Cyberrisico's onder controle

Cyberrisico's onder controle

Wat is cyber? Financiele Positie Compliance

Privacy

Kwaliteit

Cyberrisico's Impact analyse

Merk & Reputatie

 Wet- en regelgeving  Training & Opleiding Informatiebeveiliging …

 Website  Jaarverslag  M&A  Directie, RvB  Medewerkers …

Business Continuity

Integriteit Veiligheid Tip! Stel uw eigen impact analyse op.

2

Is Cyber belangrijk voor u? "issue voor mij, maar (vast) goed geregeld" "Wél een issue,

maar niet voor mijn organisatie"

"Wel een issue voor mijn organisatie, niet voor mijn afdeling/team"

"goed geregeld, periodiek getest, aantoonbare weerbaarheid van organisatie, en bewezen veerkracht bij incidenten"

"Geen Issue" "weet niet"

3

Oude risico's in een nieuw jasje?

[96%]

[14%] [63%]

[25%]

[100%]

[~%] [aandeel online omzet]

[100%]

4

Cybercrime in Nederland: Nieuws

Merk op: kranten zijn er niet langer voor het nieuws! 5

Cybercrime in Nederland: Omvang

“Cybercrime kost Nederland € 10 miljard per jaar”

6

De 4 componenten van Cyber: verlies van systemen, data, crime en aansprakelijkheid

 Privacy schendingen  Misbruik van intellectueel eigendom  Verspreiding van malware

7

Top 10 risico’s Aon Global Risk Management Survey 2013 1.

Verzwakking economie;

7.

Onderbreking van het productieproces;

2.

Verandering in wet- en regelgeving;

8.

Prijsrisico grondstoffen;

3.

Toenemende concurrentie;

9.

Risico van cashflow en liquiditeit;

4.

Reputatie- en merkschade;

10. Politieke risico's / onzekerheden.

5.

Onvermogen om toptalent aan te trekken en vast te houden;

6.

Gebrekkige innovatie/aansluiting klantbehoeften;

Voor meer informatie, zie: http://www.aon.com/2013GlobalRisk/ 8

Typische misvattingen

 “We hebben een firewall, dus we zijn beschermd.”  “We hebben antivirus bescherming, dus het risico is klein.”  “We hebben de beste IT'ers in huis.”  “Waarom zou onze organisatie een doelwit zijn?”  “We hebben geen webwinkel; we hebben dus ook geen cyberrisico.”  “We voldoen aan PCI, ISO, NEN richtlijnen, dus we lopen geen risico.”  “Niemand heeft nog een verzekering hiervoor… waarom wij dan wel?”

9

Gevolgen van cybercriminaliteit, datalekken, diefstal etc.

 Kosten forensisch (sporen)onderzoek  Kosten communicatie met klanten, toezichthouders, justitie etc  Kosten inhuur PR-specialist (reputatieherstel)  Onderzoekskosten justitie, creditcardmaatschappijen etc  Claims van derden  Civielrechtelijke boetes  Reparatie, vervanging/herstel van websites, programma’s of data  Bescherming tegen schade door hacking, inclusief hulp bij afpersing  Omzetverlies, reputatieschade etc. Meerdere antwoorden mogelijk. Bepaal zelf op https://databreachcalculator.com/ of http://www.tech404.com/calculator.html

10

Relevante wet- en regelgeving: EU Concept Privacyverordening

 Eén set regels binnen de EU  Recht op gegevensverwijdering  Functionaris gegevensbescherming (bewerking >5000 klantgegevens)  Datalek binnen 72 uur melden  Toestemming voor doorgeven persoonsgegevens buitenlandse overheden  Verplichte uitvoering risico-analyse  Sancties oplopend tot 5% (wereldwijde) jaaromzet (max 100 mio)

Zie voor meer informatie: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf 11

Relevante wet- en regelgeving: Nederlandse wetgeving

Nederlandse wetgeving m.b.t. bescherming van persoonsgegevens:  Bij overtreding van regels in de Telecommunicatiewet kan ACM boetes opleggen tot maximaal EUR 450.000  Het CPB kan een boete van maximaal EUR 200.000 opleggen voor schending van de algemene meldplicht (WBP). Voorstel: EUR 450.000. Bestuurders krijgen daarmee in toenemende mate een zorgplicht ten aanzien van 'bestuur en informatieveiligheid'.

Zie voor meer informatie: http://www.cbpweb.nl/downloads_samenwerking/samenwerking_opta.pdf Bron: Beantwoording Eerste Kamervragen betreffende cyberbeveiliging, 4 juli 2013

12

Casus Gezondheidszorg (1/2)

 Type incident: datalek  Gevolg: patiëntgegevens gestolen incl. dossiers. Betrof bekende zwakheid in back up systeem, firewall-configuratie  In geval van kwaadaardige hack: mutatie van gegevens EPD/gijzeling van data, verkopen medische gegevens BN-ers, aanpassingen financieel systeem: impact vele malen groter  Evaluatie: goed crisismanagement door marketing en communicatie in overleg met directie. Afsluiten alle systemen van de buitenwereld. Onderzoeken bestanden op mutaties

13

Casus Gezondheidszorg (2/2)

 Veel communicatie. Negatieve publiciteit (o.a. minister Schippers ‘ernstig’). IGZ rapport met waarschuwing, CBP: versneld (binnen 8 weken) invoeren eerder geïdentificeerde adviezen: EUR 200K  Extra kosten accountant: EUR 50K  Derving inkomsten (bedrijfsstilstand): ?  Nieuwe firewall: EUR 150K  Nieuw netwerk (geen directe link met incident): EUR 1,5M  Boete max. 2% van omzet (WbP) m.i.v. 2014/2015  In bestaande polis: crisismanagement support voor EUR 15K gedekt Commentaar Aon: "Met een cyber polis van EUR 8K jaarpremie was meer dan de helft van de kosten gedekt" 14

Casus Logistiek

Bron: www.uitzendinggemist.nl 15

Plan van aanpak

Zie voor meer informatie: http://www.aon.nl/cyber 16

Risicobeheersing vs Verzekeren Investeer in risico management

Investeer in risico overdracht

 "Wet van de communicerende vaten"

Risico

 100% veiligheid bestaat niet  Optimale besteding van beschikbare middelen  Meerwaarde risico-overdracht t.o.v. (technische) maatregelen

Weerbaarheid Bron: “Doing What Technology Can’t: The Role of Risk Transfer in Effectively Managing Cybersecurity” 17

MITIGEREN

VOORKOMEN

Preventie, Risico Reductie

Elimineren

Laag

Kans

Hoog

Risicomanagement strategie: een eenvoudige benadering …

Risico Tolerantie

Verzekeren, Afdekken

ACCEPTEREN

OVERDRAGEN

Laag

Impact

Hoog 18

Mitigeren ('kans hoog, impact laag'): opnieuw een eenvoudige benadering …

VOORBEREIDEN  Bewustwording (IT>BT)  De rol van data/informatie  Risico-analyse  Trainen & Opleiden

 Incident/Crisis management  Communicatie  Bedrijfscontinuatie

REAGEREN MITIGEREN

VOORKOMEN

ACCEPTEREN

OVERDRAGEN

PREVENTIE  Implementeer risicobeperkende maatregelen  Samenhangende aanpak in mensen, middelen, processen & omgeving

 Monitoring van gegevensstromen en activiteiten

DETECTIE

19

Risico-inventarisatie

 Heeft u zicht op de belangrijkste cyberrisico's voor uw onderneming, de externe bedreigingen en interne kwetsbaarheden?  Kent u de mogelijke gevolgen daarvan, en de (financiele) impact op uw organisatie?  In hoeverre houdt uw huidige risico-management beleid en uitvoering(sorganisatie) rekening hiermee?  Bent u / Is uw bestuurder bewust van deze risico's, en houdt hij/zij zich hiermee in de praktijk actief bezig? Uit welke activiteiten en maatregelen blijkt dit?  Is er een bedrijfscontinuiteits- en/of crisismanagementplan opgesteld? Hoe vaak wordt er geoefend? 20

Plan van aanpak

Zie voor meer informatie: http://www.aon.nl/cyber 21

"Je kunt een crisis niet voorspellen — maar wél voorbereiden"

Adviezen  Breng de basis op orde en verlaag daarmee de kans én impact van een crisis  Investeer óók in veerkracht: technisch én organisatorisch  Strategisch vraagstuk: méér dan een IT-issue alleen  Sturen op impactreductie is essentieel – zeker voor beslissers  Voorzie in een hechte aansluiting van ICT met de rest van de organisatie  Cybercrises zijn afhankelijkheidscrises: let op (keten)partners

Zie voor meer informatie: http://www.cot.nl 23

"Je kunt een crisis niet voorspellen — maar wél voorbereiden"

Tips  Breidt bestaand incidentmanagement uit, en pas bestaand crisismanagement integraal toe  Stel een scenariokaart 'cybercrisis' op  Train- en oefen betrokkenen op bijzonderheden cybercrisis  Welke informatie is weg? Kan dit worden gereconstrueerd?  Welke klanten zijn geraakt? En wat gaan we ze vertellen?

Voorbeeld: Wat te doen bij een datalek?

 Welke wetgeving is van kracht? (lokaal/internationaal)  Wie staat de media te woord, en wat is het verhaal?  Heb je krediet monitoring nodig, of een call center?  Moeten toezichthouders, leveranciers ed worden geinformeerd?  Zijn aanpassingen nodig in bestaande processen? 24

Plan van aanpak

Zie voor meer informatie: http://www.aon.nl/cyber 25

Verzekeringsoverzicht: cyberrisico's typisch niet gedekt!

26

Verzekeraars op de Nederlandse markt VERZEKERAAR

CAPACITEIT (EUR)

PRODUCT

Ace

30.000.000

Dataguard / Privacy Protection

Allianz

50.000.000

Cyber Protect

AIG

25.000.000

CyberEdge

Chubb

10.000.000

Chubb Cyber Security

CNA

7.500.000

NetProtect

Hiscox

5.000.000

Data Risks

Liberty

10.000.000

Cyber Suite

Swiss Re

25.000.000

Excess /Co-assurantie (excess point EUR 10.000.000)

XL

10.000.000

XL Eclipse

Zurich

25.000.000

Security & Privay Protection

Merk op: voornamelijk buitenlandse verzekeraars 27

Dekkingselementen van een cyberverzekering  Aansprakelijkheid: – Verdedigingskosten (juridische bijstand) – Schikkingkosten (betaling claim)  Crisismanagement: – Kosten (forensisch) onderzoek – Public relations – Klant notificatie kosten – Krediet bewaking  Boetes: – Onderzoek – Verdedigingskosten (juridische bijstand) – Betaling aan overheid

   

Reconstructiekosten Bedrijfsstilstand Afpersing Cloud/Outsourcing

28

Voorwaarden (aanvraagformulier)

     

Algemene bedrijfsgegevens (Industrie, Omvang, Aantal mdw.) Toelichting op activiteiten Uitbesteding (Cloud) Toelichting op beveiliging & gegevensbescherming Gewenste dekking Schadeverleden

29

Premie-indicaties van een cyberverzekering

Afhankelijk van eigen-risico, omzet- en sectorgegevens, beheersingsmaatregelen e.d.  3rd party = €5,000 – 15,000 per € mio verzekerd bedrag  1st party = €5,000 – 15,000 per € mio verzekerd bedrag  Combinatie = €7,500 – 25,000 per € mio verzekerd bedrag Eigen-risico  €25,000 – 100,000 bij middelgrote bedrijven met omzet < €100 mio  €250,000 – 10 mio+ voor grotere ondernemingen, omzet > €100 mio

30

Vergelijking PROPERTY & CASUALTY

$1.3 B$10-30 B

$>100 B*

*

Premie

CYBER

$1.3 B$100 B

$1.3 B**

***

Premie

Schade-omvang Property

Schade-omvang Cyber

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

$

Premies Property

* National Association of Insurance Commissioners ** Betterly Report ** CSIS – McAfee Report

Premies Cyber

31

Stellingen

 "Cyber is een hype; voor de cyberrisico's van vandaag hebben we binnenkort gewoon een oplossing"  "Verzekeraars hebben hier niets te zoeken; Cyber is én blijft het domein van ICT specialisten die hun dienstenaanbod aanpassen en uitbreiden"  'Privacy' en 'Digitaal' gaan niet samen!  "Cyberrisico's worden nu niet goed beheer(s)t; ICT is weliswaar betrokken vanuit de inhoud maar niet vanuit het bestuur.  "Over 3 tot 5 jaar heeft iedereen een verzekering voor het online verkeer, net zoals de WA-polis in het gemotoriseerde verkeer" 32

Bewustwording: Kennis Quiz (www.aon.nl/cyber)

33

Actieplanning: Cyber Diagnose (www.aoncyberdiagnostic.com/english)

34

Samenvattend Waarom is cyber een issue?  Kan ongemerkt en betrekkelijk snel enorme schade aanrichten  Mensen zijn "onbewust onbekwaam" en "100% veilig bestaat niet"  Schade veelal niet gedekt onder traditionele verzekeringen Daarom:  Goed om vast te stellen hoe groot risico's (bedreigingen/kwetsbaarheden) zijn  Vaststellen dat huidige verzekeringen waarschijnlijk onvoldoende dekking bieden  Weten dat aanbod in NL snel toeneemt, waarmee relatief voordelig de (financiële) gevolgen van cyberrisico's kunnen worden afgedekt  Nadenken over beheersingsmaatregelen (preventie, detectie ed) om bedrijfsdoelstellingen te beschermen 35

Contact

Mark Buningh Aon Cyber Risk Management T E W

+31 (0)6 5134 6614 [email protected] aon.nl/cyber linkedin.com/pub/markbuningh/28/239/215

36