VAN ONZE KE N N ISPARTN E R Voorbereid op cybercriminaliteit Optimaal risicomanagement onmisbaar bij inschatten cyberrisico’s De gevolgen van cybercriminaliteit kunnen erg groot zijn. Denk aan verlies van vertrouwelijke data, personeelsgegevens, verzuimgegevens, het in verkeerde handen komen van cijfergegevens, schade aan het IT-netwerk, aansprakelijkheidsclaims en reputatieschade. Beveiliging van data is niet alleen een technisch vraagstuk. Het is een strategische beslissing, waarbij de fi nancieel eindverantwoordelijke een grote rol speelt. Tekst: Wouter Parent en Robert van der Vossen zijn werkzaam bij CYCO Cybercrime Cover D e digitale wereld brengt organisaties een groot goed op het gebied van effi ciency en slagvaardigheid. ICT ondersteunt alle moderne (interne) bedrijfsprocessen en zorgt voor een vitale infrastructuur. De ICT-infrastructuur ontwikkelt zich snel. Het werken via internet en de handel via webshops is volledig geïntegreerd in onze maatschappij. Organisaties kennen een hyperconnectiviteit. Het nieuwe werken als BYOD (bring your own device) wordt standaard. Ook de criminele wereld heeft ontdekt dat er in deze virtuele maatschappij veel geld te verdienen valt. Cybercriminaliteit kost het Nederlandse bedrijfsleven en overheidsorganisaties jaarlijks 10 miljard euro. In de top drie van de meest kwetsbare sectoren staat de publieke sector. Methoden van criminele hackers evolueren sneller dan security. Door veel organisaties worden de (virtuele) risico’s nog zwaar onderschat en vaak hebben zij geen duidelijk beeld van de gevolgen van een cyberincident. Meldplicht Datalekken Een extra dimensie voor de bewustwording van de fi nanciële risico’s, is de komst van nieuwe wettelijke regels. Sinds 1 januari 2016 zijn de aanpassingen van de huidige Wbp (Wet bescherming persoonsgegevens) van kracht. Een onderdeel van deze aanpassing is de nieuwe Meldplicht Datalekken. Organisaties (bedrijven en overheden) moeten, op straffe van sancties en boetes, onverwijld melding doen van datalekken van privacygevoelige gegevens. De Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens) heeft, net als 18 Aanpassen contracten Het is zaak dat de organisatie in kaart brengt hoe binnen de organisatie en via welke externe bewerkers (ICT-bedrijven/hosting/cloud/leveranciers) privacygevoelige data kunnen lekken. De organisatie zal nieuwe afspraken voor het signaleren en informeren van datalekken moeten vastleggen en mogelijk hiervoor bestaande contracten of Service Level Agreements moeten openbreken. Naast kosten van ICT zal de organisatie vooral rekening moeten gaan houden met grote bedragen, bijvoorbeeld de Autoriteit Financiële Markten (AFM), een zelfstandige bevoegdheid tot het opleggen van sancties en boetes. Deze boetes kunnen oplopen tot 820.000 euro. De eerst logische reactie van de organisatie om het datalek intern te houden, is dan niet meer mogelijk. Onverwijld, er wordt een termijn genoemd van 72 uur, moet de organisatie gekwantifi ceerd en gekwalifi ceerd, de Autoriteit en in sommige gevallen ook de betrokkenen, informeren over welke data gelekt zijn en welke maatregelen de organisatie treft. DOOR VEEL ORGANISATIES WORDEN DE (VIRTUELE) RISICO’S NOG ZWAAR ONDERSCHAT
19 Online Touch Home