemachtigen waarmee een gratis pizza kon worden besteld. Deze codes werden op het internet verspreid, zodat meerdere mensen er vervolgens gebruik van konden maken. Er werden duizenden pizza’s besteld in een periode van twee of drie weken. Hoeveel mensen er precies misbruik hebben gemaakt van het lek is onduidelijk. “Het gaat om tientallen of misschien zelfs honderden mensen die hier gebruik van maakten”, aldus marketingmanager Jorine Sieperda. New York Pizza weet niet wie er allemaal misbruik hebben gemaakt van de kwetsbaarheid in de website, omdat de pizza’s werden afgehaald. De verkoper heeft wel de IP-adressen van mensen die het websitelek hebben benut. De adressen van kopers zijn geblokkeerd, waardoor ze niet langer bij New York Pizza kunnen bestellen. Het is echter lastiger om mobiele kopers van de app te blokkeren. New York Pizza heeft zijn spaarpuntensysteem veranderd om verder misbruik hiervan te voorkomen. Het is alleen nog maar mogelijk om pizzapunten te sparen als betaald wordt met iDEAL of een creditcard. Bron: NU.nl Bron: Vereniging van Banken en de Betaalvereniging Nederland Steeds minder fraude met internetbankieren De schade als gevolg van fraude met internetbankieren is in 2015 verder gedaald. Het totale bedrag aan schade daalde van 4,7 miljoen euro in 2014 naar 3,7 miljoen euro in 2015. De totale schade in de bankensector als gevolg van fraude kwam uit op 17,9 miljoen euro, een lichte stijging ten opzichte van 2014 (17,3 miljoen euro). Sinds 2012, toen de schade 81,8 miljoen euro bedroeg, is er een duidelijke daling waarneembaar. Banken zijn steeds beter in staat om fraude te herkennen en aan te pakken. Daarnaast werken banken intensief samen met overheidsinstanties om het betalingsverkeer veilig te houden. Passen opsturen De schade als gevolg van gestolen of verloren betaalpassen steeg in 2015 van 3,3 miljoen naar 4,7 miljoen euro. De oorzaak is een nieuwe fraudevariant waarbij criminelen pashouders onder valse voorwendselen zover krijgen om hun betaalpas op te sturen. Banken zullen klanten nooit vragen om de pas op te sturen of pincode af te geven. 14 95% van alle geslaagde hacks wordt veroorzaakt door een menselijke fout. Een 3G/4G-netwerk is meestal veiliger dan een openbaar WiFi-netwerk.
Ruim € 3.000.000,- kosten door beveiligingslek Een organisatie die de gevolgen van digitale risico’s pijnlijk heeft ervaren, is het Groene Hart Ziekenhuis in Gouda. Eind 2012 werd bekend dat tientallen medische dossiers en de gegevens van honderdduizenden patiënten jarenlang via internet toegankelijk zijn geweest op een nauwelijks beveiligde computer. Een korte schets van de situatie en de gevolgen, zoals deze door diverse bronnen worden bericht. De situatie De medische dossiers en de gegevens van honderdduizenden patiënten van het Groene Hart Ziekenhuis in Gouda waren jarenlang gemakkelijk te benaderen. Het ging om tientallen dossiers, variërend van opnamegegevens tot ogenschijnlijk complete patiëntendossiers. Ze bevatten bijvoorbeeld brieven tussen artsen, röntgenfoto’s, echo’s, hartfilmpjes, medicatielijsten, recepten, diagnoses, diverse soorten scans, behandelplannen en laboratoriumuitslagen. Ook het volledige patiëntenbestand met de informatie van ruim 493.000 personen bleek diverse malen op de computer te staan. Daarin staan naast patiëntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner. In een ander bestand was te vinden welke patiënt op welke afdeling bekend was. De respons Na de hack duurde het enkele dagen voordat het ziekenhuis in beweging kwam. Beveiligingsbedrijf Fox-IT had gezien dat iemand zich toegang had verschaft tot het netwerk en meldde dat aan de IT-afdeling. Maar daar bleef het liggen; het bericht bereikte de directie van het ziekenhuis niet. Pas toen er een nieuwsbericht op NU.nl verscheen, kwam het management in actie. De directie had toevallig twee weken daarvoor een training crisismanagement gehad. Ze waren helemaal voorbereid. Toen pas luisterde de directie naar Fox-IT en werd duidelijk dat er 7,5 GB aan data gedownload was. Het ziekenhuis gooide alles digitaal op slot en deed aangifte. De gevolgen De directe kosten voor het ziekenhuis waren € 300.000,-. Beveiligingsbedrijf Fox-IT moest meer uren draaien en KPMG werd ingehuurd om een audit te doen. Ook de communicatie- en juridische afdeling werden extra belast. De werkelijke kosten lagen naar alle waarschijnlijkheid een stuk hoger: zo’n € 3.000.000,-. Zo moesten onder andere alle verouderde computersystemen worden vervangen en nieuwe kabels worden getrokken. Ook zijn bepaalde delen van het netwerk nu losgekoppeld, waarvoor veel processen tijdelijk stilgelegd moesten worden. En dan zijn er nog de kosten van de Autoriteit Persoonsgegevens (AP). Twee jaar lang heeft de toezichthouder meegekeken met alle verbeteringen die het Groene Hart Ziekenhuis doorvoerde. Aanpassen, melden, meten, rapporteren, verbeteren, weer een rapportage. Het oordeel Het AP was snoeihard in zijn oordeel. Volgens de Wet bescherming persoonsgegevens moet een organisatie ‘passende technische en organisatorische maatregelen ten uitvoer brengen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking’. Dat had het Goudse ziekenhuis niet gedaan: de IT was hopeloos verouderd. De dader En de hacker? Dat was Jordy van J. Dat hij 7,5 GB aan data heeft gedownload, is niet bewezen. Wel dat hij een aantal documenten in handen heeft gekregen. Vervolgens ging hij in de patiëntgegevens op zoek naar bekende Nederlanders en liet dat aan zijn vriendjes zien. Daarin ging hij te ver. Hij kreeg daarvoor 120 uur taakstraf. “CU46?” “9!” Kunt u dit gesprek volgen? Computervirus bestaat 30 jaar In 2016 viert de digitale wereld een wrang jubileum: 30 jaar geleden werden computergebruikers namelijk voor het eerst de dupe van een virus. Waar in 1986 het zogenaamde BRAIN-virus nog verspreid werd via diskettes en het verwijderen van het schijfje voldoende was om het euvel op te lossen, zijn de schadelijke stukjes software de afgelopen 3 decennia flink geëvolueerd. Niet alleen gaat de verspreiding dankzij internet razendsnel, de virussen zelf zijn ook een stuk schadelijker en worden tegenwoordig vooral door criminelen gebruikt die uit zijn op geld. Het BRAIN-virus werd in 1986 ontwikkeld door twee Pakistaanse broers. Het was eigenlijk een experiment om de veiligheid van systemen te testen. De naam is afkomstig van het bedrijf van de broers, Brain Telecommunications, dat in 1986 al bestond. De 2 lieten ook hun adresgegevens en telefoonnummer in het virus achter. Naar eigen zeggen omdat het geen kwaadaardig maar een ‘vriendelijk’ virus was. Bron: metronieuws.nl Weet u wat er bedoeld wordt als u in een chatgesprek dat uw zoon of dochter met iemand voert ‘TDTM’, ‘CU46’ of ‘9’ ziet staan? Een tip: als u deze termen herkent uit een chatgesprek van uw kind, kan een goed ouder-kindgesprek wellicht geen kwaad. Onderstaand een verklarend woordenboek, voor elke ouder die weer helemaal ‘bij’ wil zijn. PIR 9 99 POS KPC IWSN TDTM NSFW Parent in room Parent watching Parent gone Parent over shoulder Keeping parents clueless I want sex now Talk dirty to me Not safe for work NIFOC CU46 Naked in front of computer See you for sex SUGARPIC Suggestive or erotic photo (L)MIRL IWU46 Let’s meet in real life I want you for sex Broken 420 TWD Hungover from alcohol Marihuana Texting while driving 55% van de mensen die online zijn, gebruikt voor elk account hetzelfde wachtwoord. Hackers kosten de samenleving naar schatting 2 biljoen dollar in 2019. 15
De cyberpolis: wat dekt het en wat kost het Na het lezen van de diverse artikelen in deze krant weet u het zeker: u moet uw bedrijf beschermen tegen de gevaren die digitaal werken met zich mee brengen. U heeft al verschillende verzekeringen, dus het risico zal wel gedekt zijn, toch? Het antwoord is nee, meestal niet. Traditionele verzekeringen houden meestal geen rekening met digitale risico’s: deze zijn al flink wat jaren geleden ontwikkeld en zijn op dat punt verouderd. Hoewel bepaalde verliezen gedekt kunnen worden onder standaardpolissen, zijn er meestal veel lacunes. Het beste is om een specifieke cyberpolis af te sluiten. Wat dekt een cyberpolis? De verzekeringsdekking verschilt natuurlijk per verzekeraar en is ook afhankelijk van uw wensen. Daarnaast kan deze ook van moment tot moment verschillen, aangezien de markt nog volop in ontwikkeling is. Onderstaande tabel geeft een indicatie. Voorafgaand aan een incident Assesment/scan door bijvoorbeeld IBM Kosten en vergoedingen van onderzoek, assistentie en eventueel betaald losgeld Online tool voor trainingen en relevante rapporten Tijdens een incident Begeleiding door gespecialiseerd team, zoals KPMG of Fox-IT Forensisch IT-onderzoek Korting op hard- en software Kosten crisismanagement en PR Kosten externe deskundigen melden inbreuk (juridisch, communicatie betrokkenen, meldplicht, inschakeling callcenter) Deskundig advies en overleg Kosten externe IT-specialisten Na een incident Kosten herstel website, intranet, netwerk, computersysteem, programma’s of data Bedrijfsschade Kosten bewaking creditcards betrokkenen Kosten toezicht rechterlijke procedures Digitale risico’s en uw huidige verzekeringen: mind the gap De indruk bestaat dat sommige digitale risico’s al gedekt zijn op enkele traditionele verzekeringen. Zo kan een bestaande bedrijfsschadeverzekering een deel van de gevolgschade dekken die door een cyberincident ontstaat. De belangrijkste bestaande verzekeringen die dit al gedeeltelijk dekken, zijn de brand- en technische verzekeringen (machinebreuk/computer), de aansprakelijkheidsverzekering en de fraudeverzekering. Brand- en technische verzekeringen Brand- en technische verzekeringen in de zakelijke markt bieden ofwel een all-risk dekking ofwel een dekking waarbij alleen specifieke schadeoorzaken verzekerd zijn. De all-risk dekkingen komen veel voor in de grootzakelijke markt, de specifieke oorzaken variant komt veel voor in de MKB-markt. In beide gevallen zal de overlap met cyberverzekeringen doorgaans klein zijn. Aansprakelijkheidsverzekeringen De algemene aansprakelijkheidsverzekering biedt in de regel alleen dekking voor zaak- en letselschade. Financieel nadeel valt hier niet onder, dus schade door cyberrisico ook niet. Ook een beroepsaansprakelijkheidsverzekering biedt onvoldoende dekking voor cyberincidenten. Toch kan het in sommige gevallen onderdeel uitmaken van de dekking. Dit is echter eerder uitzondering dan regel. Boetes Wat kost een cyberpolis? De kosten van een cyberpolis zijn afhankelijk van de gekozen dekking, het eigen risico en het verzekerd bedrag. Onderstaand vindt u een voorbeeldsituatie, waarbij afhankelijk van de jaaromzet een eigen risico geldt tussen de € 1.000,- en € 5.000,- per aanspraak. Verzekerd bedrag per aanspraak en maximaal per verzekeringsjaar € 250.000,€ 500.000,€ 1.000.000,€ 2.500.000,Jaarlijkse omzet Tot € 1.000.000,€ 700,€ 1.000,€ 1.525,€ 2.850,Tussen € 1.000.000,- en € 2.500.000,€ 850,€ 1.175,€ 1.725,€ 3.125,Tussen € 2.500.000,- en € 5.000.000,€ 1.125,€ 1.425,€ 2.050,€ 3.550,Tussen € 5.000.000,- en € 15.000.000,€ 1.750,€ 2.050,€ 2.800,€ 4.400,Mind the gap Geen enkele traditionele verzekering biedt dus uitgebreide dekking in geval van cyberincidenten. Daarom heeft een cyberriskverzekering in veel gevallen toegevoegde waarde. Analyseer de bestaande verzekeringen op mogelijke overlap, maar: mind the gap! Fraudeverzekeringen De commerciële fraudeverzekering biedt dekking voor de directe financiële gevolgen van frauduleus handelen door werknemers en gespecificeerde soorten van frauduleus handelen door derden, waaronder afpersing en computerfraude. Hierdoor kan er overlap ontstaan met de cyberverzekering, aangezien deze eveneens dekking biedt voor financieel nadeel als gevolg van afpersing, bijvoorbeeld bij encryptie van gegevens. Daarnaast kan overlap bestaan binnen de computerfraudedekking. Voor deze uitkering moet binnen de fraudeverzekering echter wel sprake zijn van daadwerkelijk verlies van financiële middelen (verlies van saldo op bankrekeningen). De kosten om een aanval af te wenden vallen buiten veel verzekeringsdekkingen. Daarnaast worden deze dekkingen binnen de fraudeverzekering veelal beperkt. Check uw digitale risico’s Kent u de interne en externe factoren die van invloed zijn op uw digitale risico’s? De vragenlijst op schoutenzekerheid.nl/digitaal helpt u een beter overzicht te krijgen van deze risico’s, waarna u interne controle- en beheersingsmaatregelen kunt treffen. Heeft u als ondernemer hulp nodig bij het in kaart brengen van de digitale risico’s van uw onderneming en - nóg belangrijker - de potentiële oplossingen? Neem contact met ons op of kom langs in de Schouten Toren. Volg ons ook op: /SchoutenZeker /company/Schouten-Zekerheid /SchoutenZekerheid /+SchoutenZekerheid Rivium Quadrant 81 2909 LC Capelle aan den IJssel T: + 31 (0)10 - 288 44 44 E: marco.dammers@schoutenzekerheid.nl W: www.schoutenzekerheid.nl 16 In 2015 zijn er in Nederland ruim 3.600 mensen slachtoffer geworden van internetoplichting. Dit zorgde voor een schade van ruim 12,2 miljoen euro.
1 Online Touch