We hoeven niet stil te staan bij de ernst van het risico op een data-inbreuk. U hoeft maar het nieuws te volgen. Deze dreigingen blijven exponentieel groeien, alsook worden cybercriminelen steeds geavanceerder wat hun aanvalsmethoden betreft.
Zelfs na jaren van discussies en debatten nemen cyberaanvallen toe en escaleren deze zelfs. Het probleem is niet louter te wijten aan zogenaamde technologie-inbreuken; inbreuken kunnen ook het gevolg zijn van fouten vanwege werknemers, de onjuiste verwijdering van documenten, verloren apparatuur en andere niet-technologische defecten.
Nu cyberaanvallen, hackingen en overige datalekken steeds frequenter voorkomen, is een holistische, bedrijfsbrede aanpak inzake cyberbeveiliging een onmiskenbare prioriteit geworden op de agenda van vele ondernemingen. Vastgesteld wordt dat ondernemingen steeds meer de bescherming rondom hun bedrijfsmodellen, kernprocessen en gevoelige gegevens gaan aanscherpen. Regelgevers oefenen hun eigen druk hierbij uit, waarbij privacycontroles worden aangescherpt. Toch lijken vele ondernemingen deze dreiging nog niet helemaal te begrijpen en zijn zij hierbij niet altijd even goed voorbereid als effectief zou kunnen.
cyberbeveiliging moet uitgebreid, adaptief en collaboratief zijn
Terwijl cybercriminaliteit aanhoudend toeneemt, - zijn zowel grote als kleine ondernemingen extreem kwetsbaar als gevolg van een ineffectief cyberbeveiligingsbeleid. Organisaties moeten veilig, waakzaam en veerkrachtig blijven om zowel risico's te kunnen minimaliseren als nieuwe kansen te optimaliseren. Voor alle soorten van ondernemingen is het dus van essentieel belang om op de hoogte te blijven van de ontwikkelingen omtrent cyberbeveiliging alsook de mogelijke beveiligingsoplossingen.
Veel ondernemingen missen namelijk deze essentiële informatie inzake cyberrisico's, de effectiviteit van bestaande tegenmaatregelen als de beveiligingsstatus van belangrijke bedrijfsmiddelen. Bovendien is een Cyberverzekering een belangrijke leemte in de meeste bestaande verzekeringsprogramma's. Vaak is het risico niet of slechts beperkt verzekerd.
Dergelijke cyberverzekering is in verhouding tot de betrokken risicobalans, alsook ten aanzien van een globale risicovergelijking een erg waardevolle investering, specifiek omdat het risico net zo reëel is Verschillende klanten zijn afgelopen maanden reeds van dichtbij geconfronteerd geweest met fenomenen zoals phishing, hacking of netwerkproblemen als gevolg van een eventuele cyberaanval.
Technologie heeft vandaag verstrekkende gevolgen voor zowel de verandering van het verzekeringsrisicolandschap als voor het vermogen van zowel verzekeraars als verzekeringsmakelaars om deze verandering in goede banen te kunnen leiden.
Wyckaert- Comarit Insurance streeft hierbij als verzekeringsmakelaar van de toekomst naar een holistische benadering inzake risicobeheer van haar klantenportefeuille, door ook mee te evolueren naar zowel een partnerfunctie als een preventiefunctie. Het optimaal benutten van klantgegevens is hierbij voor verzekeringsmakelaars een belangrijk onderdeel om deze rol te kunnen vervullen. Deze evolutie draait om het participeren aan het leven van verzekeringsnemers. De hieruit voortvloeiende ontwikkeling en levering van diensten met een toegevoegde waarde kunnen enkel gevoed worden door een reëel bewustzijn van de risico's waarmee klanten gewoonlijk worden geconfronteerd.
Ook privacy compliance en informatierisicobeheer spelen hierbij een prominente rol binnen elke afzonderlijke professionele onderneming. Deze vereisten moeten ervoor zorgen dat alles wat we doen in overeenstemming is met lokale privacy- en overige compliance-gerelateerde vereisten.
Voor het eerst in de geschiedenis worden Cyberincidenten (39%) in de 9de Allianz Risicobarometer 2020 wereldwijd als hét belangrijkste bedrijfsrisico beschouwd, waarbij blijvende toprisico's als Business Interruption (BI) (37%) naar een tweede plaats worden verwezen. Het bewustzijn inzake cyberdreiging is de afgelopen jaren snel gegroeid, hoofdzakelijk gedreven door een toenemende afhankelijkheid van ondernemingen van data en IT-systemen alsook door een aantal spraakmakende incidenten. Zeven jaar geleden stonden ‘Cyberincidenten’ nog op een 15e plaats.
Ondernemingen worden geconfronteerd met een groeiend aantal cyberuitdagingen, waaronder meer omvangrijke en duurdere data-inbreuken, een toename van ransomware en zakelijke e-mailincidenten, evenals politieke verschillen tussen natiestaten die zich in de cyberspace afspelen en hierdoor extra risicocomplexiteit met zich meebrengen. Zo hebben toenemende spanningen in het Midden- Oosten ertoe geleid dat de internationale scheepvaart het doelwit is geworden van spoofing-aanvallen in de Perzische Golf, terwijl olie- en gasinstallaties getroffen werden door cyberaanvallen en ransomware-incidenten. Zelfs waar ondernemingen niet direct het doelwit zijn, kunnen door de staat gesteunde cyberaanvallen nevenschade veroorzaken. In 2017 was de NotPetya-malware-aanval vooral gericht op Oekraïne, maar verspreidde deze zich al snel over de gehele wereld.
Maar zelfs een succesvolle fusie of overname (M&A) kan tegenwoordig tot ernstige systeemproblemen leiden. Data-inbreuken zijn de belangrijkste oorzaak van cyberincidenten en naarmate ondernemingen steeds grotere hoeveelheden persoonlijke gegevens verzamelen en gebruiken, worden inbreuken steeds omvangrijker en kostbaarder. In juli 2019 onthulde Capital One dat het bedrijf werd getroffen door één van de grootste inbreuken ooit gekend in de banksector, met een totale eindimpact van ongeveer 100 miljoen klanten als gevolg. Toch is deze inbreuk zeker niet de grootste van de afgelopen jaren.
Ook bij hotelgroep Marriott in 2018 en kredietscore agentschap Equifax in 2017 werden de persoonsgegevens van respectievelijk meer dan 300 miljoen en 140 miljoen klanten geschonden. Beide bedrijven werden geconfronteerd met talrijke rechtszaken en juridisch politieke acties in meerdere rechtsgebieden - de Britse toezichthouder inzake gegevensbescherming is van plan Marriott voor een tataalbedrag van £100mn ($130mn) te beboeten voor deze inbreuk. Eén van de eerste en grootste boetes onder de nieuwe EU- privacywetgeving tot nu toe. In dezelfde maand - juli 2019 - kreeg British Airways een voorlopige boete van £183mn ($240mn) voor een inbreuk op de privacywetgeving die 500.000 klanten in 2018 trof. Het omgaan met een mega-inbreuk (waarbij meer dan een miljoen records betrokken zijn) kost op heden gemiddeld 45 miljoen dollar, een stijging van 8% op jaarbasis.
Ransomware-incidenten worden ook steeds schadelijker en richten zich in toenemende mate op grote bedrijven door middel van geavanceerde aanvallen en zware afpersingseisen. Vijf jaar geleden zou een dergelijke vraag tot in de tienduizenden dollars zijn gelopen. Nu kan dit gemakkelijk tot in de miljoenen lopen. Industriële en productiebedrijven worden steeds vaker aangevallen, maar de verliezen zijn meestal het grootst voor advocatenkantoren, consultancy ondernemingen en architecten, waarvoor IT-systemen en persoonsgegevens van cruciaal belang zijn. Dergelijke incidenten hebben volgens de FBI sinds 2016 geleid tot wereldwijde verliezen van meer dan 26 miljard dollar..
Gegevensbescherming en privacyregulering, en de daaruit voortvloeiende sancties, nemen overduidelijk toe in omvang en in geografisch bereik. De Algemene Verordening inzake Gegevensbescherming (GDPR), die in mei 2018 in Europa in werking is getreden, zal in 2020 zeker een nieuwe golf van boetes met zich meebrengen.
[1] IBM Security, Cost Of A Data Breach Report 2019.
- Cyberrisico's maken deel uit van ons algemeen bedrijfsrisicobeheer en worden aanzien als een belangrijk bedrijfsrisico (55%).
- Bewaken en meten van de beveiliging en beschikbaarheid van systemen door middel van voortdurende kwetsbaarheids- en risicoanalyses, sanering en het delen van informatie inzake cyberdreigingen (52%).
- Regelmatige opleidingen en bewustmakingscampagnes op het gebied van informatiebeveiliging voor het personeel (45%).
Het afsluiten van een cyberverzekering zou daarom één van de eerste punten moeten zijn in het plan van een onderneming om zijn cyberbestendigheid te vergroten. Verzekeringen spelen een essentiële rol bij het helpen van ondernemingen, om te herstellen als alle andere maatregelen ontoereikend zijn. Ze mogen niet in de plaats komen van het strategisch risicobeheer. Investeren in de bewustwording van werknemers, samen met het updaten en continu monitoren van systemen, moet zeker bovenaan de cyber to-do lijst van elke onderneming staan.
Voorbereiding en training zijn daarom de meest effectieve vormen van cybrorisicobeperking en kunnen de gevolgen van een gebeurtenis aanzienlijk verminderen. Veel incidenten zijn het gevolg van menselijke fouten, die kunnen worden beperkt door training, met name op gebieden als phishing en spoofing, die tot de meest voorkomende aanvalsvormen behoren. Training kan ook helpen bij het beperken van ransomware-aanvallen, hoewel het handhaven van veilige back-ups ook de schade van dergelijke incidenten alvast danig kan beperken.
Aan het eind van de dag moet u elke redelijke stap zetten om informatie te beveiligen die u mogelijk bezit, al is het maar kort. Desondanks waarschuwen deskundigen dat er slechts drie soorten ondernemingen zijn, namelijk ondernemingen die zijn geschonden, ondernemingen die zullen worden geschonden en, het ergste van alles, ondernemingen die geschonden zijn maar het nog niet weten.
Aan het eind van de dag moet u elke redelijke stap zetten om informatie te beveiligen die u mogelijk bezit, al is het maar kort. Desondanks waarschuwen deskundigen dat er slechts drie soorten bedrijven zijn, namelijk bedrijven die zijn geschonden, bedrijven die zullen worden geschonden en, het ergste van alles, bedrijven die zijn geschonden maar het nog niet weten.
Zoals Archimedes reeds zei, in zijn toespraak van Syracuse: "Geef me een plaats om te staan en met een hefboom zal ik de hele wereld in beweging brengen."
Het huidige paradigma is een computer en een internet toegangspunt om de geschiedenis van de wereld te veranderen.
Onze gehechtheid aan technologie en de onbegrensde connectiviteit tussen professioneel en privéleven heeft geleid tot een snellere, slimmere en een geëvoleerde maatschappij die gevuld is met datagegevens en kwetsbaarheden. Daarom moeten we deze risico's met betrekking tot datagegevens rigoureus aanpakken en ons topvermogen effectief beschermen.
Ondernemingen vragen helaas vaak om hulp en om een dergelijke cyberverzekering, nadat ze werden aangevallen. Gezien het feit dat cyberaanvallen steeds meer gericht zijn op kleine(re) bedrijven, zou het verplicht moeten zijn dat ondernemingen, in geval van cyberrisico's, - hopelijk - een meer proactieve aanpak hanteren.
Voor aanvullende praktische informatie over dit onderwerp of over verdere verzekeringsbehoeften kunt u altijd contact met ons opnemen via uw gebruikelijke vertrouwenspersoon of via insurance@mawyc.be. Wij blijven bereikbaar, zowel telefonisch als via e-mailadres.
