CYBER EN DATA RISKS 15 DECEMBER 2015

CYBER EN DATA RISKS 15 DECEMBER 2015

EVEN VOORSTELLEN YASIN CHALABI  Werkzaam bij Hiscox Benelux sinds 2006  Manager zakelijke verzekeringen  Pionier in cyber verzekeren

 Groot voorstanden van innovatie en diensten aanbieden  4 jaar actief geweest als makelaar

DOEL PRESENTATIE WIJ WILLEN GRAAG…  Kennis delen rondom datalekken en cybercrime  Toelichting op de verzekeringsmogelijkheden

OVER HISCOX VERZEKEREN  Sinds 1901  Internationale nicheverzekeraar, beursgenoteerd (LSE)  Professional Insurance gespecialiseerd in het verzekeren van beroepsaansprakelijkheid, data- en online risico’s  Art & Private Client gespecialiseerd in het verzekeren van kunst, kostbaarheden en vermogende particulieren  Snelle correcte claimafhandeling  Wie we verzekeren is belangrijker dan Wat we verzekeren

OVER HISCOX VERZEKEREN

Local casualty and commercial Reinsurance

20% 25%

3%

Large property

Tech and media and casualty

6% 14%

Global casualty 2% 12% Specialty – terrorism, specie, political risks, aerospace

7% Marine and energy

5%

Art and private client

6% Specialty – kidnap and ransom, contingency, personal accident

Small property

OVER HISCOX

Bermuda Hamilton

Asia Hong Kong Singapore Thailand

Europe Amsterdam Bordeaux Brussels Cologne Dublin Hamburg Lisbon Lyon Madrid Munich Paris

Guernsey St Peter Port Latin American gateway Miami

UK Birmingham Colchester Glasgow Leeds London Maidenhead Manchester York

USA Atlanta Chicago Los Angeles New York City San Francisco White Plains

OVER HISCOX BENELUX  45 medewerkers  2 specialismen:  Art & Private Client Vermogende particulieren – luxe villa’s & inboedels, kunst- & sieradencollecties Musea en tentoonstellingen Professionele kunsthandel; galleries  Professional Insurance Beroepsaansprakelijkheid inclusief AVB Bestuurders- en commissarissenaansprakelijkheid Cybe & Data Risks by Hiscox (met dit unieke product kunnen bedrijven zich verzekeren voor alle Cyber/data- en online risico’s)

PRODUCTEN VERZEKERINGEN

VERZEKERINGEN

BEDRIJFSAANSPRAKELIJKHEID

BEROEPSAANSPRAKELIJKHEID

CYBER & DATA RISKS

D&O

PRE PRICED PROPOSAL

CYBER EN DATA RISKS WAT IS INBREUK OP DATA?  “Een inbreuk op data, is een incident waarbij

gevoelige, beschermde of vertrouwelijke gegevens; gekopieerd, overgedragen, gestolen of gebruikt worden door een persoon die niet bevoegd is om deze handelingen uit te voeren”  Een data inbreuk op gegevens kan betrekking hebben op: financiële informatie zoals creditcard- of bankgegevens, persoonlijke gezondheidsinformatie, persoonlijke toegangsgegevens, handelsgeheimen of intellectuele eigendommen.

CYBER EN DATA RISKS BY HISCOX 100% VEILIG BESTAAT NIET

CYBER EN DATA RISKS DE WERELD OM ONS HEEN Welke gegevens zijn blootgesteld aan risico's?  Persoonsgegevens  Beschermde (gezondheid/zorg) gegevens  Betaalkaart gegevens Waarom worden persoonsgegevens gestolen?

Persoonsgegevens zijn simpelweg veel geld waard. Criminelen kunnen gestolen persoonsgegevens en vertrouwelijke informatie eenvoudig te gelde maken, bijvoorbeeld door fraude te plegen of door vertrouwelijke informatie te koop aan te bieden. Ter bescherming van persoonsgegevens zijn strenge regels opgelegd aan het bedrijfsleven; bedrijven die een fout maken of gehackt worden, moeten de kosten van de inbreuk betalen.

CYBER EN DATA RISKS DE FEITEN  Kwaadwillenden tasten systemen voortdurend af op zoek naar de zwakheden in de beveiliging van systemen die toegang hebben tot waardevolle vertrouwelijke informatie en persoonsgegevens. Veel bedrijven denken dat het met inbreuken op de privacy en gegevens wel los zal lopen, maar dat is een misvatting, zoals blijkt uit de volgende drie feiten:  Feit 1: nog nooit waren omvang en kosten van inbreuken zo hoog  Feit 2: elke sector en elk bedrijf, van groot tot klein, loopt risico  Feit 3: geen enkele organisatie is immuun voor interne en externe bedreigingen

CYBER EN DATA RISKS FEIT 1: Nog nooit was de omvang en waren de kosten van inbreuken zo hoog als nu meer inbreuken records gingen verloren door inbreuken in 20141

ten opzichte van 20131

CYBER EN DATA RISKS FEIT 2: Elke sector en elk bedrijf, van groot tot klein, loopt risico

van de kleine en middelgrote ondernemingen sluit na zes maanden de poorten als gevolg van de schade door een inbreuk

kans op een inbreuk op 10.000 records of minder gedurende een periode van twee jaar

CYBER EN DATA RISKS

Een groep in dienst van een staatsinstelling. • • •

Chinese staatshackers. Russische staatshackers. Elektronisch leger van Syrië.

Criminele groepen die betrokken zijn bij illegale activiteiten om geld af te persen of worden ingehuurd om een aanval uit te voeren. • •

Producenten van ransomware. Personen die gegevens stelen om ze op de zwarte markt te verkopen.

Personen of groepen meestal met beperkte kennis die op eigen initiatief handelen en niet vallen onder een andere dreigingscategorie.

Werknemers of andere bevoorrechte gebruikers aangesloten bij een organisatie.

•

•

Een jongere die ‘voor de grap’ het netwerk van de school doet crashen. •Personen die websites verminken om indruk op iemand te maken (niet vanuit politieke motieven). •Groepen die met de botte bijl geprefabriceerde malware of botnets inzetten voor malafide doeleinden.

Een persoon of groep die aanvallen uitvoert om ergens de aandacht op te vestigen of om te verhinderen dat anderen zich inzetten voor zaken als bijvoorbeeld de vrijheid van meningsuiting. • • •

Anonymous. Lulzsec. WikiLeaks.

Werknemers.

Iemand die aanvallen uitvoert om angst of paniek te zaaien. De persoon wordt gedreven door ideologische of politieke motieven of maakt deel uit van een bekende terreurgroep.

CYBER EN DATA RISKS OORZAAK EN GEVOLG 1.

Schadelijke of criminele aanvallen veroorzaken 44% van de inbreuken (grootste financiële schade).

2.

Nalatigheid 31% van de inbreuken zijn te wijten aan de nalatigheid van personeel. Hieronder valt ook, gestolen/verloren elektronische/mobiele toestellen en fouten gemaakt door derden.

3.

Falen van het IT-systeem – 25% van de inbreuken worden hierdoor veroorzaakt.

CYBER EN DATA RISKS DE HACKERS  Albert Gonzales  Stephen Watt THEY SAY THINGS LIKE: YOU HAVE GOT TO CONVINCE TYPEDEAF TO DO SOME WORK FOR ME. IF HE WAS ABLE TO HACK SOME EURO DUMPS WE CAN MAKE A FORTUNE. I HACKED A PLACE AND TOOK ~30K EURO DUMPS AND THIS LAST WEEK I MADE ~11K FROM ONLY SELLING ~968 DUMPS.” (DUMPS ARE THE CARDING UNDERGROUND’S TERM FOR CREDIT OR DEBIT CARD MAGSTRIPE DATA, INCLUDING ACCOUNT NUMBERS. INTERCEPTION CONVERSATION IS ABOUT:

SEX, NARCOTICS AND HACKING

CYBER EN DATA RISKS NEDERLAND

CYBER EN DATA RISKS MELDPLICHT DATALEKKEN  Implementatie 1-1-2016  Voor commerciële instellingen en (semi-) overheid

 Binnen 72 uur melden bij falen van technische en organisatorische beveiliging met kans op verlies of onrechtmatige verwerking van persoonsgegevens  Aard en vermoedelijke omvang van het datalek  Inspanningen om de schade te herstellen  Raadgevingen aan publiek en klanten  Boete van bijvoorbeeld maximaal € 810.000,-

CYBER EN DATA RISKS WAT ZIJN DE BELANGRIJKSTE RISICO’S? First Party-risico’s  Kosten van digitaal forensisch onderzoek. De kosten kunnen sterk uiteenlopen, afhankelijk van hoe groot of ingrijpend de inbreuk is.  Melden en inlichten van gedupeerden. Kosten lopen uiteen van € 1,25 tot € 5,- p.p.  Kosten voor PR en crisismanagement.  Ransomware, betaling voor cyberafpersing  Kosten voor herstel van ICT-systemen  Bedrijfsschade (BI)

CYBER EN DATA RISKS WAT ZIJN DE BELANGRIJKSTE RISICO’S? Third Party-risico’s  Kosten voor nieuwe betaalkaart  Kosten van fraude met betaalkaart  PCI boetes  Boetes van het CBP of andere instanties  Rechtzaken  Lichamelijk, psychische en emotionele schade door verloren of openbaar gemaakte gegevens  Overdracht of verspreiding van computervirus/-worm of schadelijke software als gevolg van onachtzaamheid

CYBER EN DATA RISKS OORZAAK EN GEVOLG 1.

Kosten van herstel (1st party)

2.

Aansprakelijkheid (3rd party)

3.

Overige kosten (1st party)

4.

Geldboetes en dwangsommen

CYBER EN DATA RISKS AANSPRAKELIJKHEID (third party)  Privacy aansprakelijkheid De gevolgen van gestolen privacygevoelige gegevens - Kosten van onderzoek - Claims van individuele personen - Schending geheimhoudingsplicht - Boetes opgelegd door toezichthouders, of andere verplichte vergoedingen  Cyber aansprakelijkheid Schade die ontstaat als een website of e-mail onbedoeld een auteursrecht schendt, laster verspreidt of een virus bevat.

CYBER EN DATA RISKS EIGEN SCHADE (first party)  Data inbreuk Forensisch ICT onderzoek Kosten externe deskundigen melden inbreuk (juridisch, communicatie betrokkenen, meldplicht, callcenter etc.) Kosten kredietbewaking betrokkenen Kosten crisismanagement en PR  Cyber business interruption Optioneel kan ook niet online omzet veroorzaakt door de hack verzekerd worden  Hacker schade Kosten herstel website, intranet, netwerk, computersysteem, programma’s of data  Cyber afpersing Kosten en vergoedingen van onderzoek, assistentie en eventueel betaald losgeld  Verlies van geld op rekening en hacking van telefoon centrale

CYBER EN DATA RISKS REDENEN CYBER EN DATA RISKS VERZEKERING  Cybercrime Snelst groeiende vorm van misdaad. Slechts beperkt gedekt onder traditionele verzekeringen.

 Meldplicht  Afhankelijkheid van systemen Systemen zijn cruciaal voor het bedienen van klanten.  Portable devices  Data are valuable Bedrijven hebben meer data dan ooit tevoren en vaak zijn deze gegevens van onze klanten en leveranciers.

CYBER EN DATA RISKS PRAKTIJKVOORBEELDEN Consultants Enkele consultants van een bureau voor managementadvies werken tijdens een project op locatie bij een klant. Een van de consultants stuurt per ongeluk een vertrouwelijk memo naar een grote e-maillijst met adressen van zowel interne als externe ontvangers. De klant daagt het adviesbureau voor de rechter.

CYBER EN DATA RISKS PRAKTIJKVOORBEELDEN Adviesbureaus Bij een bureau voor personeelsadvisering raakt iemand een laptop kwijt. Namen, adressen en BSN-nummers van honderden contractmedewerkers waren er in opgeslagen. Ongeacht of de informatie ooit wordt verspreid, moet het bureau de getroffen werknemers inlichten en fraudecontrole aanbieden.

CYBER EN DATA RISKS PRAKTIJKVOORBEELDEN Motel

Een klein Motel aan zee met 10 kamers biedt haar klanten de mogelijkheid om kamers online op haar website te reserveren. De website wordt gehacked en reserveren is niet meer mogelijk.  Kosten Inbreuk  forensisch ICT onderzoek  Hacker schade  herstel netwerk + website + data  Business interruption  internetinkomsten (vaste vergoeding per uur -/- retentietijd)

CYBER EN DATA RISKS PRAKTIJKVOORBEELDEN Advocatuur Een partner van een kantoor laat vier dossiers op de achterbank van haar auto liggen. Na inbraak in de auto krijgt zij een telefoontje dat ze de dossiers kan terugkopen voor € 20.000, Cyber afpersing  analyse bedreiging (hoe serieus)  Is exact bekend welke dossiers het betreffen? Ja  Kosten Inbreuk (communicatiekosten belanghebbenden) Nee  Kosten Inbreuk (kosten onderzoek)  Eventueel Privacy (aansprakelijkheid)

CYBER EN DATA RISKS CASUS Elektrische huishoudelijke toestellen

Een hacker beweert 200.000 email adressen en telefoonnummers van de website van een elektronica concern geplukt te hebben. Als gevolg hiervan kwam het bedrijf erachter dat de veiligheid van hun micro sites (websites door hun gebruikt voor advertenties en andere acties) niet up to date was. De server van de websites was voor het laatst in 2006 bijgewerkt, dat het succes van de hacking verklaart. De hacker heeft een deel van de adressen en telefoonnummers uit de database online gezet en de rest van de gegevens verkocht aan spammers.

CYBER EN DATA RISKS CASUS Wat zullen de kosten omvatten:  Forensisch onderzoek

€89.000,-

 Communicatiekosten

€110.000,-

 Juridische kosten

€300.000,-

 Notificatie aan stakeholders

€250.000,-

 Herstelkosten

€175.000,-

 Claims van consumenten

€750.000,-

Totaal kosten

€1.674.000,-

CYBER EN DATA RISKS INCIDENT ROADMAP

Als onderdeel van de Hiscox Cyber en Data Risk verzekering, hebben we samen met onze partners een incident roadmap opgesteld. Het incident roadmap plan is ontwikkeld om u te ondersteunen met:

Onmiddellijk actie ondernemen, in het geval van schade aan uw database of website als gevolg van een hack

CYBER EN DATA RISKS INCIDENT ROADMAP

CYBER EN DATA RISKS WAAROM HISCOX?  Jarenlange ervaring op het gebied van Cyber en Data Risks verzekeringen  First- and third party dekking op een polis  Volledige dekking is altijd het uitgangspunt!  Primair geen eisen rondom procedures voor gegevens- en informatiebeveiliging, back-up systemen en processen etc. bij aanvang van het contract en in de polisvoorwaarden (als voorwaarden voor dekking)

 Wereldwijd bereik  Juridische Expertise (geen uurtarief en directe ervaring in het omgaan met data inbreuken)

BEDANKT VOOR UW AANDACHT! AFSLUITING