Presentatie Cyber Risk Management

1 00 1010
Risicomanagement & -financiering
Cyberrisico’s onder controle
Aon Global Risk Consulting
Opgesteld voor: RPPC
Datum: 27 mei 2014
1010100101001 00 1000100000101010010100100
010010100111000010010101010 010010101001
010100100100010101010101010001010010000101 010010
101 0100 10 1011 10010010101000010010101001
010101001010000 010000110010010 010
010 101011010101001101010010100100101001
010101010101010010 01011010101
0101 010101 01111010 100101010101001010
010101001 001010010010011010101010010
010101010010 101010010101010
1010 01011001111010 1010101010101010 01001010
1001010100100001010101010 101001
1010101010101010101010110
1010 10 10101 010 010010 1 101010100101
011010000111010101010110101
0101010101010101010101 0100100101010101
10100101010101101000 10101
01010 10010100100101010010010101010
01010100 1010100010 01101010
010101010010010010010101010
01010 10101 010101 0100100100 1010
01010101010100 011010101010010
10
0101
0101010001010101010101010
01010101101010100 10101010101010
0101010101010010001010010101
01101010101001010101010
01 01 01001000 10101010101010
0101010101001001001010010 10
010
10101010100100101
0101010101001001010101
010110 10010010101001 101
0 1 01 010 10100101010101010010
010101010 1100100101010
1001 01010010 010100101010101
010 101 01010 010101001010101
010 1 0100 01010101
Enkele stellingen vooraf …
1.
De rol van ICT is veranderd van kantoor- en procesautomatisering naar een strategische
productiefactor. Zonder ICT gebeurt er niets meer!
2.
In het tijdperk van technologisering, automatisering, informatisering en digitalisering speelt
ICT een cruciale rol bij de realisatie van de organisatorische doelstellingen. Het gebruik van
computersystemen en –netwerken in de primaire bedrijfsfuncties, is daardoor een
bestuurlijk thema geworden.
3.
Een groot gedeelte van wat wij cyberrisico’s noemen, is met relatief beperkte middelen te
ondervangen. Management van (cyber)risico’s heeft daardoor, zeker nu, een positieve
‘return on investment’ (dwz: levert direct meer op dan het kost)
4.
‘Privacy’ en ‘Digitaal/Online’ gaan niet samen (Internet is per definitie onveilig)
5.
"Cyber is een hype. Voor de cyberrisico's van vandaag is binnenkort gewoon een oplossing"
6.
"Verzekeraars (als risico-dragers) hebben hier niets te zoeken; Cyber is én blijft het domein
van ICT specialisten die hun dienstenaanbod aanpassen en uitbreiden"
2
Wat zijn Cyberrisico’s ?
3
Passende gelaagdheid binnen de informatiebeveiliging
Preventief
(voorkomen)
Rookverbod
Informatie beleid (IS)
Detectie
(signaleren)
Rookmelder
Virusscanner,
Monitoring, IDS, etc.
Repressief
(onderdrukken)
Sprinkler
Security Information
& Event Mgt (SIEM),
IPS
Correctief
(herstellen)
Brandverzekering
Verzekerbaar?
Nu al gedekt?
Voorwaarden?
Is er balans tussen uw bezittingen en de beheersmaatregelen ter bescherming daarvan?
4
4 componenten van Cyber: verlies van systemen, data, crime en aansprakelijkheid
 Privacy schendingen
 Misbruik van intellectueel eigendom
 Verspreiding van malware
5
Why the Netherlands is such an ‘opportunity’ for cyber risks?
The Internet is everywhere, and knows no borders. However, cybercrime has specific
geographical features. The key differentiating factors are the level of economic
development, the number of Internet users and the level of Internet penetration. Why us?
 GDP: EU — $16.7 billion (2012, IMF) 1st in the world.
 Number of Internet users: 77% (2013 est., ITU): EU ranks 1st
 Ranks 1st on Internet access of 94 % (2012)
 Excellent ICT-infrastructure (Top 10 fastest internet)
 NL: Top 10 Global Competitiveness Index World Economic Forum (2013-2014)
 The Netherlands comes top for online banking in Europe (2012)
 Consumers using multiple platforms and devices which increases complexity and reduces
security
 NL: Top 5 Most-innovative countries Global Innovation Index 2013
Sources: AIVD, NCSC, Eurostat, Comscore.com, Norton, Trendmicro.nl, Iamsterdam.com, Global Innovation Index,
ITU, IMF, World Economic Forum
6
Millions
Informatiebeveiliging: “Wat kost het als ik het doe? Wat als ik het niet doe?” …
$6
$250
$5
$200
$4
$1
$0
Source: Ponemon 2013 Global Cost of a Data Breach.
Per capita cost by industry classification. Consolidated view (n=277). Measured in US$
Healthcare ranks #1 (USD 233)
Response Costs
Lost Business
$150
$3
$2
Total Cost
$100
$50
$-
Cost per Record
Size of breaches ranged
from 2,300 records to
100,000
Average number of
breached records was
23,647
7
… bestaande uit:
 Kosten forensisch (sporen)onderzoek
 Kosten communicatie met klanten, toezichthouders, justitie etc
 Kosten inhuur PR-specialist (reputatieherstel)
 Onderzoekskosten justitie, creditcardmaatschappijen etc
 Claims van derden
 Civielrechtelijke boetes
 Reparatie, vervanging/herstel van websites, programma’s of data
 Bescherming tegen schade door hacking, inclusief hulp bij afpersing
 Omzetverlies, reputatieschade etc.
Meerdere antwoorden mogelijk. Bepaal zelf op https://databreachcalculator.com/ of http://www.tech404.com/calculator.html
8
Informatiebeveiliging: randvoorwaarden verschillen van afdeling tot afdeling …
ICT Afd.
Juridische Afd.
Communicatie Afd.
Financiële Afd.
Betrouwbaar
Raadpleegbaar
Kordaat, Adequaat
Juistheid
Beschikbaar
Identificeerbaar
Open, Frequent
Betrouwbaarheid
Vertrouwelijk
Dateerbaar
Integer
Tijdigheid
Merk op:
 Besluitvorming ten aanzien van informatiebeveiliging gaat over afwegingen tussen concurrerende
doelstellingen
 Het is economisch gezien rationeel daarbij bepaalde mate van onzekerheid/risico te accepteren
 Deze afwegingen vinden plaats op grond van de prikkels - de kosten en baten - die
een beslisser (bijv. board of senior management) ervaart bij het nemen,
verminderen of elimineren van risico
9
Balans brengen in conflicterende belangen… (casus Teleroute, twee perspectieven)
Ladingdieven weten vaak exact wanneer ze moeten toeslaan. Dat is uiteraard
geen toeval. U leert hoe uw organisatie voorbereid kan zijn op datalekken en
diefstal van gevoelige informatie, hoe uw organisatie “forensic ready” kan zijn en
wat u in uw contracten kunt regelen om op het juiste moment te beschikken
over de juiste gegevens. “Teleroute fraude” is aan de orde van de dag. In de
jacht op de dader trekken juristen en forensisch onderzoekers samen op.
Teleroute S.A., a Wolters Kluwer business, is a
leading[1] pan-European online[2] freight exchange
service that improves operational efficiency, reduces
risk,[3] and offers customized online services for the
Transport & Logistics industry.
Bronnen: http://www.portoftwente.com/agenda/expert-class-kienhuishoving-academy-cybercrimeand-forensic-readiness/ , http://en.wikipedia.org/wiki/Teleroute
10
Wie ligt hier dan wakker van?
 Klant
 Medewerker
 Staf-diensten
 Bestuurder
 Toeleverancier
 Toezichthouder
 Overheid
 Anders?
Wat zijn binnen uw organisatie de noodzakelijke voorwaarden voor verandering?
(“Pain drives change”)
11
Wat ons niet verder helpt (typische misvattingen)
 “We hebben een firewall, dus we zijn beschermd.”
 “We hebben antivirus geïnstalleerd, dus het risico is klein.”
 “We hebben de beste IT'ers in huis. Zij regelen alles!”
 “Waarom zou onze organisatie doelwit zijn?”
 “We hebben geen webwinkel; we hebben dus ook geen cyberrisico.”
 “We voldoen aan ISO richtlijnen, dus we lopen geen risico.”
 “Niemand heeft nog een verzekering hiervoor… waarom wij dan wel?”
 “Het valt allemaal wel mee, dus nu even niet”
 “En dan liggen mijn gegevens op straat. Nou en …?”
12
Wat wél helpt: weten wanneer u (extra) kwetsbaar bent voor cyberrisico’s?
Goed voorbereide organisaties leiden bij een cyberincident of –crisis aanzienlijk minder schade,
dan bedrijven die zich niet hebben voorbereid. Het is daarom belangrijk vast te stellen in welke
mate u als organisatie kans loopt op een cyberincident. Er is sprake van (extra) kwetsbaarheid
als u:

persoonlijke en/of medische gegevens verzamelt, bewaart, verwerkt en/of opslaat

een hoge mate van afhankelijkheid kent van elektronische processen en/of
computernetwerken

leveranciers, service providers en/of overige derden in de bedrijfsvoering betrekt

te maken heeft met (wettelijke) bepalingen op het gebied van data privacy en/of
informatiebeveiliging

bezorgd bent over de (materiële) schade die kan voortvloeien uit cybercriminaliteit,
bedrijfsspionage, systeem falen e.d.

een inhaalslag moet maken in het opleiden en/of voorbereiden van medewerkers bij cybergerelateerde incidenten.
13
Relevante wet- en regelgeving: EU Concept Privacyverordening
 Eén set regels binnen de EU
 Recht op gegevensverwijdering
 Functionaris gegevensbescherming (bewerking >5000 klantgegevens)
 Datalek binnen 72 uur melden
 Toestemming voor doorgeven persoonsgegevens buitenlandse overheden
 Verplichte uitvoering risico-analyse
 Sancties oplopend tot 5% (wereldwijde) jaaromzet/exploitatie
Maar denk ook aan Wet Bescherming Persoonsgegevens, Wet Meldplicht Datalekken,
Algemene Voorwaarden, Contractuele bepalingen etc.
Directie krijgt hiermee in toenemende mate een zorgplicht ten aanzien van 'bestuur en
informatieveiligheid'.
Zie voor meer informatie: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf
14
Impact-analyse: Inzicht en overzicht in risico impact en eigenaarschap
 ICT-afdeling
 Juridische zaken
 Financiële zaken
 Bestuur
 Medewerker
 Advies/Staf
 Audit
15
Risicomanagement
 Heeft u zicht op de belangrijkste cyberrisico's
voor uw onderneming, de externe
bedreigingen en interne kwetsbaarheden?
 Kent u de mogelijke gevolgen daarvan, en de
(financiële) impact op uw organisatie?
 In hoeverre houdt uw huidige risicomanagement beleid en uitvoering rekening
hiermee? Is dit effectief/afdoende, en
waarom?
 Bent u / Is uw bestuurder bewust van deze
risico's, en houdt hij/zij zich hiermee in de
praktijk actief bezig? Uit welke activiteiten en
maatregelen blijkt dit?
 Is er een bedrijfscontinuiteits- en/of
crisismanagementplan opgesteld? Hoe vaak
wordt er geoefend? Door wie?
16
Crisismanagement ("Je kunt een crisis niet voorspellen — maar wél voorbereiden“)
Adviezen
 Breng de basis op orde en verlaag daarmee de kans én impact van een crisis
 Investeer óók in veerkracht: technisch én organisatorisch
 Strategisch vraagstuk: méér dan een IT-issue alleen
 Sturen op impactreductie is essentieel – zeker voor beslissers
 Voorzie in een hechte aansluiting van ICT met de rest van de organisatie
 Cybercrises zijn afhankelijkheidscrises: let op (keten)partners
Zie voor meer informatie: http://www.cot.nl
17
Risicomanagement vs Risico-financiering
Investeer in risico
management
Investeer in risico
overdracht
 "Wet van de communicerende vaten"
Risico
 100% veiligheid bestaat niet
 Optimale besteding van beschikbare
middelen
 Meerwaarde risico-overdracht t.o.v.
(technische) maatregelen
Weerbaarheid
Bron: “Doing What Technology Can’t: The Role of Risk Transfer in Effectively Managing Cybersecurity ”
18
Verzekeringsoverzicht: cyberrisico's typisch niet gedekt!
19
Waarom zijn traditionele verzekeringen veelal ontoereikend?
 Schade aan data kwalificeert niet als een materiële schade
Bĳ een all-risk dekking is in principe alle materiële schade gedekt; verzekeraars
beschouwen schade aan data echter zelden als materiële schade.
 Aansprakelĳkheidsverzekering dekt geen financieel nadeel
De algemene aansprakelĳkheidsverzekering biedt in de regel alleen dekking voor
zaak- en letselschade; Financieel nadeel valt hier niet onder.
 Fraudeverzekering: beperkte dekking, en sluit kosten preventiemaatregelen uit
De kosten om een aanval af te wenden vallen buiten veel verzekeringsdekkingen, en
zijn veelal beperkt.
 Bestuurdersaansprakelĳkheid neemt eigen kosten organisatie niet mee
Alhoewel een cyberincident kan resulteren in een claim richting bestuurders en
commissarissen, moet worden bedacht dat in eerste instantie de organisatie
getroffen zal worden.
20
Voorkomen is beter dan genezen (onverzekerbare schade)
Welke risico’s zijn (momenteel) onverzekerbaar en/of uitgesloten van dekking?











Contractbreuk / Wanprestatie
Verlies van patenten, handelsgeheimen
Misleidende reclame, ongevraagde communicatie
Bekende (netwerk)beveiligingsproblemen
Onbevoegd of onrechtmatig verzamelen van informatie
Overtredingen of beveiligingsproblemen ontstaan vóór ingangsdatum verzekering
Opzet of fraude door het management
Strafrechtelijke en/of contractuele schadevergoeding
Nalatigheid
Systeem upgrades of reparaties
Niet-versleutelde apparaten, informatie
21
Aan de slag! (www.aoncyberdiagnostic.com)
22
Voorlopige conclusies van vandaag …
 Cyber is een ‘buzz word’ dat de aandacht voor informatiebeveiliging alleen maar
benadrukt.
 Cyber heeft potentieel grote impact op de organisatorische doelstellingen.
Alle processen digitaliseren, impact neemt toe.
 Ook al voldoe je aan alle normen (informatie-beveiliging); incident kan zich altijd
voordoen.
 Goed huisvaderschap en gezond verstand! Maak bewuste keuzes in het opslaan
van informatie en de toepassing van ICT (‘total cost of risk’).
 Probeer impact te kwantificeren. Leidt tot betere afweging tussen (preventieve)
maatregelen en risicofinanciering.
 Gap analysis: Maak inzichtelijk welke verzekeringen elementen van potentiële
impact van cyber risico’s afdekken.
 Beschermen van de reputatie (crisis management) is zeker zo
belangrijk als het afdekken van de financiële schade.
23
Samenvattend
Waarom is cyber een issue?
 Kan ongemerkt en betrekkelijk snel enorme
schade aanrichten
 Mensen zijn "onbewust onbekwaam" en
"100% veilig bestaat niet"
 Schade veelal niet gedekt onder
traditionele verzekeringen
Daarom:
 Goed om vast te stellen hoe groot risico's zijn
(bedreigingen/kwetsbaarheden/beheersmaatregelen)
 Vaststellen of huidige verzekeringen inderdaad onvoldoende dekking bieden
 Nadenken over beheers- en controlemaatregelen (risicomanagement en financiering) en optimale beschermingsconstructie om bedrijfsdoelstellingen
te realiseren.
24
Contact
Mark Buningh
Aon Global Risk Consulting
T + 31 6 5134 6614
E [email protected]
W www.aon.nl/cyber
About Aon Global Risk Consulting
With more than 2,000 risk professionals in 50 countries worldwide, Aon's Global Risk Consulting practice delivers a fully integrated
range of risk management solutions designed to optimise the risk profile of our clients. Our risk consulting professionals deliver
actuarial & analytics, enterprise risk management, forensic accounting and risk financing solutions. Our risk control, claims and
engineering practice provides expertise in property and casualty risk control, claims consulting, fire protection and energy risk
engineering. Our captive & insurance management experts are widely recognised as the leading captive manager, with local
capabilities in over 30 countries.
25

Download Report