Risicomanagement & -financiering

1 00 1010

Risicomanagement & -financiering Cyberrisico’s onder controle

Aon Global Risk Consulting Opgesteld voor: RPPC Datum: 27 mei 2014

1010100101001 00 1000100000101010010100100 010010100111000010010101010 010010101001 010100100100010101010101010001010010000101 010010 101 0100 10 1011 10010010101000010010101001 010101001010000 010000110010010 010 010 101011010101001101010010100100101001 010101010101010010 01011010101 0101 010101 01111010 100101010101001010 010101001 001010010010011010101010010 010101010010 101010010101010 1010 01011001111010 1010101010101010 01001010 1001010100100001010101010 101001 1010101010101010101010110 1010 10 10101 010 010010 1 101010100101 011010000111010101010110101 0101010101010101010101 0100100101010101 10100101010101101000 10101 01010 10010100100101010010010101010 01010100 1010100010 01101010 010101010010010010010101010 01010 10101 010101 0100100100 1010 01010101010100 011010101010010 10 0101 0101010001010101010101010 01010101101010100 10101010101010 0101010101010010001010010101 01101010101001010101010 01 01 01001000 10101010101010 0101010101001001001010010 10 010 10101010100100101 0101010101001001010101 010110 10010010101001 101 0 1 01 010 10100101010101010010 010101010 1100100101010 1001 01010010 010100101010101 010 101 01010 010101001010101 010 1 0100 01010101

Enkele stellingen vooraf … 1.

De rol van ICT is veranderd van kantoor- en procesautomatisering naar een strategische productiefactor. Zonder ICT gebeurt er niets meer!

2.

In het tijdperk van technologisering, automatisering, informatisering en digitalisering speelt ICT een cruciale rol bij de realisatie van de organisatorische doelstellingen. Het gebruik van computersystemen en –netwerken in de primaire bedrijfsfuncties, is daardoor een bestuurlijk thema geworden.

3.

Een groot gedeelte van wat wij cyberrisico’s noemen, is met relatief beperkte middelen te ondervangen. Management van (cyber)risico’s heeft daardoor, zeker nu, een positieve ‘return on investment’ (dwz: levert direct meer op dan het kost)

4.

‘Privacy’ en ‘Digitaal/Online’ gaan niet samen (Internet is per definitie onveilig)

5.

"Cyber is een hype. Voor de cyberrisico's van vandaag is binnenkort gewoon een oplossing"

6.

"Verzekeraars (als risico-dragers) hebben hier niets te zoeken; Cyber is én blijft het domein van ICT specialisten die hun dienstenaanbod aanpassen en uitbreiden"

2

Wat zijn Cyberrisico’s ?

3

Passende gelaagdheid binnen de informatiebeveiliging Preventief (voorkomen)

Rookverbod

Informatie beleid (IS)

Detectie (signaleren)

Rookmelder

Virusscanner, Monitoring, IDS, etc.

Repressief (onderdrukken)

Sprinkler

Security Information & Event Mgt (SIEM), IPS

Correctief (herstellen)

Brandverzekering

Verzekerbaar? Nu al gedekt? Voorwaarden?

Is er balans tussen uw bezittingen en de beheersmaatregelen ter bescherming daarvan? 4

4 componenten van Cyber: verlies van systemen, data, crime en aansprakelijkheid

 Privacy schendingen  Misbruik van intellectueel eigendom  Verspreiding van malware

5

Why the Netherlands is such an ‘opportunity’ for cyber risks? The Internet is everywhere, and knows no borders. However, cybercrime has specific geographical features. The key differentiating factors are the level of economic development, the number of Internet users and the level of Internet penetration. Why us?

 GDP: EU — $16.7 billion (2012, IMF) 1st in the world.  Number of Internet users: 77% (2013 est., ITU): EU ranks 1st

 Ranks 1st on Internet access of 94 % (2012)  Excellent ICT-infrastructure (Top 10 fastest internet)

 NL: Top 10 Global Competitiveness Index World Economic Forum (2013-2014)  The Netherlands comes top for online banking in Europe (2012)

 Consumers using multiple platforms and devices which increases complexity and reduces security  NL: Top 5 Most-innovative countries Global Innovation Index 2013

Sources: AIVD, NCSC, Eurostat, Comscore.com, Norton, Trendmicro.nl, Iamsterdam.com, Global Innovation Index, ITU, IMF, World Economic Forum

6

Millions

Informatiebeveiliging: “Wat kost het als ik het doe? Wat als ik het niet doe?” … $6

$250

$5

$200

$4

$1 $0

Source: Ponemon 2013 Global Cost of a Data Breach. Per capita cost by industry classification. Consolidated view (n=277). Measured in US$ Healthcare ranks #1 (USD 233)

Response Costs Lost Business

$150

$3 $2

Total Cost

$100 $50 $-

Cost per Record Size of breaches ranged from 2,300 records to 100,000 Average number of breached records was 23,647

7

… bestaande uit:

 Kosten forensisch (sporen)onderzoek

 Kosten communicatie met klanten, toezichthouders, justitie etc  Kosten inhuur PR-specialist (reputatieherstel)  Onderzoekskosten justitie, creditcardmaatschappijen etc  Claims van derden

 Civielrechtelijke boetes  Reparatie, vervanging/herstel van websites, programma’s of data  Bescherming tegen schade door hacking, inclusief hulp bij afpersing  Omzetverlies, reputatieschade etc. Meerdere antwoorden mogelijk. Bepaal zelf op https://databreachcalculator.com/ of http://www.tech404.com/calculator.html

8

Informatiebeveiliging: randvoorwaarden verschillen van afdeling tot afdeling … ICT Afd.

Juridische Afd.

Communicatie Afd.

Financiële Afd.

Betrouwbaar

Raadpleegbaar

Kordaat, Adequaat

Juistheid

Beschikbaar

Identificeerbaar

Open, Frequent

Betrouwbaarheid

Vertrouwelijk

Dateerbaar

Integer

Tijdigheid

Merk op:  Besluitvorming ten aanzien van informatiebeveiliging gaat over afwegingen tussen concurrerende doelstellingen  Het is economisch gezien rationeel daarbij bepaalde mate van onzekerheid/risico te accepteren  Deze afwegingen vinden plaats op grond van de prikkels - de kosten en baten - die een beslisser (bijv. board of senior management) ervaart bij het nemen, verminderen of elimineren van risico

9

Balans brengen in conflicterende belangen… (casus Teleroute, twee perspectieven) Ladingdieven weten vaak exact wanneer ze moeten toeslaan. Dat is uiteraard geen toeval. U leert hoe uw organisatie voorbereid kan zijn op datalekken en diefstal van gevoelige informatie, hoe uw organisatie “forensic ready” kan zijn en wat u in uw contracten kunt regelen om op het juiste moment te beschikken over de juiste gegevens. “Teleroute fraude” is aan de orde van de dag. In de jacht op de dader trekken juristen en forensisch onderzoekers samen op.

Teleroute S.A., a Wolters Kluwer business, is a leading[1] pan-European online[2] freight exchange service that improves operational efficiency, reduces risk,[3] and offers customized online services for the Transport & Logistics industry.

Bronnen: http://www.portoftwente.com/agenda/expert-class-kienhuishoving-academy-cybercrimeand-forensic-readiness/ , http://en.wikipedia.org/wiki/Teleroute

10

Wie ligt hier dan wakker van?

 Klant  Medewerker

 Staf-diensten  Bestuurder  Toeleverancier

 Toezichthouder  Overheid  Anders?

Wat zijn binnen uw organisatie de noodzakelijke voorwaarden voor verandering? (“Pain drives change”)

11

Wat ons niet verder helpt (typische misvattingen)

 “We hebben een firewall, dus we zijn beschermd.”  “We hebben antivirus geïnstalleerd, dus het risico is klein.”

 “We hebben de beste IT'ers in huis. Zij regelen alles!”  “Waarom zou onze organisatie doelwit zijn?”  “We hebben geen webwinkel; we hebben dus ook geen cyberrisico.”

 “We voldoen aan ISO richtlijnen, dus we lopen geen risico.”  “Niemand heeft nog een verzekering hiervoor… waarom wij dan wel?”  “Het valt allemaal wel mee, dus nu even niet”  “En dan liggen mijn gegevens op straat. Nou en …?” 12

Wat wél helpt: weten wanneer u (extra) kwetsbaar bent voor cyberrisico’s? Goed voorbereide organisaties leiden bij een cyberincident of –crisis aanzienlijk minder schade, dan bedrijven die zich niet hebben voorbereid. Het is daarom belangrijk vast te stellen in welke mate u als organisatie kans loopt op een cyberincident. Er is sprake van (extra) kwetsbaarheid als u: 

persoonlijke en/of medische gegevens verzamelt, bewaart, verwerkt en/of opslaat



een hoge mate van afhankelijkheid kent van elektronische processen en/of computernetwerken



leveranciers, service providers en/of overige derden in de bedrijfsvoering betrekt



te maken heeft met (wettelijke) bepalingen op het gebied van data privacy en/of informatiebeveiliging



bezorgd bent over de (materiële) schade die kan voortvloeien uit cybercriminaliteit, bedrijfsspionage, systeem falen e.d.



een inhaalslag moet maken in het opleiden en/of voorbereiden van medewerkers bij cybergerelateerde incidenten. 13

Relevante wet- en regelgeving: EU Concept Privacyverordening  Eén set regels binnen de EU  Recht op gegevensverwijdering

 Functionaris gegevensbescherming (bewerking >5000 klantgegevens)  Datalek binnen 72 uur melden

 Toestemming voor doorgeven persoonsgegevens buitenlandse overheden  Verplichte uitvoering risico-analyse  Sancties oplopend tot 5% (wereldwijde) jaaromzet/exploitatie

Maar denk ook aan Wet Bescherming Persoonsgegevens, Wet Meldplicht Datalekken, Algemene Voorwaarden, Contractuele bepalingen etc. Directie krijgt hiermee in toenemende mate een zorgplicht ten aanzien van 'bestuur en informatieveiligheid'. Zie voor meer informatie: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf 14

Impact-analyse: Inzicht en overzicht in risico impact en eigenaarschap

 ICT-afdeling  Juridische zaken

 Financiële zaken  Bestuur  Medewerker

 Advies/Staf  Audit

15

Risicomanagement  Heeft u zicht op de belangrijkste cyberrisico's voor uw onderneming, de externe bedreigingen en interne kwetsbaarheden?  Kent u de mogelijke gevolgen daarvan, en de (financiële) impact op uw organisatie?  In hoeverre houdt uw huidige risicomanagement beleid en uitvoering rekening hiermee? Is dit effectief/afdoende, en waarom?  Bent u / Is uw bestuurder bewust van deze risico's, en houdt hij/zij zich hiermee in de praktijk actief bezig? Uit welke activiteiten en maatregelen blijkt dit?  Is er een bedrijfscontinuiteits- en/of crisismanagementplan opgesteld? Hoe vaak wordt er geoefend? Door wie? 16

Crisismanagement ("Je kunt een crisis niet voorspellen — maar wél voorbereiden“)

Adviezen

 Breng de basis op orde en verlaag daarmee de kans én impact van een crisis  Investeer óók in veerkracht: technisch én organisatorisch

 Strategisch vraagstuk: méér dan een IT-issue alleen  Sturen op impactreductie is essentieel – zeker voor beslissers

 Voorzie in een hechte aansluiting van ICT met de rest van de organisatie  Cybercrises zijn afhankelijkheidscrises: let op (keten)partners

Zie voor meer informatie: http://www.cot.nl 17

Risicomanagement vs Risico-financiering Investeer in risico management

Investeer in risico overdracht

 "Wet van de communicerende vaten"

Risico

 100% veiligheid bestaat niet

 Optimale besteding van beschikbare middelen  Meerwaarde risico-overdracht t.o.v. (technische) maatregelen

Weerbaarheid Bron: “Doing What Technology Can’t: The Role of Risk Transfer in Effectively Managing Cybersecurity ” 18

Verzekeringsoverzicht: cyberrisico's typisch niet gedekt!

19

Waarom zijn traditionele verzekeringen veelal ontoereikend?

 Schade aan data kwalificeert niet als een materiële schade Bij een all-risk dekking is in principe alle materiële schade gedekt; verzekeraars beschouwen schade aan data echter zelden als materiële schade.  Aansprakelijkheidsverzekering dekt geen financieel nadeel De algemene aansprakelijkheidsverzekering biedt in de regel alleen dekking voor zaak- en letselschade; Financieel nadeel valt hier niet onder.  Fraudeverzekering: beperkte dekking, en sluit kosten preventiemaatregelen uit De kosten om een aanval af te wenden vallen buiten veel verzekeringsdekkingen, en zijn veelal beperkt.

 Bestuurdersaansprakelijkheid neemt eigen kosten organisatie niet mee Alhoewel een cyberincident kan resulteren in een claim richting bestuurders en commissarissen, moet worden bedacht dat in eerste instantie de organisatie getroffen zal worden. 20

Voorkomen is beter dan genezen (onverzekerbare schade)

Welke risico’s zijn (momenteel) onverzekerbaar en/of uitgesloten van dekking?           

Contractbreuk / Wanprestatie Verlies van patenten, handelsgeheimen Misleidende reclame, ongevraagde communicatie Bekende (netwerk)beveiligingsproblemen Onbevoegd of onrechtmatig verzamelen van informatie Overtredingen of beveiligingsproblemen ontstaan vóór ingangsdatum verzekering Opzet of fraude door het management Strafrechtelijke en/of contractuele schadevergoeding Nalatigheid Systeem upgrades of reparaties Niet-versleutelde apparaten, informatie

21

Aan de slag! (www.aoncyberdiagnostic.com)

22

Voorlopige conclusies van vandaag …

 Cyber is een ‘buzz word’ dat de aandacht voor informatiebeveiliging alleen maar benadrukt.  Cyber heeft potentieel grote impact op de organisatorische doelstellingen. Alle processen digitaliseren, impact neemt toe.  Ook al voldoe je aan alle normen (informatie-beveiliging); incident kan zich altijd voordoen.  Goed huisvaderschap en gezond verstand! Maak bewuste keuzes in het opslaan van informatie en de toepassing van ICT (‘total cost of risk’).  Probeer impact te kwantificeren. Leidt tot betere afweging tussen (preventieve) maatregelen en risicofinanciering.  Gap analysis: Maak inzichtelijk welke verzekeringen elementen van potentiële impact van cyber risico’s afdekken.  Beschermen van de reputatie (crisis management) is zeker zo belangrijk als het afdekken van de financiële schade. 23

Samenvattend Waarom is cyber een issue?

 Kan ongemerkt en betrekkelijk snel enorme schade aanrichten  Mensen zijn "onbewust onbekwaam" en "100% veilig bestaat niet"  Schade veelal niet gedekt onder traditionele verzekeringen Daarom:

 Goed om vast te stellen hoe groot risico's zijn (bedreigingen/kwetsbaarheden/beheersmaatregelen)  Vaststellen of huidige verzekeringen inderdaad onvoldoende dekking bieden  Nadenken over beheers- en controlemaatregelen (risicomanagement en financiering) en optimale beschermingsconstructie om bedrijfsdoelstellingen te realiseren.

24

Contact Mark Buningh Aon Global Risk Consulting T + 31 6 5134 6614 E [email protected] W www.aon.nl/cyber

About Aon Global Risk Consulting With more than 2,000 risk professionals in 50 countries worldwide, Aon's Global Risk Consulting practice delivers a fully integrated range of risk management solutions designed to optimise the risk profile of our clients. Our risk consulting professionals deliver actuarial & analytics, enterprise risk management, forensic accounting and risk financing solutions. Our risk control, claims and engineering practice provides expertise in property and casualty risk control, claims consulting, fire protection and energy risk engineering. Our captive & insurance management experts are widely recognised as the leading captive manager, with local capabilities in over 30 countries.

25