Optimaal risk management onmisbaar bij inschatten cyberrisico’s

  1. 11 nov 2015
  2. 0 reacties

De digitale wereld brengt organisaties een groot goed op het gebied van efficiency en slagvaardigheid. ICT ondersteunt alle moderne bedrijfsprocessen en zorgt voor een vitale infrastructuur. De criminele wereld heeft ontdekt dat er in deze digitale maatschappij veel geld te verdienen valt. Cybercriminelen zijn steeds meer financieel gemotiveerd geraakt en er is duidelijk sprake van een trend van ‘hacking for fame’ naar ‘hacking for fortune’. Methoden van cybercriminelen evolueren daarbij sneller dan security. Wat kunnen we daar tegen doen?

‘Dat overkomt ons niet’ is een veelgehoorde reactie op de vraag of een organisatie voldoende beschermd is tegen cyberaanvallen. Bestuurders en directieleden van organisaties zijn vaak van mening dat de ICT-beveiliging afdoende is. Er is immers flink geïnvesteerd in technische middelen zoals firewalls, malware detection, access management, en dergelijke. De digitale risico’s worden door ondernemers echter zwaar onderschat en er is veelal geen duidelijk beeld van de gevolgschade.

De gevolgen van cybercrime voor de organisatie kunnen erg groot zijn. Denk maar aan verlies van bedrijfsinformatie of personeelsgegevens, verzuimgegevens, het in verkeerde handen komen van offertes, schade aan het IT-netwerk, aansprakelijkheid claims en reputatieschade.

Meldplicht Datalekken

Een extra dimensie voor de bewustwording van de financiële risico’s van een cyberincident is de komst van nieuwe wettelijke regels. Op 1 januari 2016 zijn de aanpassingen van de huidige WBP (Wet Bescherming Persoonsgegevens) van kracht. Een onderdeel van deze aanpassing is de nieuwe Meldplicht Datalekken. Organisaties (bedrijven, overheden & non-profit) moeten op straffe van sancties en boetes onverwijld melding doen bij datalekken van privacy gevoelige gegevens. Het CBP wordt de Autoriteit Persoonsgegevens en krijgt een zelfstandige bevoegdheid tot het opleggen van sancties en boetes. Deze boetes kunnen oplopen tot een maximum van € 810.000. Niet alleen de verantwoordelijken, maar ook bewerkers en medeplegers (feitelijk leidinggevenden) kunnen een boete opgelegd krijgen.

De eerst logische reactie van de organisatie om het datalek intern te houden is dan dus niet meer wenselijk. Onverwijld moet de organisatie gekwantificeerd en gekwalificeerd de Autoriteit informeren over welke data gelekt zijn en wat de organisatie voor maatregelen treft. Daarnaast moet de organisatie alle betrokkenen informeren wanneer het datalek (een kans op) nadelige gevolgen voor betrokkenen heeft.

Contracten en privacy management

Het is dus zaak dat de onderneming in kaart brengt hoe data kunnen lekken en met welke bewerkers (ICT-bedrijven, hosting-aanbieders, cloud-leveranciers en dergelijke) zaken wordt gedaan. De organisatie zal nieuwe afspraken moeten maken voor het signaleren en informeren van datalekken. Bestaande contracten moeten mogelijk worden aangepast. Een aanbieder als CYCO kan bewerkingsovereenkomsten en IT-contracten actualiseren naar de nieuwe wetgeving.

De meldplicht en andere verordeningen zullen een hele nieuwe fase inluiden in de bewustwording van cyberrisico’s. Organisaties zijn immers tot nu toe geneigd om bij ieder datalek vooral zo weinig mogelijk publiciteit hieraan te geven vanwege een reële reputatie- en imagoschade. Door de meldplicht zal aan veel meer incidenten ruchtbaarheid moeten worden gegeven.

Kwetsbaarheden

Voor organisaties is het belangrijk antwoord te kunnen geven op de vraag waar de kwetsbaarheden die een cyberrisico vormen zich precies bevinden. En wat waardevolle data is en dan niet alleen in de ogen van de organisatie, maar ook hoe een cybercrimineel dit beoordeelt. Het is de verantwoordelijkheid van iedere organisatie om persoonsgegevens te verwerken overeenkomstig de bepalingen in de Wet Bescherming Persoonsgegevens. Door de enorme groei van digitale opslag en de opkomst van externe dataopslag groeit ook het gevaar van het overtreden van privacyregels. De hoofdverantwoordelijkheid ligt bij de bestuurder van de organisatie - ook als het datalek plaatsvindt bij bijvoorbeeld een cloud provider. Bovendien constateren wij dat cybersecurity in toenemende mate onderdeel gaat uitmaken van de beoordeling van de kredietwaardigheid van de organisatie. Dit heeft weer een impact op de financierbaarheid van de organisatie. 

Cyber Risico Analyse

CYCO biedt organisaties een complete analyse van de specifieke cyberrisco’s binnen de onderneming. Het bedrijf krijgt waardevolle managementinformatie waar de organisatie direct mee aan de slag kan. De CRA start met een nulmeting. Deze nulmeting geeft inzicht in de volwassenheid van de huidige maatregelen binnen de organisatie per aandachtsgebied. Na de nulmeting bin staat om per aandachtsgebied bewuste keuzes te maken. We adviseren u vervolgens door concrete aanbevelingen te geven en hierin prioriteit te bepalen. De grootste risico’s dienen als eerste te worden gemitigeerd. We werken daarin graag samen met (bestaande) IT-partners.

 

 

Bewustzijn

Organisaties leggen bij informatiebeveiliging vaak sterk de nadruk op de techniek. In de praktijk blijkt dat technische maatregelen weliswaar noodzakelijk zijn, maar zeker niet afdoende zijn om voldoende bescherming te bieden. Beveiligingsmaatregelen tegen cybercrime-risico’s zijn zo sterk als de zwakste schakel. En dat is vaak de mens. Organisaties zullen - mede door invoering van de eerdergenoemde melkplicht - zelf interne protocollen moeten opstellen om te voldoen aan een adequaat veiligheidsniveau.

CYCO helpt ondernemingen bij het analyseren van de risico’s en financiële gevolgen van systeeminbraken en datalekken. Een belangrijk onderdeel daarbij is kennisoverdracht op het gebied van risicobewustwording van iedereen binnen de organisatie. Dat gebeurt via workshops en masterclasses met een zogenaamde ‘hacker experience’. Tijdens deze trainingen laat een ethische hacker zien hoe cybercriminelen te werk gaan. Hierdoor kunnen medewerkers mogelijke risico’s zelf gaan herkennen en hier actie op ondernemen. 

Risico’s inschatten

De kosten van een cyberincident of datalek lopen snel op. Denk eens aan IT-kosten, forensische experts, imagoschade en advocaatkosten. De cybercrime-verzekering is in Nederland een nieuw product. Er zijn nog maar weinig verzekeraars die een volwaardig product bieden. In landen als de Verenigde Staten en Groot-Brittannië zijn deze verzekeringen al veel langer gemeengoed. Het Verbond van Verzekeraars schrijft in haar Position Paper oktober 2013 ‘Virtuele risico’s, echte schade’ dat de behoefte in Europa sterk toeneemt. Experts verwachten dat op termijn een verzekering voor het cyberrisico net zo gangbaar is als een brandinbraak verzekering.

Wouter Parent en Robert van der Vossen zijn beiden werkzaam bij CYCO Cybercrime Cover