Verleende Watervergunning voor het onttrekken van grondwater

itmanagement
De schade die cyberaanvallen een bedrijf kunnen toebrengen, kan enorm zijn. Daar kunnen
in de toekomst nog boetes van de overheid bovenop komen. Gelukkig bieden enkele verzekeraars de mogelijkheid die risico’s te verzekeren. Wat houden die verzekeringen in, wat
wordt gedekt en waar moet je aan voldoen om je tegen een redelijk tarief je te verzekeren?
door: tanja de vrede / [email protected] beeld: DE BEELDREDAKTIE / DIEDERIK VAN DER LAAN & guido benschop
Cybercrime?
Daar kun je je
tegen verzekeren
D
DoS-aanvallen, gestolen wachtwoorden, chantage via
internet. Cyberincidenten zijn sinds enkele jaren een
realiteit. Een realiteit waarvan de financiële schade
wereldwijd op meer dan 100 miljard euro wordt geschat.
Bovendien komt er wetgeving aan die bedrijven verplicht
inbreuken te melden, bijvoorbeeld de Europese Cyber Security richtlijn
en de Meldplicht Datalekken in Nederland. Bij een inbreuk op die
voorschriften kunnen hoge boetes worden opgelegd.
Sinds enkele jaren zijn voor die financiële risico’s verzekeringen af te
sluiten. Verzekeringsadviseur AON bijvoorbeeld biedt verzekeringen aan
voor computercriminaliteit. Mark Buningh van AON: “Feitelijk is er nu
één type verzekering dat door ongeveer tien verzekeraars wordt
aangeboden en bij elke verzekeraar ongeveer dezelfde kostencomponenten dekt.” De gedekte kosten zijn:
• Aansprakelijkheid voor schade aan derden, doordat hun gegevens van
jou zijn gestolen of beschadigd.
• Boetes.
16
Yasin Chalabi, manager Professional Insurance & Data Risks bij Hiscox:
“Ik verwacht een sterkere groei in het aantal verzekeringen met de
komst van de Meldplicht Datalekken.”
• Crisismanagement. Vergoeding voor bijvoorbeeld incidentrespons,
de inzet van pr-adviseurs, juridische adviseurs, experts voor
forensisch onderzoek. “De ervaring leert dat wie een aanval of
incident goed uitlegt aan de media niet noodzakelijk grote schade
aan zijn imago hoeft te lijden. Dan is pr-advies erg nuttig”, zegt
Buningh. Daardoor hoeft de verzekeraar minder schade te vergoeden, want die is ook minder.
• Reconstructiekosten. Kosten voor het herstel als er gegevens zijn
beschadigd of verloren gegaan.
• Afpersing, bijvoorbeeld in de vorm van ransomware.
• Bedrijfsstilstand. Hierbij gaat het om vergoeding van gemiste
nettowinst. Dit is vooral interessant voor bedrijven die voor hun
omzet in grote mate afhankelijk zijn van ICT, zoals webwinkels.
De belangrijkste aanbieder van cybersecurityverzekeringen is momenteel Hiscox. Het bedrijf is bijna vier jaar actief op de Nederlandse markt.
Yasin Chalabi, manager Professional Insurance & Data Risks bij Hiscox:
Mark Buningh, AON: “Verzekeren is geen alternatief
voor goed risicomanagement.”
“In de eerste jaren hadden we maar enkele klanten. We waren de eerste
verzekeraar met cybersecurityverzekeringen en als de rest van de markt
nog niet meegaat, is het moeilijk.
Nu is sprake van een positieve trend. Je ziet dat bedrijven kosten in
het budget opnemen. We krijgen veel aanvragen en sluiten veel
verzekeringen af, al kan de conversie beter. We schrijven nog geen
omzet met zes nullen.
Ik verwacht een sterkere groei als met de komst van de Meldplicht
Datalekken, waarbij boetes opgelegd kunnen worden tot 450.000 euro,
het aantal meldingen stijgt. Het Cbp gaat uit van 60.000 meldingen
per jaar.”
•
•
•
voor een inbreuk, ben je aansprakelijk omdat die hacker dit heeft
kunnen doen doordat de beveiliging niet op orde was.”
Eigen schade, kosten die worden gemaakt als er een inbreuk is
geweest in de systemen. Dekking: Forensisch ICT-onderzoek, de
kosten voor het melden van een data-inbreuk, juridische kosten,
pr-kosten, kosten voor beantwoorden van vragen van slachtoffer –
daar wordt vaak een callcenter voor in de arm genomen – en het
monitoren van betaaltransacties.
Hackersschade. Kosten voor het herstel aan een site of netwerk en het
herstel van alle elektronische gegevens worden gedekt.
Cyberafpersing. Dekking voor de kosten die voortvloeien uit de
afpersing: experts om te onderhandelen en het losgeld dat mogelijk
wordt betaald. Chalabi: “Hierbij moet je tussen twee kwaden kiezen;
of prinicipieel geen losgeld betalen of wel. Het laatste is meestal
goedkoper dan verloren gegevens herstellen en de impact van
reputatieschade wanneer de hacker de gegevens openbaar maakt.”
Cyberinkomstenderving. Bedrijven die veel online verkopen, kunnen
het verlies van inkomen door een hack of andere digitale aanval
dekken. Goed is aan te tonen dat en hoeveel omzet wordt gederfd
doordat de systemen uit de lucht zijn.
De Data Risks by Hiscox-verzekering bestaat uit verschillende dekkingselementen, die immer in de verzekering zitten. Het is geen kwestie van
modules die een klant wel of niet neemt. De gedekte kosten zijn hier:
• Aansprakelijkheid bij inbreuken op de privacy. Bij een lek of een hack
worden juridische kosten, schade aan derden, het melden bij toezichthouders en de verdediging gedekt.
• Cyberaansprakelijkheid. Bescherming voor de verzekerde die
aansprakelijk wordt gesteld voor smaad, laster, het verspreiden van
virussen via e-mail, of schade die ontstaat doordat iemand uit jouw
naam uitingen doet. Chalabi: “Ook als een hacker verantwoordelijk is
Welke eisen worden aan de verzekerde gesteld?
Prikkel om bewustzijn
over ICT-beveiliging bij
directies te vergroten
AON kijkt naar verschillende aspecten voor het een klant accepteert.
Buningh: “Bijvoorbeeld de omvang van het over te dragen risico. Daarbij
wordt gekeken naar omzet, industrie, aantal medewerkers, het eigen
risico en de gewenste dekkingsgraad. Bedrijven met een omzet tot 50
miljoen euro kunnen online een verzekering afsluiten. AON wil dit
oprekken tot 100 miljoen euro. Gaat het om multinationals met meer
dan 100 miljoen euro omzet, dan kijken we naar het schadeverleden,
aspecten van de huidige beveiliging. Dan komt ook een auditor langs om
te bepalen wat de verzekerbaarheid is van de organisatie.”
•
Virtuele risico’s, echte schade
Het Verbond van Verzekeraars bracht vorig jaar een position paper uit: ‘Virtuele risico’s, echte schade’. De paper dient als handvat voor verzekeraars
die zich op deze markt willen richten en vertelt verzekerden wat de risico’s zijn en wat er verzekerbaar is.
“Een nuttig document”, noemt een woordvoerder van het ministerie van Veiligheid en Justitie de paper. De komst van cybersecurityverzekeringen ziet
het ministerie als een positieve ontwikkeling. “De verzekering kan een onderdeel zijn van een solide beveiligingsprogramma en een stimulans om de
beveiliging te verbeteren. We moeten zien hoe de markt zich ontwikkelt op dit vlak.”
De Nederlandse overheid heeft geen actief stimuleringsbeleid zoals bijvoorbeeld in de VS. Dat lijkt het Verbond van Verzekeraars niet te deren. “Bemoeienis van de overheid om de markt te laten groeien lijkt me een verkeerde doelstelling, het gaat uiteindelijk om belangrijke veiligheidsissues. Dat
is de kern”, zegt een woordvoerder. “In Nederland zijn er ook landelijke bewustwordingscampagnes waarin wij participeren zoals Alert Online van het
Nationaal Cyber Security Centre.”
Nederland ICT
Ook branchevereniging Nederland ICT ziet dat cybersecurityverzekeringen kunnen fungeren als een financiële prikkel om het bewustzijn over ICTbeveiliging te vergroten in de bestuurskamer. “Als die markt groter is, is dat een goede stimulans en is tussenkomst van de overheid niet nodig om de
cyberveiligheid te vergroten”, zegt Bart Pegge, beleidsmedewerker bij Nederland ICT.
De branchevereniging spreekt vaak met verzekeraars. Zo is een beroepsaansprakelijkheidsverzekering voor MKB-bedrijven in de sector tot stand gekomen met tussenpersoon AON en verzekeraar Hiscox. Pegge: “We zijn continu in gesprek met verzekeraars. Maar zaken in de ICT zijn lastig voor verzekeraars en je ziet ze worstelen om grip te krijgen op IT-producten.” Concrete adviezen over cybersecurityverzekeringen heeft de branche-vereniging niet.
17
itmanagement
18
De beveiliging moet wel op orde zijn. “Verzekeren is geen alternatief
voor goed risicomanagement. Men denkt bijvoorbeeld dat de back-up
goed geregeld is, maar als dan bij schade blijkt dat dat niet het geval was,
wordt een deel van die schade niet vergoed”, zegt Buningh.
Niet elk verlies is verzekeraarbaar. Er zijn uitsluitingen bij nalatigheid
– bijvoorbeeld in degelijk onderhoud – als ook bij opzet, strafbare
feiten, onbevoegd of onrechtmatig verzamelde gegevens, licentievergoedingen of supercontractuele aansprakelijkheid zoals garantie- en
vrijwaringsbedingen.
Buningh: “Wij realiseren ons dat je de boel niet 100 procent kunt
dichttimmeren. De werkelijkheid is complex. Zelfs als je patchbeleid
volledig up-to-date is, kan er 5 minuten later een nieuw lek misbruikt
worden. Het is een mission impossible.
Daarom praten wij met klanten over de rol van risicomanagement als
vangnet. In het verkeer kun je veiligheidsmaatregelen treffen als
‘Klanten eisen
verzekering’
Een IT-dienstverlener die niet met naam en toenaam in het
blad wil, was twee jaar geleden één van de eerste klanten van
Hiscox. Het bedrijf sloot een beroepsaansprakelijkheidsverzekering inclusief volledige Data Risks/Cyber-dekking, een
verzekering die onder meer dataverlies dekt.
De dienstverlener rekent bijna alle energie- en waterbedrijven tot zijn klantenkring. Het bedrijf verzamelt gegevens
die door bewerking geschikt gemaakt worden om de klantprocessen te voeden. Daarbij gaat het onder meer om data afkomstig van (mobiel) internet, telefonie en fysieke documentenstromen. Ook heeft het bedrijf een product ontwikkeld
voor het plannen en managen van werkopdrachten, waarbij
de oplossing werkzaamheden op fysieke locaties ondersteunt, onder meer met een app voor tablets en smartphones.
“Wij werken met privacygevoelige gegevens van klanten, die
ook nog eens door meerdere partijen bewerkt worden, zoals
drukkerijen en de post. Dan bestaat er een risico dat gegevens
in verkeerde handen komen”, legt de contractmanager uit.
“Sinds de implementatie van ISO 27001 stellen we elk jaar
een risico-inventarisatie op om te zien welke risico’s met
betrekking tot informatiebeveiliging afgedekt of beperkt
moeten worden. Dat data van klanten oneigenlijk gebruikt
zouden kunnen worden en mogelijk op straat zouden komen
te liggen, bleek een van de grootste risico’s te zijn.”
Het bedrijf heeft een verzekering voor die risico’s. De contractmanager: “Wij zijn een relatief klein bedrijf en doen
mee met aanbestedingen. Ons management zag al snel de
noodzaak in van goede informatiebeveiliging en het verzekeren van bijbehorende risico’s. Energiebedrijven leggen dit
ook aan ons op. Deze verzekering komt bij aanbestedingen
dan ook goed van pas. Over commitment van het management omtrent het belang van informatiebeveiliging heb ik
echt niet te klagen.”
Toen het bedrijf ruim twee jaar geleden op zoek ging naar
een verzekeraar voor een beroepsaansprakelijkheidsverzekering die ook de risico’s van dataverlies dekte, vond het er
welgeteld twee: Hiscox en Zürich. “Er zijn heel veel standaard aansprakelijkheidsverzekeringen. Als die al dataverlies
dekten, sloten ze het gebruik van open source uit want ‘daar
programmeren ook anderen aan’. Wij gebruiken juist open
source in onze oplossingen.”
Het werd dus Hiscox. De contractmanager: “De dekking voor
dataverlies is uitgebreid en omvat bijvoorbeeld ook dekking
van kosten voor forensisch onderzoek. De oorzaak van het
dataverlies is voor Hiscox ondergeschikt aan het adequaat oplossen van de gevolgen. Daar hebben we ook op geselecteerd.
De premie die we betalen voor deze verzekering is niet laag.
Dan willen we niet de hoofdprijs betalen voor een verzekering die niet uitkeert.”
Het bedrijf heeft in de twee jaar dat het verzekerd is, nog niet
hoeven claimen. “Maar we zijn ons ervan bewust dat dit géén
garantie voor de toekomst biedt.”
autogordels, toch blijft een aansprakelijkheidsverzekering nodig. In het
digitaal verkeer is ook nooit 100 procent veiligheid te bereiken, een
cyberverzekering is dan een goede aanvulling.”
Bij Hiscox hangen de eisen die de verzekeraar stelt af van de omzet van
een bedrijf. “Blijft de omzet onder de 50 miljoen euro dan stellen we
weinig beveiligingseisen”, zegt Chalabi van Hiscox. In die gevallen blijft
het bij het gebruik van goede antivirussoftware, tijdig updaten, de
aanwezigheid van een firewall. De dekking is maximaal 1 miljoen euro.
De verzekering kan online worden aangevraagd. Wie een aanvraag doet
voor de Data Risks-verzekering kan eerst gratis een risicoscan doen, een
self assessment eigenlijk. Aan de hand van een lijst vragen over de
beveiliging binnen de organisatie van de aanvrager wordt duidelijk wat
niet goed is geregeld. “Dat hoef je niet te doen. Wij zien het als een
service waarmee een klant zich realiseert dat het ook voor hemzelf niet
goed is dat zijn beveiliging niet op orde is”, aldus Chalabi.
Organisaties met een omzet hoger dan 50 miljoen euro of die een
hogere dekking dan 1 miljoen euro willen, moeten eerst een uitgebreider assessment doen die door een partner van Hiscox wordt uitgevoerd.
Chalabi: “Wij kijken of er een bepaald beveiligingsniveau is, zoals goede
antvirussoftware, tijdige updates, een firewall. Hoe is de awareness van
de gebruikers, werken er mensen thuis en hoe is dat beveiligd? Is het
bedrijf eerder gehackt? Hoeveel mensen hebben toegang tot de ICT, is
BYOD gebruikelijk en hoe is dat beveiligd? Zaken als versleuteling van
de gegevens werken bijvoorbeeld premieverlagend. Deze test is ook
gratis.” Het maximaal verzekerde bedrag voor deze grotere organisaties
is 15 miljoen euro.
Wat kost het?
De verzekering van AON is prepriced, voor klanten met een omzet tot
50 miljoen euro. Bij een dekking van 3 miljoen euro met een eigen risico
van 5000 euro is de premie 4800 euro per jaar.
Bij Hiscox betaalt een organisatie met een omzet van meer dan 50
miljoen euro en een dekking van 1 miljoen euro per jaar 7300 euro. Een
organisatie met een omzet van 5 miljoen euro betaalt minder dan 2000
euro premie. Een organisatie met een verzekerd bedrag van 250.000
euro betaalt een premie van 845 euro.
Hoe wordt de schade berekend?
Verzekeraars sturen eigen teams deskundigen voor forensisch onderzoek die bekijken wat de impact van de inbreuk is. Vervolgens wordt
met een PR-team bepaald of onmiddellijk met nieuws naar buiten wordt
getreden of dat dat later moet. Als de verzekerde het incident volgens
een meldplicht moet melden, worden juristen ingeschakeld.
AON haakt aan bij bestaande risicotoleranties, zegt Buningh. Kwantitatief is dat deels te onderbouwen met schadestatistieken, maar die zijn
heel weinig voorhanden voor cybersecurityschade. “Voor brandverzekeringen kun je terugvallen op 325 jaar ervaring, maar voor cyberverzekeringen maar vijf jaar. Bovendien houden veel organisaties het voor zich,
dat ze zijn aangevallen.
Daarom baseren we ons ook op claims en simulaties bij het bepalen van
de kans dat het aannemelijk is dat risico’s optreden, de verwachte
schade, het cyberrisico. De risicofactoren zijn te complex om tot grote
nauwkeurigheid te komen. We bouwen op de waarschijnlijkheid van het
optreden van incidenten, de mogelijke impact en de frequentie. Het is
niet statistisch uitgekristalliseerd maar uiteindelijk wel nuttig voor de
klant. Als de BlackBerry van een medewerker verdwijnt is dat vervelend,
maar is het de smartphone van de CEO dan zijn de risico’s op schade veel
groter, omdat daar heel andere data in kunnen zitten.”
Ondanks deze onzekerheden is het toch goed om de mogelijke schades
te onderzoeken, stelt Buningh. Het vergroot de bewustwording,
waardoor de kans op schade kleiner is. Het wijst de bestuurder op zijn
aansprakelijkheid, want als er straks een meldplicht is, word je aansprakelijk gesteld voor de schade.
Hiscox’ Chalabi: “De kosten van forensisch onderzoek en PR-teams zijn
duidelijk en goed te berekenen. Gaat het puur om verlies van data dan
moet je bewijzen welke data dat waren en hoe vaak ze gebruikt werden
voor commerciële doeleinden. We zetten er geen prijs op van 2 tot 3
euro per file. Wij vergoeden de kosten die het gevolg zijn van het verlies
van data. Dus bijvoorbeeld de kosten voor een creditcardmaatschappij
om nieuwe creditcards uit te geven als creditcardgegevens zijn
gestolen.”
»

Download Report