Cyberrisico’s

04-04-2016

Nieuwe tijden, nieuwe mogelijkheden én nieuwe risico’s. Deze keer nemen wij een voorschot op het in ontwikkeling zijnde cyber-preventie-plan. Immers, waar de technologische ontwikkelingen ongekende mogelijkheden en kansen bieden, brengt dit tevens nieuwe gevaren en risico’s met zich mee; de zogenaamde cyberrisico’s.

Cyberrisico’s Cyberverzekeringen.crime_

Onder cyberrisico’s worden verstaan, allerhande gevaren en bedreigingen die zich via het internet (kunnen) voordoen. Dat deze risico’s met de dag groter worden, is een feit. Dat houdt verband met het toenemende gebruik van internet en met de daarmee samenhangende afhankelijkheid daarvan. Ook de criminelen groeien hier in mee en zijn zelfs veelal in staat om in hun ‘branche’ voorop te lopen.

Waren de bedreigingen een aantal jaren geleden nog vaak redelijk amateuristisch van aard, vandaag de dag is er sprake van een professionele bedrijfstak die in staat is om op innovatieve manieren steeds meer slachtoffers te maken.

De voorbeelden zijn legio: phishingmails uit naam van banken, de overheid, het CJIB, winkelketens, verzekeringsmaatschappijen. Grotere bedrijven en organisaties zijn steeds vaker het doelwit van hackers die op bedrijfsinformatie uit zijn of op (gevoelige) cliëntengegevens. Verder zijn er de figuren die ‘alleen maar’ zo veel mogelijk schade willen veroorzaken (zoals rancuneuze ex-werknemers).

De genoemde voorbeelden zullen niet onbekend voorkomen. In de media zijn wekelijks voorbeelden te vinden van cyberaanvallen.

Hoe dit probleem aan te pakken?

Het cyberrisico negeren, is geen optie meer. Want zéker is, dat iedereen hier vroeg of laat mee te maken krijgt. Dan kun je maar beter voorbereid zijn en dat kan door nu in actie te komen.

Met alleen het hebben van een firewall of het afsluiten een cyberverzekering wordt het probleem niet afdoende aangepakt. Een bredere aanpak is noodzakelijk. In die bredere aanpak moeten de mens, de organisatie én de techniek als onlosmakelijke bij elkaar horende elementen worden beschouwd. Vanuit dat uitgangspunt heeft Sovib een plan ontwikkeld waarmee het cyberrisico effectief (maar helaas niet waterdicht, dat is onmogelijk) kan worden aangepakt. Op dit moment wordt de laatste hand gelegd aan de afronding van dit plan. Nog voor de zomer willen wij u hier gedetailleerd over informeren. Hieronder geven wij alvast een beknopte samenvatting.

Het cyber-preventie-plan in een notendop: het voortraject en de incidentopvolging

Het voortraject:

Het cyber-preventie-plan bestaat in het voortraject uit de volgende stappen:

  1. informeren en bevorderen van het bewustzijn omtrent de risico’s;
  2. inventarisatie van de risico’s (zoals door het laten uitvoeren van een nulmeting door een specialistische derde);
  3. het treffen van maatregelen waarbij wordt gekeken naar de mens, de organisatie en de technische mogelijkheden (bij voorkeur uit te voeren in samenwerking met een specialistische derde);
  4. het eventueel afsluiten van een cyberverzekering (voor als het toch mis gaat);
  5. regelmatige controles en updates van de genomen maatregelen (bij voorkeur uit te voeren in samenwerking met een specialistische derde).

Sovib zal hier een actieve, coördinerende of begeleidende rol in spelen, al naar gelang de omstandigheden. Voor de gebieden waar specialistische (juridische of technische) hulp nodig is, zijn er afspraken met diverse externe deskundige partijen.

De incidentopvolging

Een cyberincident. Wat dan?

Ondanks alle genomen maatregelen, is een cyberincident nooit uit te sluiten. U kunt te maken krijgen met het ‘lekken’ van gevoelige cliëntengegevens. Er wordt bijvoorbeeld een laptop uit de kofferbak van een auto gestolen. Welke stappen moeten dan worden gezet en welke maatregelen moeten er worden getroffen? Hoe houd je je aan de regels van de Autoriteit  Persoonsgegevens en hoe voorkom je een boete in het kader van de Wet Meldplicht Datalekken? Directe deskundige bijstand is dan onontbeerlijk.

Of de website wordt gegijzeld en tegen betaling van ‘losgeld’ wordt deze door de criminelen weer vrij gegeven. Het dilemma is, betaal je of niet? Ook hier is de hulp en het advies van een deskundige noodzakelijk.

Zo zal voor vrijwel alle mogelijke cyberincidenten gelden dat externe specialistische hulp meer dan gewenst is. Maar hoe die specialisten te vinden? Daar kan Sovib een helpende en begeleidende rol in spelen. Wélke rol Sovib speelt, is afhankelijk van de vraag of er wel of geen cyberverzekering is afgesloten:

De incidentopvolging kent twee varianten:

Incidentopvolging mét cyberverzekering:

  1. de melding van het incident gebeurt bij Sovib/verzekeraar;
  2. afhankelijk van het soort incident, neemt de verzekeraar zelf maatregelen e/o schakelt een externe deskundige in. De kosten van de te nemen maatregelen en van de externe deskundigen vallen onder de dekking van de cyberverzekering;
  3. na afloop vindt evaluatie plaats tussen de klant, verzekeraar en Sovib.

Incidentopvolging zonder cyberverzekering:

  1. de melding van het incident gebeurt bij Sovib;
  2. afhankelijk van het soort incident, verwijst Sovib door naar een externe deskundige vanuit het cyber-response-palet (bestaande uit een aantal deskundige partijen in verschillende disciplines);
  3. na afloop vindt evaluatie plaats tussen de klant, de externe deskundige en Sovib;
  4. aan onze dienstverlening vanuit het cyber-preventie-plan zijn geen kosten verbonden. Uiteraard worden de kosten van externe deskundigen wél in rekening gebracht en zijn die afhankelijk van de geleverde diensten.

Verzekering

Een cyberverzekering is dus optioneel af te sluiten maar is in het kader van een integrale aanpak van het cyberrisico zeker aan te raden. Een maatwerkverzekering voor zorginstellingen is thans in ontwikkeling, maar indien u binnenkort een offerte wenst, kunt u dit alvast aan ons doorgeven.

Vervolg

Binnen afzienbare tijd komen wij uitvoerig op het bovenstaande terug. Mocht u in de tussentijd vragen of opmerkingen hebben, dan kunt u uiteraard te allen tijde met ons contact opnemen. Ook in geval van een onverhoopt cyberincident kunt u nu al bij ons terecht.

Uitgelicht

  • 2019
  • 2018
  • 2017
  • 2016
  • 2015
  • 2014