I CT
Bij het fenomeen cyberrisico denkt menigeen al snel aan ICT-fouten en hackende whizzkids. Maar bij datarisico’s spelen meer aspecten een rol. Daarvan worden ook in ons land bedrijven zich in snel tempo bewust: de markt voor cyberpolissen groeit. Door: Rob van de Laar
Cyberrisico’s: meer dan ICT I
n oktober brengt het Verbond van Verzekeraars een position paper uit over cyberrisico’s. Het Verbond wil er daarom nu nog weinig over zeggen. De organisatie wil vooral de boodschap overbrengen dat verzekeraars ook veel kunnen bijdragen aan het voorkomen van internetcriminaliteit, naast het bieden van dekking voor schade. “Verzekeraars hebben veel kennis en kunnen daarom ook een rol aan de voorkant spelen door hun kennis in te zetten bij het criminaliteitsbestendig maken van ICT.” Voorkomen is beter dan genezen: dat motto hanteert ook TNO, dat vorig jaar concludeerde dat cybercrime de samenleving minimaal € 10 mld per jaar kost en waarschijnlijk zelfs het twee- of drievoudige.
Bredere aanpak De risico’s van cybercrime worden steeds zichtbaarder: alle grote banken hebben al een of meerdere malen te maken gehad met storingen in internetbankieren. Volgens TNO kan geen enkel ICT-systeem 100% veilig zijn. Hackingtools zijn te vinden op internet en wie genoeg kennis heeft, kan elk systeem kraken. Peter Hartman, voorzitter van de taskforce Cyber bij Aon, geeft aan dat digitale criminaliteit maar een van de vele cyberrisico’s is. “Een belangrijke andere risicofactor is nalatigheid van mensen, variërend van het gebruiken van eenvoudige wachtwoorden tot het niet beveiligen van USB-sticks met bedrijfsge-
voelige informatie. Terwijl dat nu juist risico’s zijn die je prima kunt voorkomen.” Aon vliegt het onderwerp dus breder aan en heeft een taskforce cyberrisico’s ingesteld. Die houdt zich dus niet alleen bezig met internetcriminaliteit, maar ook met andere risico’s die met de digitale wereld gepaard gaan, zoals computerstoringen. “Een voorbeeld is de brand waardoor drie dagen niet via het Vodafone-netwerk gebeld kon worden.” Ook hier is preventie een belangrijk onderdeel van cyberrisicomanage-
WIE BIEDEN EEN CYBERPOLIS? VERZEKERAAR
PRODUCT
CAPACITEIT ( in €)
Ace Allianz
Dataguard/ Privacy Protection Global & ESI Net
AIG
CyberEdge
25,0 mln
Chubb
CyberSecurity
10,0 mln
CNA
NetProtect
7,5 mln
Hiscox
DataRisks
5,0 mln
Liberty
Cyber Suite
10,0 mln
Zurich
Security & Privacy Protection
25,0 mln
30,0 mln 100,0 mln
AMplus nummer 10 - 20 september 2013
49
Het Beverwijkse bedrijf verzorgde onder meer de beveiliging van gegevensuitwisseling met de overheid via het Digid. In juni 2011 werd DigiNotar gehackt, waardoor een maand later een certificaat werd uitgegeven waarmee een aanval op Gmail is gedaan. DigiNotar wist dat het certificaat was uitgegeven, maar bevestigde dat pas eind augustus. Onderzoeken volgden en de registratie van het bedrijf als leverancier van gekwalificeerde elektronische handtekeningen werd ingetrokken. Op 20 september 2011 werd DigiNotar failliet verklaard.
de technologische ontwikkelingen gaan zo snel dat ICT’ers al moeite hebben om alles bij te houden. Dus je eigen digitale omgeving 100% beveiligen, dat kun je wel vergeten. Waar het om gaat, is dat je je cyberrisico’s als bedrijf beheersbaar maakt. Wij willen bedrijven helpen om in kaart te brengen welke risico’s ze eigenlijk lopen en welke daarvan een bedreiging zijn voor de continuïteit van het bedrijf. Er zijn allerlei maatregelen die je kunt nemen om je bedrijf beter te beveiligen. Maar er blijven altijd restrisico’s over die je niet in de hand hebt en daarvan moet je afwegen of je die wilt verzekeren.”
Internetbankieren
Calamiteitenrisico
Alle grote Nederlandse banken hebben inmiddels één of meerdere keren te maken gehad met storingen in internetbankieren. Of er ook sprake is geweest van hacken, is tot nu toe niet bevestigd door de banken.
Volgens Hartman zijn veel bedrijven zich niet bewust van de risico’s die ze op digitaal gebied lopen. “Kijk alleen al naar de sociale media. De scheiding tussen privé en zakelijk is daar allang weg, maar twee op de drie bedrijven hebben nog geen protocol hoe medewerkers hiermee om moeten gaan.” Terwijl het cyberrisico inmiddels geen bagatelrisico meer is, maar een calamiteitenrisico, zegt Hartman. “Kijk maar naar Diginotar. Dat bedrijf was onvoldoende beveiligd en is nu failliet. Het vertrouwen van klanten is weg. Dat zie je ook bij internetbankieren: het risico van imagoschade is heel groot.”
BEKENDE GEVALLEN VAN CYBERCRIME DigiNotar
Informatie lekken Doordat de gemeente Amsterdam vertrouwelijke informatie niet goed heeft afgeschermd, is voor miljoenen euro’s schade geleden. Documenten over bestemmingsplannen werden digitaal beveiligd, maar die beveiliging was eenvoudig te omzeilen. Het betrof een project voor sanering van de Wallen. Bordeeleigenaren zouden mogelijk onteigend worden en kregen zo informatie in handen waarmee ze extra geld van de gemeente konden krijgen voor hun panden.
De risico’s in de digitale wereld zijn hetzelfde als in de echte wereld, zegt Hartman. “Schade ontstaat niet alleen door inbrekers, maar ook door wat er in de organisatie verkeerd gaat.”
Handvol polissen
ment, dat is gebouwd op de pijlers analyseren, beheersen en bestrijden.
De beroepsaansprakelijkheidspolis biedt in vergelijking met de aansprakelijkheidsverzekering voor bedrijven (AVB) of de bedrijfsschadeverzekering nog vrij veel dekking voor cybergerelateerde risico’s. “Maar dat is een product dat maar voor een kleine doelgroep bestemd is. De meeste bedrijven hebben een AVB, een bestuurders- en commissarissenaansprakelijkheidsverzekering (BCA) en een brand/bedrijfsschadeverzekering, maar geen cyberdekking. Dat product wordt nog maar heel weinig afgenomen.” Bij Aon gaat het om een handvol polissen en landelijk schat Hartman dat er inmiddels een paar honderd cyberverzekeringen zijn gesloten. “Wereldwijd gaat er inmiddels zo’n 1 miljard dollar premie om in cyberpolissen.” Hij denkt wel dat het product een vlucht zal gaan nemen. “De bestuurdersaansprakelijkheidsverzekering was eerst ook een nicheproduct, maar nu is er bijna geen vereniging meer die er niet een sluit.” Veel bedrijven willen in deze tijd geen energie steken in het beter beveiligen van data. “Maar straks zullen ze wel moeten.”
Beheersbaar maken In de visie van Aon zijn er drie belangrijke risico’s op cybergebied: criminaliteit, technisch falen en menselijk falen. “Een ding is duidelijk: 50
AMplus nummer 10 - 20 september 2013
Goed nadenken Hartman geeft het voorbeeld van een bedrijf dat een half miljoen schade leed doordat het eigen
ICT-systeem was gehackt. “Wij hebben berekend dat het bedrijf tegen een premie van € 8.000 zeker de helft van de schade vergoed zou hebben gekregen. En dan gaat het om een vrij eenvoudige hack. Je moet er als onderneming goed over nadenken wat je wilt als je de intentie hebt om actief te blijven.”
Jurisprudentie Een cyberpolis is niet duur in vergelijking met andere bedrijfsverzekeringen, vindt Hartman. “De tarieven zijn nog wel vooral gebaseerd op de ervaringen in de VS. Het is nodig dat we op cybergebied jurisprudentie opbouwen in Nederland, zodat de tarieven beter kunnen worden toegespitst op de lokale situatie. Maar voor een premie van zo’n duizend euro kan een mkb-bedrijf al een cyberpolis sluiten. Ik begrijp dat dat veel geld is in deze crisistijd, maar de risico’s nemen toe. Veel bedrijven hebben het niet eens in de gaten als ze gehackt zijn! En ondertussen komt zo’n organisatie wel stil te liggen.”
Cyberbeurspolis Hartman vraagt zich af waarom er nog geen Nederlandse verzekeraar is die een cyberpolis biedt. “Waarom zou er geen cyberbeurspolis ontwikkeld kunnen worden? Ik stuit vaak op heel behoudende mensen die niet willen nadenken over het omgaan met een nieuw risico.” Hartman vindt het positief dat buitenlandse verzekeraars wel cyberpolissen in de Nederlandse markt aanbieden. Daar zit wel een nadeel aan: “Die polissen worden in de VS of in Duitsland geschreven en hier verkocht, maar de voorwaarden zijn dan niet aangepast aan onze wet- en regelgeving en sluiten ook niet altijd aan op de behoeften van de Nederlandse klant.” Hij zou graag zien dat er een Nederlandse verzekeraar met een cyberpolis over de brug zou komen. “Het lastige is dat er hier nog weinig historie is op het gebied van cyberschade. In de Verenigde Staten is die er wel en bestaan er veel grotere portefeuilles, waardoor er veel meer inzicht is in de aard en omvang van schades. In Europa komt dat net op gang. Dat komt omdat bedrijven zich nog onvoldoende bewust zijn van de risico’s en doordat de wet- en regelgeving in de VS veel strenger is.”
Die regels komen er in de EU echter wel aan: elk bedrijf met meer dan 250 medewerkers moet een functionaris voor gegevensbescherming aanstellen, datalekken moeten binnen 24 uur worden gemeld en bij overtredingen moet een boete worden betaald die 2% van de jaaromzet kan bedragen. Dat cybercrime het verzekeren waard is, blijkt wel uit de schade die het naar schatting elk jaar veroorzaakt. “Dat is in Nederland zo’n € 10 mld per jaar en wereldwijd zeker € 500 mld. Falende technologie staat inmiddels in de top 10 van risico’s voor het bedrijfsleven.” Elk bedrijf dat met data omgaat, loopt risico’s, waarschuwt
‘Het zijn vooral de bedrijven in de ICT- en retailbranche die een cyberpolis aanvragen’ Hartman. “Er zijn er die denken: ik heb geen webshop, dus ik heb geen cyberrisico’s. Dat is dus niet waar. Het gaat niet alleen om het stelen van geld, maar ook om het stelen van bedrijfsgeheimen bijvoorbeeld.”
Pionier Hiscox was in 2011 de eerste die in ons land met een polis voor cyberrisico’s kwam. “We waren de pionier”, zegt Yasin Chalabi, manager professional insurance & data risks. “Dat was moeilijk omdat bedrijven zich nog niet bewust waren van de risico’s. Maar vergeleken met een jaar terug, is er wat dat betreft een verschil van dag en nacht. Bedrijven zijn nu veel meer bezig met cyberrisico’s en kijken ook veel meer naar het afdekken ervan.” Maar ook bij Hiscox is de kijk op de risico’s veranderd. “Wij zijn de afgelopen twee jaar meer gaan denken in termen van preventie. Die diensten bieden wij nu ook aan: bedrijven met een omzet tot € 50 mln kunnen een self assessment invullen. Daaruit kunnen ze afleiden hoe hun beveiliging ervoor staat. Wat is het risico op het verlies van data? Dat zit ’m niet alleen in ICT, maar ook in de manier waarop medewerkers met gegevens omgaan.” Hiscox werkt bij het self
AMplus nummer 10 - 20 september 2013
51
OP NAAR HET MILJARD Volgens Allianz is de Europese markt voor het verzekeren van cyberrisico’s over vijf jaar goed voor € 900 mln premie. De Duitse verzekeraar denkt tegen die tijd 20% van de markt in handen te hebben. Nu is het Europese premievolume in cyberpolissen nog zo’n € 150 mln, waarvan tussen de € 50 mln en € 70 mln in Duitsland. In de Verenigde Staten gaat jaarlijks € 985 mln premie om in cyberpolissen. Allianz heeft diverse soorten risicodekking ondergebracht in een pakketproduct voor cyberrisico’s. Daarmee mikt het bedrijf op telecom-, software-, webshop- en bankbedrijven. De jaarpremie voor het product varieert van grofweg € 50.000 tot € 90.000, goed voor tussen de € 10 mln en € 50 mln dekking.
variant noemen we ook we de vierminutenpolis, omdat die snel te sluiten is.” Verder is de premie inmiddels gehalveerd ten opzichte van twee jaar terug. “Daarmee willen we de drempel voor het sluiten van een polis lager maken. Met de ervaring die we in de Verenigde Staten hebben opgedaan, hebben we de portefeuille in groepjes verdeeld, waarbij we voor veel klanten de premie en het eigen risico konden verlagen. Ook hebben we veel begrippen die in de voorwaarden worden genoemd, nader toegelicht.” De records (gegevens) van 1 miljoen als eis is inmiddels ook uit de het aanvraagformulier verdwenen en er worden nu minder gegevens opgevraagd. “Daarbij hebben we onder meer gebruikgemaakt van tips die we van adviseurs kregen.”
Twee meldingen assessment samen met een beveiligingsbedrijf. “Wij als eerste zo’n samenwerking aangegaan.” De kosten van het self assessment zijn voor rekening van Hiscox, mits het bedrijf de polis sluit.
Aanvragen verdubbeld Chalabi ziet vooral de laatste vijf maanden veel meer aanvragen voor de DataRisks-polis. “We hebben het deze zomer heel druk gehad. Veel bedrijven vragen bij ons de premie op; het aantal
Belangrijke cyberrisico’s zijn criminaliteit, technisch falen en menselijk falen aanvragen is met meer dan 100% gestegen.” Onder de aanvragers zijn veel bedrijven die al klant zijn bij Hiscox. “Het zijn vooral de bedrijven in de ICT- en retailbranche die een DataRisks-polis aanvragen”, zegt Chalabi. Hackers hebben meestal twee motieven. “Ze vinden het belangrijk om een uitdaging aan te gaan, zoals het kraken van een ingewikkeld systeem. Maar daarnaast gaat het ook om financieel gewin, zoals het stelen en doorverkopen van creditcardgegevens. Dus in feite geldt het cyberrisico voor alle bedrijven die te maken hebben met privacygevoelige en financiële gegevens en werken met creditcard- of pinbetalingen.”
Aanpassingen In de afgelopen twee jaar is het product aangepast. “We hebben nu twee varianten: één voor het mkb met een omzet tot € 5 mln en één voor bedrijven met een omzet tot € 50 mln. “Die eerste 52
AMplus nummer 10 - 20 september 2013
Nederland is een land waar relatief vaak gehackt wordt, zegt Chalabi. Toch heeft Hiscox in de twee jaar dat de DataRisks-polis wordt gevoerd, maar twee schademeldingen gehad. “Maar dat is wel in lijn met wat we in andere landen zien. Cybercrime is een globaal verschijnsel: aanvallen komen vaak vanuit het buitenland.” Een gemiddelde hackaanval kost een bedrijf al snel drie ton. “Alleen een forensisch onderzoek om de oorzaak te achterhalen, kost al zo’n € 75.000. Zulke bedragen staan nog los van de aansprakelijkheidsschade. Vergeet ook niet dat bedrijven binnenkort ook boetes moeten betalen als ze hun gegevensbeheer niet op orde hebben. Die zijn ook gedekt op de DataRisks-polis.”
Gewoon realiteit Over het algemeen weten bedrijven nu al veel beter dan een jaar geleden wat de risico’s zijn. “Dat komt doordat de risico’s steeds zichtbaarder worden. Adviseurs kunnen daarnaast veel beter vertellen over de risico’s en ook wij zijn beter geworden in voorlichting. De boodschap komt dus van alle kanten bij de bedrijven terecht. Ik vind alleen wel dat de overheid beter haar best moet gaan doen. Bedrijven worden dagelijks aangevallen en dat leidt niet altijd tot schade, maar zo’n aanval lukt echt wel een keer.” Risicobewuste bedrijven zeggen tegen Hiscox soms ook: liever een DataRisks-polis dan een beroepsaansprakelijkheidspolis. “Dat is de bewustwording die we willen hebben. Ondernemingen moeten zich realiseren dat cyberschade losstaat van de vraag of de ICT zijn werk wel heeft gedaan. De vraag is juist of signalen bij de juiste personen in de organisatie terechtkomen. Het gaat niet om de vraag of het de eigen schuld is van het bedrijf; cyberrisico’s zijn gewoon de realiteit. Maar nadenken over maatregelen en afdekken van risico’s zijn het belangrijkste.”
Een nieuw carrière-perspectief ? Cliëntadviseur zakelijke schadeverzekeringen
Niehoff Werning & Kooij is een onafhankelijke adviseur die volledig is gespecialiseerd in financieel advies, toegespitst op de advocatuur en het notariaat. Onze focus richt zich op het zakelijke schadeverzekeringspakket, waarin beroepsaansprakelijkheid een belangrijke plaats inneemt. Daarnaast zijn wij gespecialiseerd in inkomens- en personeelsvoorzieningen en begeleiden we starters. Ons kantoor telt zo’n 15 mannen en vrouwen die zorgen dat de klanttevredenheid hoog blijft. We zijn gevestigd in het centrum van Amersfoort. We kennen een informele bedrijfscultuur met veel eigen verantwoordelijkheid.
De adviseur die we zoeken adviseert zelfstandig onze klanten en verzorgt verzekeringsanalyses en –voorstellen. Schadebehandeling en beheer van de verzekeringsportefeuille behoren eveneens tot het takenpakket. Je bent niet alleen voor de klanten, maar ook voor de accountmanagers het aanspreekpunt. Incidenteel heeft de functie ook een ambulant karakter, als relaties worden bezocht al dan niet samen met de accountmanager. Profiel We vragen een HBO werk- en denkniveau, vakdiploma’s en ervaring in een soortgelijke functie. Goede communicatieve vaardigheden, flexibiliteit en een commerciële drive zijn noodzakelijke persoonlijke eigenschappen. Kennis van (beroeps-)aansprakelijkheid is een pré. Aanbod Naast een goed salaris bieden wij een 13e maand, premievrij pensioen, reis- en studiekostenvergoeding. Een parttime dienstverband (tot 80%) is bespreekbaar. Een psychologisch onderzoek kan deel uitmaken van de selectieprocedure.
Meer informatie en reageren Voor meer informatie neem je contact op met je mogelijk nieuwe collega’s Henny Zinkstok (033 464 13 42) of Matthijs de Meyere (033 464 13 43). Kijk op onze website voor het volledige profiel. Solliciteren kan door je cv en begeleidend schrijven per e-mail te sturen naar
[email protected] of per post aan: Niehoff Werning & Kooij, t.a.v. mevrouw Mr. Mitzy van der Velden, Postbus 1710, 3800 BS Amersfoort.
www.nwk.nl