Risicobereidheid of onwetendheid? Het overkomt de besten. Per ongeluk ‘verkeerde’ informatie rondmailen of op een ‘foute’ link klikken. We worden steeds afhankelijker van IT en lopen daarmee een grotere kans om slachtoffer van een cyberincident te worden. Jhalmar de Vaal van Schouten Zekerheid gaat daarom in gesprek met drie verzekeraars over de impact, financiële gevolgen en oplossingen voor dit soort digitale risico’s. Is het digitale risico het grootste ondernemersrisico? Het antwoord was eensluidend. “Alle risico’s die de continuïteit van een onderneming in gevaar brengen, zijn even belangrijk.” Wel zijn digitale risico’s het meest complex en is hierover (nog) weinig bekend. Zo vroeg CHUBB ondernemers eens naar de meest kritische cyberrisico’s. Daar waar zij de cybercrimineel in algemene zin als grootste veroorzaker noemden, gaven hun IT-ers concreet patchmanagement, het installeren van updates, als dé grootste oorzaak van digitale risico’s aan. Technische storingen of hacking van een website waarop producten worden verkocht, kunnen de continuïteit van een onderneming ernstig aantasten volgens Lars Springeling (AIG). Omdat dit type schades behoorlijk kunnen oplopen en steeds vaker voorkomen, vraagt Jhalmar de verzekeraars waarom veel ondernemers nu geen of een zéér beperkte dekking hebben. “Bedrijven zijn in toenemende mate afhankelijk van IT, maar ondernemers zijn zich van de risico’s niet of onvoldoende bewust”, verklaart Zico van Rooijen (CNA Hardy) deze terughoudendheid. Daniël Jacobs (CHUBB) vult aan: “De onlangs in werking getreden Wet meldplicht datalekken brengt deze bewustwording echter versneld op gang en legt een grote verantwoordelijkheid bij organisaties neer. In het verleden konden zaken makkelijker in de doofpot worden gestopt, maar nu moeten gedupeerden over mogelijke nadelige gevolgen worden geïnformeerd. Ook kan sprake zijn van hoge aansprakelijkstellingen. Bijvoorbeeld bij het uitlekken van medische gegevens.” Wat zijn de voordelen van een cyberpolis? Een cyberpolis vergoedt de kosten voor het inzichtelijk maken en verhelpen van de calamiteit en de mogelijke aansprakelijkheid die daaruit voort kan vloeien. Jhalmar: “Evenzo belangrijk is dat verzekeraars een pallet aan dienstverleners aanbieden die de ondernemer bij een dergelijke calamiteit ondersteunen.” Daniël beaamt dat: “Wij helpen de klant zo snel mogelijk bij het concreet herstellen van zijn IT-systeem. Ook bieden wij callcenter-activiteiten of een responseservice aan om klanten van de gedupeerde ondernemer te informeren of op een andere manier van dienst te zijn. Alles om de continuïteit van de onderneming zo snel mogelijk te herstellen.” “Alle risico’s die de continuïteit van een onderneming in gevaar brengen, zijn belangrijk” Ook Zico benadrukt: “Aangezien de beleidsregels van de meldplicht 62 pagina’s beslaan, is ook juridische ondersteuning geen overbodige luxe. Vaak zie je dat een ondernemer niet specifiek is voorbereid op een cyberincident waar het gaat om het opvolgen van deadlines, het informeren van stakeholders en de beschikbaarheid van IT-mensen. Actueel is ook dat bedrijven worden geconfronteerd met ransomware (een vorm van internetfraude). Daarbij worden systemen geblokkeerd en kan de sleutel worden verkregen via het betalen van een afkoopsom in bijvoorbeeld bitcoins. De services van verzekeraars zijn specifiek op deze incidenten afgestemd, met een 24/7-garantie.” Is het noodzakelijk om een cyberpolis af te sluiten? Vanwege de stijgende schadelast wordt het cyberrisico in de Verenigde Staten voor particulieren meestal standaard verzekerd. De verwachting is dat over tien jaar 80% van de ondernemers een vorm van een cyberverzekering heeft. Jhalmar en Lars zijn het eens dat ondernemers moeten weten wat hun meest kritische informatie is. Welke informatie over werknemers, processen, klanten of juist leveranciers absoluut niet op straat mag komen te liggen. Jhalmar: “Doe dit door bijvoorbeeld een risicoanalyse te maken in samenwerking met Schouten Zekerheid. De ondernemer kan vaak zelf al een aantal maatregelen treffen voor het waarborgen van de bedrijfscontinuïteit. Verzekeren is een optie, maar is niet altijd noodzakelijk.” Ook Zico is deze mening toegedaan. “Op voorwaarde dat er goed geanalyseerd is en het een weloverwogen beslissing is om het risico niet te verzekeren, hoeft een verzekering in sommige gevallen niet per se noodzakelijk te zijn. Als ondernemer kun je een team van dienstverleners om je heen verzamelen en een incident-responseplan hebben waardoor je de risico’s volledig in eigen beheer kan tackelen. Als je kapitaalkrachtig bent, zou dit een oplossing kunnen zijn.” Kun je digitale risico’s helemaal uitsluiten? Digitale risico’s kennen twee kanten. De harde, IT-procesmatige kant en de zachte, menselijke kant. Lars ziet ook bij klanten van AIG procentueel veel schade door menselijk handelen ontstaan. “Denk aan het kwijtraken van een USB-stick of het door de drukte te laat updaten van software. Je kunt nog zulke goede IT en “Over 10 jaar heeft naar verwachting 80% van de ondernemers een cyberverzekering” 8 25% van de bedrijven heeft niet nagedacht over online beveiliging. Het verlies aan productiviteit na een cyberaanval bedraagt gemiddeld 31 dagen.
9 Online Touch Home