Themadossier Cyberrisico’s
Zeker voor u
Concordia de Keizer Themadossier cyberrisico’s
100% cyberveiligheid onmogelijk én onwenselijk! Bedrijven én particulieren moeten terdege rekening houden met de kans op een hack of ander cyberincident. “Het is niet de vraag óf het gebeurd, maar eerder wanneer? Bovendien is de kans groot dat het leed al is geschied. Naar schatting is één op de vijf à tien computers inmiddels al één of meerdere keren gehackt.” Dat vertelde Stan Hegt, manager cybersecurity bij KPMG, tijdens het seminar over cyberrisico’s dat Concordia de Keizer organiseerde voor zijn klanten in het Wereldmuseum in Rotterdam. Wat cyberrisico’s betreft is volgens hem honderd procent veiligheid dan ook praktisch onmogelijk te realiseren en uit kosten/baten-overwegingen eigenlijk ook niet wenselijk. “Bij andere risico’s, zoals brand-, water- of stormschades, streven we die 100% veiligheid ook niet na, dus waarom zouden we dat bij cyberrisks dan wel moeten doen?, aldus Hegt, volgens wie het voor bedrijven beter is om meer te investeren in het detecteren van cyberincidenten en in een snelle adequate aanpak nadat een calamiteit zich heeft voorgedaan. KPMG ’s cybersecurity manager kan erover meepraten. Al op jeugdige leeftijd was hij actief als (hobby)hacker en heeft uiteindelijk van zijn hobby zijn beroep gemaakt. Aanvankelijk als zelfstandig ondernemer en de laatste jaren bij KPMG, alwaar hij veel bedrijven, waaronder enkele multinationals, adviseert op het brede terrein van cybersecurity. Hegt raadt ondernemingen aan in hun riskmanagementbeleid met betrekking tot cyberrisico’s zoveel mogelijk naar het eigen bedrijf te kijken vanuit de ogen van de hacker. “In hoeverre ben ik interessant voor hobby- of criminele hackers, wat is er te halen (‘wat zijn de kroon juwelen van uw bedrijf’) en hoe zouden ze eventueel ‘binnen’ kunnen komen? En laat een securitytest uitvoeren, waarbij je een te goeder trouw zijnde hobbyhacker carte blanche geeft om de ‘mazen’ in je systeem te vinden”, hield Hegt zijn aandachtig gehoor voor. En passant liet hij hen zien hoe eenvoudig het is om in computers in te breken en zelfs om wachtwoorden te achterhalen. “Bij de helft van de computers is de beveiliging niet up-to-date”, benadrukte KPMG ‘s manager, die de aanwezige onder nemers gerust stelde met de woorden: “Zo lang hackers niets hebben aan of kunnen doen met de (onrechtmatig) verkregen informatie, is er niets aan de hand.” Waarom hoor je zo weinig over hackers die opgepakt zijn? Het antwoord van Hegt: “De aandacht van de politie voor dit onderwerp is toegenomen en er wordt hierin fors geïnvesteerd in kennis en mankracht. Het is echter een
Stan Hegt Stan is een hacker die gespecialiseerd is in het uitvoeren van penetratietesten- de kunst van het testen van beveiliging vanuit het perspectief van een aanvaller. Wat begon als hobby op tienjarige leeftijd, groeide al snel uit tot een serieuze bezigheid: jarenlang heeft hij als freelancer zijn diensten aangeboden aan grote multinationals. Inmiddels is Stan vijf jaar actief als manager bij KPMG op het gebied van cybersecurity. Op professionele en legale basis voert hij beveiligingstesten uit bij de klanten van KPMG.
gegeven dat cybercriminaliteit in het bedrijfsleven niet de hoogste prioriteit heeft bij politie en recherche. Zaken als kinderporno, moord en belastingfraude staan hoger op de lijst. Een reden temeer om zelf te investeren in preventie, detectie en respons. Al is dat met name in detectie van cyberincidenten zeker niet eenvoudig.” Vijf hoofdadviezen De vijf hoofdadviezen van Hegt aan het adres van ondernemers op een rij: • Bereid je organisatie er op voor dat cybercrime gemeengoed (business as usual)wordt; • Kijk naar je eigen organisatie vanuit het perspectief van de ‘aanvaller’: de hobby- of criminele hacker en/of beroepscrimineel; • 100% veiligheid is niet mogelijk. En onwenselijk! • Blijf niet hangen in preventie. Dat is niet voldoende; investeer in detectie en/of in een snelle reactie na een incident (incident response plan); • Cyberveiligheid is geen aparte afdeling; stel een team van specialisten uit het gehele bedrijf samen
Concordia de Keizer Themadossier cyberrisico’s
De juridische aspecten van cybercrime “We leven in een ‘hyperconnected’ wereld, waarin alles en iedereen met elkaar is verbonden. Deze innovatie en vooruitstrevendheid heeft zo zijn voordelen en maakt het werken en zaken doen een stuk makkelijker, flexibel en efficiënter. Maar een en ander brengt voor ondernemers ook (nieuwe) risico’s met zich, waartegen bescherming vereist is. En bovendien nieuwe, ingrijpende wet- en regelgeving waaraan zij moeten voldoen, zoals de meldplicht datalekken.” Die waarschuwing aan het adres van het bedrijfsleven kwam tijdens het cyber-seminar uit de mond van mr. Dorine ten Brink, advocaat bij Ploum Lodder Princen. “Door de vele financiële, zakelijke en persoonsgebonden gegevens die online zijn is er een verhoogde kans op een hack of verlies van data. En daarmee op claims van betrokkenen, verlies aan concurrerend vermogen en reputatieschade. Het is dan ook van belang hierop controle te krijgen.” Met het oog op dit laatste wijst zij op een aantal tools die ondernemers tot hun beschikking hebben. Bijvoorbeeld door met betrokkenen afspraken te maken over beveiligingsmaatregelen, servicelevels, audits en benchmarking en daarop vervolgens adequaat toe te zien.” Geldt er bijvoorbeeld een resultaats- of inspanningsverplichting? En is er daarnaast ook nog een schadevergoeding en/of ontbinding mogelijk?”, aldus Ten Brink.” De advocaat noemt een drietal beveiligingsrisico’s. De vertrouwelijkheid van de gegevens (Zijn de gegevens in te zien door onbevoegde partijen?), de integriteit van de gegevens (Is de inhoud van de gegevens gewijzigd?) en de beschikbaarheid van gegevens (Zijn de gegevensverwijderd zonder toestemming van de eigenaar?). “Overigens worden de beveiligingseisen zwaarder naarmate de gegevens gevoeliger zijn: dataclassificatie”, benadrukt Ten Brink, volgens wie er een aantal beveiligingsmaatregelen zijn: netwerkbeveiliging (enscryptie, firewalls), systeembeveiliging (inlogcodes, gebruikers namen), authenticatieprocessen (certificaten, tokens), fysieke beveiliging (toegangscontrole) en preventie, detectie en correctie. Volgens haar dienen er door de leverancier beveiligingsgaranties te worden afgegeven. Zoals volledige en duidelijke informatie over en toegang tot alle documentatie inzake beveiligingsrichtlijnen en – maatregelen, recht van de klant om periodieke controles uit te voeren met afspraken over toegankelijkheid data en te allen tijde beschikbare informatie over de locatie, integriteit, beschikbaarheid en vertrouwelijkheid worden afgegeven van de data. Verder noemt zij het onmiddellijk informeren van de klant in geval van een lek of incident, volledige medewerking aan (ook forensisch) onderzoek, risicobeheersing en schadebeperking en vernietiging van de data na einde van de overeenkomst (na retransitie).
Dorine ten Brink Dorine is begin jaren ’90 bij toeval in het IT-recht gerold en heeft het rechtsgebied nooit meer losgelaten. Nieuwe technologieën leiden steeds weer tot nieuwe wetgeving. De markt vraagt vervolgens om creatieve juridische toepassingen en oplossingen. Dorine gaat die uitdaging graag aan. Haar specialisaties: opstellen en uitonderhandelen van complexe ICT-contracten, advies op strategisch niveau, begeleiding bij ICT-geschillen en exitscenario’s.
Aansprakelijkheid De advocaat wijst in het kader van de beveiliging daarnaast op de juridische remedies. Hoe zit het bijvoorbeeld met de aansprakelijkheid voor de eventueel ontstane reputatieschade, verlies aan concurrerend vermogen of bij claims van betrokkenen van de gelekte persoonsgegeven? “De zorgplicht ligt bij de leverancier, maar ook de klant behoudt een stuk eigen verantwoordelijkheid. In de vorm van goed opdrachtgeverschap (meebepalen, beoordelen, controleren en afdwingen van beveiligingsmaatregelen), en in het kader van due diligence (zowel het uitvoeren van de overeenkomst als het eigen beveiligingsbeleid dienen op orde te zijn)”, aldus Ten Brink, die onderkent dat het aansprakelijkheidsvraagstuk in de praktijk vaak lastig is aan te tonen. Volgens haar is de partij die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt ervoor verantwoordelijk dat deze goed worden beheerd. “Het behoort onder meer tot diens verantwoordelijkheid om de gegevens niet langer te bewaren dan noodzakelijk (art. 10 Wet Bescherming Persoonsgegevens, WBP), zorg te dragen voor passende technische en organisatorische maatregelen (art. 13 WBP), en voldoende waarborgen te bieden voor de beveiliging en toe te zien op naleving (bewerkersovereenkomst, art. 14 WBP).” Overtreding op de wet- en regelgeving heeft juridische consequenties”, benadrukt Ten Brink. “Een bestuurlijke boete door het College Bescherming Persoonsgegevens (CBP) van ten hoogste 4. 500 euro en een strafrechtelijke boete van ten hoogste 3.900 euro, al is deze in de praktijk niet of nauwelijks opgelegd. Daarnaast kunnen betrokkenen naar de rechter om rechten af te dwingen en kan het CBP besluiten tot naming & shaming op de website www.cbpweb.nl.”
Concordia de Keizer Themadossier cyberrisico’s
De impact van de Meldplicht Datalekken “De op stapel staande privacywet- en regelgeving – de ‘Meldplicht datalekken’ – heeft ingrijpende gevolgen voor ondernemers bij hun bedrijfsvoering van alledag. Niet in de laatste plaats omdat een en ander impact heeft op de verantwoordelijkheden van partijen en daarmee op de aansprakelijkheidsvraag.” Dat vindt mr. Dennis Zieren, eveneens als advocaat werkzaam bij Ploum Lodder Princen Wat is nu precies een datalek? “Een inbreuk op de beveiliging van de persoonsgegevens die leiden tot verlies of onrechtmatige verwerking”, zo omschrijft Zieren het, volgens wie drie zaken ten grondslag liggen aan de komst van de Meldplicht Datalekken: schadebeperking (betrokkenen kunnen maatregelen nemen en zo het vertrouwen in de onderneming herstellen), een betere bescherming van persoonsgegevens en een beter (toe)zicht door het College Bescherming Persoonsgegevens. Overigens zijn er inmiddels meerdere meldplichten: o.a. voor telecom- en internetproviders (art. 11a Tw) en financiële instellingen (Wft) en is er naast het reeds genoemde Wetsvoorstel Meldplicht Datalekken (WV 33 662) een Europese privacywetgeving op komst (vermoedelijk in 2017) en ligt er een wetsvoorstel Melding Inbreuken elektronische informatiesystemen (voor vitale sectoren zoals energie, drinkwater, etc.) Wie, wat, waar Wat betekent de Meldplicht Datalekken in de praktijk van alledag? Wie moet wat waar melden? Zieren geeft het antwoord: “De verantwoordelijke, de partij die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt, moet onverwijld melden. Let op: het CBP kan de verantwoordelijke alsnog verplichten te melden aan de betrokkene (artikel 34a lid 7 Wbp) en in de Privacy Verordening bestaat ook een meldingsplicht voor de bewerker.” Wat moet er worden gemeld? Hij vervolgt: “De aard van de inbreuk, de instanties waar meer informatie kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Verder moet ook aan het CBP worden gemeld de geconstateerde en vermoedelijke gevolgen van de inbreuken voor de verwerking van de persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt om de gevolgen te verhelpen. Aan de betrokkene(n) moet daarnaast een en ander op een zodanige wijze worden gecommuniceerd dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd”, aldus Zieren, volgens wie een datalek aan het CP moet worden gemeld indien er sprake is van inbreuk op de beveiliging met ernstige nadelige gevolgen voor bescherming persoonsgegevens (artikel 34a lid 1 Wbp). En aan de betrokkene(n) indien er sprake is van inbreuk op de beveiliging met ernstige nadelige gevolgen
Dennis Zieren Dennis is al jarenlang actief in het IT-recht en koppelt daarbij zijn grote kennis van het IT-recht aan specifieke sectoren, waar onder de zorg. Dennis begrijpt wat er nodig is om een complex traject tot een goed einde te brengen. Zijn specialisaties: opstellen en uitonderhandelen van complexe ICT contracten, begeleiden van (Europese) ICT aanbestedingen, begeleiden ICT-geschillen en privacyrecht.
voor bescherming persoonsgegevens die waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a lid 2 Wbp). Als uitzondering op meldplicht geldt (aan de betrokkene) wanneer de persoonsgegevens versleuteld zijn of anderszins onbegrijpelijk gemaakt (artikel 34a lid 6 Wbp), Anders dan de huidige bestuurlijke boete van maximaal 4.500 euro kan bij in gebreke blijven straks een aanzienlijke bestuurlijke boete van maximaal 450.000 euro worden opgelegd. Met de toekomstige Europese wetgeving wordt deze boete zelfs verhoogd naar 2% van de wereldwijde jaaromzet met een maximum van één miljoen euro”, aldus Zieren, die met het oog hierop ondernemers aanraadt de huidige bewerkersovereenkomst aan te passen en een draaiboek op te stellen voor de te nemen maatregelen bij datalekken.
Concordia de Keizer Themadossier cyberrisico’s
Professionele hulp en ondersteuning bij reduceren cyberrisks Honderd procent cyberveiligheid bestaat niet, zo luidde de boodschap van Stan Hegt, manager cybersecurity bij KPMG, tijdens het seminar cyberrisico’s dat wij voor onze relaties organiseerden. “Dat betekent uiteraard niet dat wij hen op dit gebied aan hun lot overlaten”, benadrukt mr. Annet Govaert-Proos, senior specialist aansprakelijkheid en overige varia bij Concordia de Keizer.
“Integendeel, ook met betrekking tot cyberrisico’s staan onze specialisten voor u klaar om met adviezen om de kans op een hack of ander cyberincident tot het absolute minimum te beperken. Dat varieert van een uitgebreide risico-inventarisatie en een daarop gebaseerd palet aan riskmanagement- en verzekeringsoplossingen, specifiek afgestemd op uw bedrijfssituatie, tot professionele hulpverlening ter beperking van de gevolgschade van een cyberincident (incident response plan)” Volgens Annet Govaert vormt cybercrime een groeiend risico. “Niet in de laatste plaats doordat de opbrengsten voor criminelen hoog zijn en de pakkans gering. Het is dan ook tijd voor actie”, vindt zij. “Binnen Concordia de Keizer hebben we cyberrisico’s dit jaar tot één van onze speerpunten gemaakt. Zo hebben wij hiervoor een speciaal team geformeerd van specialisten, de materie nader bestudeerd en de op de markt verschenen verzekeringsoplossingen geïnventariseerd, geanalyseerd en met elkaar vergeleken. Inmiddels bieden wij ondernemers praktische begeleiding en ondersteuning op een drietal gebieden: risico-inventarisatie, verzekeringsoplossingen en praktische hulp na een incident ter voorkoming van gevolgschade. Riskmanagement, cyberpolis, incident response plan Wat biedt Concordia de Keizer op die punten concreet aan dienstverlening? Annet Govaert antwoordt: “In de eerste plaats riskmanagement-ondersteuning. In de vorm van een antwoord op vragen als ‘hoe is mijn bedrijf beveiligd tegen cyberrisico’s?’, ‘wat zijn de consequenties van een inbreuk? en ‘wat kan ik daaraan zelf doen?’. Daarvoor maken wij gebruik van een drietal tools, die afhankelijk van de aard en omvang van een bedrijf kunnen worden ingezet. Dat zijn respectievelijk een inventarisatieformulier, een model voor selfassesment en, vooral voor de grotere bedrijven, een security audit/due diligence.” Inmiddels zijn er verschillende specifieke cyberpolissen op de markt verschenen, allen met een ruime dekking voor een acceptabele, betaalbare premie. Volgens Annet Govaert bieden zij alle dekking tegen zowel eigen schade als schade die aan derden worden veroorzaakt (aansprakelijkheid). Bij eigen schade kan gedacht worden aan kosten
Annet Govaert Onze specialist Annet Govaert heeft ruim 20 jaar ervaring op het gebied van aansprakelijkeids verzekeringen en heeft zich de laatste tijd gespecialiseerd op Cybercrime, -risico’s en -ontwikkelingen met als uitgangspunt de bewustwording van relaties op dit gebied.
voor juridisch en technisch onderzoek, de herstelkosten van systemen, kosten voor het melden van cyber incidenten aan klanten/benadeelden en voor monitoring, reputatieschade en PR-kosten, bedrijfsschade gevolg schade), kosten als gevolg van en aan afpersing en door toezichthouders opgelegde boetes. (Aansprakelijkheids) schades van derden kunnen zijn kosten en claims die voortvloeien uit inbreuk/verlies van persoonsgegevens, inbreuk van intellectuele eigendommen en/of inbreuk van vertrouwelijke (bedrijfs)informatie en directe en indirecte schade aan computersystemen van derden. “Misschien wel het belangrijkste onderdeel van een Cyberverzekering is het incident response plan voor een snelle, adequate aanpak als zich onverhoopt een incident heeft voorgedaan”, zegt Annet Govaert. “Dat omvat onder meer een 24/7 bereikbaar alarmnummer voor cyber incidenten, een speciale website, een incident coach en de beschikbaarheid van allerlei specialisten als IT-bedrijven, juristen en communicatiedeskundigen. Allemaal hulp middelen die ertoe bijdragen dat de financiële en andere gevolgen van een cyberincident tot een minimum kan worden beperkt.”
Concordia de Keizer Themadossier cyberrisico’s
Wij zijn u graag van dienst Als ondernemer streeft u naar optimaal rendement en excellente dienstverlening. Zolang risico’s goed beheerst worden vormen deze hiervoor geen bedreigingen, maar zijn het kansen die u kunt benutten. Risicomanagement is een vak apart. Ons vak. We zetten onze expertise in zodat u zich volledig kunt richten op uw core business. Daarvoor werken we graag nauw met u samen. Meer informatie? Wilt u meer weten over cyberrisico’s van Concordia de Keizer? En bent u benieuwd wat wij voor u kunnen betekenen? Neem dan contact op met Annet Govaert via 010 251 12 46. Of stuur een e-mail naar
[email protected]
Concordia de Keizer Concordia de Keizer adviseert (middel) grote bedrijven, instellingen en (semi) overheden op het gebied van financiële dienstverlening en risico management. Wij begeleiden onze opdrachtgevers bij het inschatten van potentiële risico’s en adviseren optimale oplossingen om die risico’s te beheersen. Dit doen wij met hoog gekwalificeerde, betrokken mensen, met hart voor uw zaak en passie voor het vak. Met maar één doel voor ogen; de continuïteit van uw business of dienstverlening waarborgen. Wij ontzorgen onze opdrachtgevers op onder meer de volgende gebieden: • Brand- en bedrijfsschade • Bedrijfs-, product-, beroeps- en bestuurdersaansprakelijkheid • Marine, logistiek en transport • Technische verzekeringen, CAR, machinebreuk- en bedrijfsschade • Employee benefits en collectieve pensioenen • Warranty indemnity, product tampering, product recall en extortion • Fraude, cybercrime, kidnap & ransom • Kredietverzekeringen • Captives en andere vormen van risk transfers • Europese aanbestedingen
Lichtenauerlaan 202-220 3062 ME Rotterdam Postbus 23403 3001 KK Rotterdam T 010 251 12 51