Netherlands

Organisaties hebben gemiddeld drie jaar last van een cyberincident

 

Wanneer bedrijven geld besteden aan verzekeringen, gaat het grootste deel van het budget vaak naar de traditionele verzekeringen van tastbare risico’s. “Een minder zichtbaar en nieuw risico als cyber blijft het ondergeschoven kindje en dat is best opmerkelijk in deze digitale wereld”, vertelt Kirsti Aasestrand, Senior Account Manager- Global Accounts & Financial Institutions bij Aon. Bij de meeste bedrijven overstijgt de waarde van niet-tastbare activa die van de tastbare activa. Denk bijvoorbeeld aan gepatenteerde technologieën, gespecialiseerde software, klantdata, contracten en domeinnamen. Kirsti: “Dit zijn allemaal waardevolle bezittingen die kwetsbaar zijn voor cybercrime en andere datarisico’s. Ik zie in de praktijk dat deze risico’s niet altijd even goed in kaart gebracht zijn, laat staan verzekerd”.

Gevolgen cyberincident onderschat
Directies die zich verdiepen in de mogelijke gevolgen van cyber, zien in welke verstrekkende, langdurige gevolgen een incident kan hebben op hun bedrijf. “Het financiële risico van cyber gaat veel verder dan alleen het vervangen van computers en servers, zoals soms gedacht wordt”, vertelt Kirsti verder. “Zo blijkt uit een recent verschenen onderzoek van het NBER dat grote corporates die slachtoffer zijn geworden van een cyberincident daar gemiddeld nog 3 jaar last van ondervinden.”

Enkele opvallende resultaten uit het onderzoek zijn:

  • Dalende verkoopcijfers door onderbreking van het proces (toekomstige year-on-year omzet daalt gemiddeld met 3,2%);
  • Dalende beurswaarde door imagoschade (gemiddeld 1.1% na een succesvolle cyberaanval);
  • Financial distress: druk op credit ratings, verhoogde cash flow-volatiliteit, verlaagde ratio’s (zoals ROA) en afnemend weerstandsvermogen.

Cyber is dus niet een financieel risico dat volledig met een verzekering af te dekken is. Daarom zijn ook preventie, weerbaarheid en de juiste bedrijfscultuur belangrijk. Over weerbaarheid: “Wat gebeurt er bij u als er een cyberincident plaatsvindt? Wie komt er in actie en ligt er een draaiboek klaar? Goed om vooraf over na te denken en te inventariseren waar de risico’s binnen uw organisatie liggen.”

Het begint bij inzicht
“Om de juiste beslissingen over cyber te nemen, is allereerst inzicht in het risico nodig”, benadrukt Kirsti. “Door deze in kaart te brengen met een risico-inventarisatie, krijg je een beeld van de mogelijke impact van cyber op de continuïteit van de organisatie. Alleen met die kennis kun je bepalen hoe je schade kunt voorkomen, de gevolgen ervan kunt beperken en wat je eventueel wilt verzekeren. Mijn advies is dus: Sluit niet zomaar een polis, maar pak cyber op een manier aan die uw bedrijf toekomstbestendig maakt.”

Bij veel bedrijven is de verantwoordelijkheid voor cyberrisico’s verspreid over meerdere afdelingen. Stel uw collega’s in staat om dit risico samen adequaat aan te pakken. Hoe u dat doet, leest u in dit artikel.