Netherlands

Het gevaar van cyberaanvallen neemt alsmaar toe

 

Vier stappen die kunnen bijdragen aan het beperken van financiële en reputatieschade

Het lijkt als iets uit een B-film. Een schimmig figuur gaat aan een computer zitten in een schemerig krot, een halve wereld verwijderd van de zakelijke centra van de VS. Hij buigt zijn vingers en begint als een razende te tikken op het toetsenbord. Hij zit daar uren en uren, totdat hij de jackpot wint: volledige toegang tot de innerlijke werking van een bedrijf. E-mails. Contracten. Klantgegevens. Werknemersgegevens. Burgerservicenummers. Handelsgeheimen. Allemaal tot zijn beschikking, zonder fysiek in te breken.

Het is een scenario dat speelt op alle continenten. Hackers breken in bij bedrijfsdatabases en elektronische middelen om een voet over de drempel te krijgen. Langzaam wordt die drempel een deur waar ze door lopen, soms maandenlang onopgemerkt. "Het probleem is dat bedrijven zich er vaak niet van bewust zijn, dat ze een inbraak hebben gehad", aldus Jesus Gonzalez, vice-president netwerk- en cyberrisico-verzekeringsprogramma's bij Aon Risk Solutions. "Volgens een studie, in 2014 uitgevoerd door HP en het Ponemon Institute, zat er gemiddeld 170 dagen tussen het moment dat een firma werd gehackt, tot het moment dat de overtreding werd geïdentificeerd. De langste tijdspanne was 259 dagen en omvatte illegale activiteiten van kwaadwillende insiders."

Datalekken en inbraken
Bedrijven die consumenten en bedrijven identiteitsdiefstal-diensten aanbieden, zeggen dat er aan de twee zekerheden in het leven - dood en belastingen - nu een derde is toegevoegd: het ervaren van een inbreuk op de gegevensbeveiliging (data breach). "Onze schatting is dat bijna 100 procent van de bedrijven een soort van privacy- of veiligheidsincident hebben ervaren", zegt Kevin Kalinich, wereldwijde practice leader Cyber Insurance bij Aon Risk Solutions. "De belangrijkste vraag is ‘Wat is de financiële verklaring impact.”

Een datalek kan ook een meer alledaagse situatie betreffen, zoals wanneer documenten worden misplaatst. "Technisch gezien, zou dat een privacy-incident zijn", zegt Kalinich. "Iemand verliest bijvoorbeeld een laptop die ongecodeerde informatie bevat. Dat kan een privacy-incident zijn.”
Ook lakse IT-protocollen bij (gevestigde) bedrijven en startups, die het mogelijk maken dat werknemers hun persoonlijke laptops, tablets en smartphones meebrengen naar werk, vergroten het risico van het lekken van belangrijke (organisatorische) informatie. De vraag is," zegt Kalinich, "wat is de ernst van het incident als de meerderheid van de gevallen, zonder hoge kosten of aansprakelijkheid, kan worden beperkt?"

De kosten van datacriminaliteit
De ernst van een incident kan worden gedefinieerd in financiële middelen. Volgens een ‘Cost of Data Breach Study’, in 2014 uitgevoerd door het Ponemon Institute, stegen de kosten voor een data-inbreuk bij bedrijven ongeveer 7 procent wereldwijd: van USD 136 per incident in 2013, naar USD 145 per incident in 2014. De merk- en reputatieschade op de lange termijn valt hier nog niet eens onder.

Het aantal datalekken zal alleen maar toenemen. Jonge hackers zien inbreken in systemen als een manier om hun status te vergroten. Hacktivisten - hackers die inbreken om systemen te verstoren voor een sociaalbewuste redenen - raken bedrijven ook. De millenniumgeneratie zal zich ongetwijfeld vaak verbonden voelen met het hacktivisme en ook de komst van elektronische medische dossiers, cloud-computing en de online wereld waarmee we non-stop verbonden zijn, verhogen de risico’s op datalekken exponentieel.

Deze trends vertalen zich naar mogelijke verschuivingen van datalekken. "Als je kijkt naar de waarde van een creditcard op de zwarte markt, is dat een dollar en wat wisselgeld (per creditcardnummer)," zegt Gonzalez. "Ter vergelijking, de waarde van een medisch dossier is bijna tien dollar." Dit komt doordat hackers die informatie tegen hogere prijzen kunnen verkopen aan mensen die frauderen met medische claims voor dure behandelingen of medische apparatuur.

De einduitkomst is: sommige vormen van inbreuk lijken onvermijdelijk. Maar volgens Katie Andruchów, Broker and National Cyber Expert bij Aon Risk Solutions in Toronto, bepaalt hoe een bedrijf omgaat met de schendingen uiteindelijk de levensvatbaarheid van de onderneming op de lange termijn. En dat vereist de volgende vier kritische stappen:

Stap 1: Pre-breach planning
Gezien de waarschijnlijkheid van een inbreuk, is het belangrijk om te kijken naar ‘pre-breach planning’. Pre-breach beschrijft de fase voordat een inbreuk plaatsvindt. Een belangrijk onderdeel is bedrijfsbreed onderwijs aangaande dit onderwerp. "Als gevolg van breed in de media uitgemeten schendingen, zien we dat organisaties hun systemen herevalueren," aldus Gonzalez. Mark Buningh, Cyber Risk Practice Leader the Netherlands bij Aon Risk Solutions, is het ermee eens dat onderwijs en planning van vitaal belang zijn. "Het gaat niet alleen over het IT-personeel," zegt hij. "Er moet van de bestuurskamer naar de kelder een nieuw bewustzijn onderwezen worden.
Dit bewustzijn is de sleutel, en de leiding dient te begrijpen, dat alle werknemers een rol spelen in het proces van het beveiligen van een onderneming. Uiteindelijk is onderwijs de meest kosteneffectieve manier van beveiligen van een bedrijf. Het heeft een maximale impact met weinig kosten."

Pre-breach planning omvat drie gebieden: mensen, processen en technologie. Elk heeft financiële implicaties en elk kan extra investeringen met zich meebrengen.

  • Mensen: Bedrijven gaan steeds meer na of ze capabele security professionals in huis hebben. Gonzalez: "Hebben ze bijvoorbeeld een speciale chief information security officer, of is het een taak die aan iemand wordt gegeven die daarnaast nog een andere rol heeft?"
  • Processen: Heeft het bedrijf een incident response plan (stap 2)? Is dat plan geïmplementeerd in de afgelopen zes tot twaalf maanden? Wat is de frequentie van evaluatie?
  • Technologie: Heeft het bedrijf de juiste technologie om aanvallen van buitenaf te doorstaan? Bedrijven kunnen worden opgezadeld met verouderde technologische middelen, of improviseren oplossingen aan de hand van oudere systemen. Hoewel deze systemen op het oppervlak operationeel lijken, staan zij doorgaans bol van veiligheidslekken.

Stap 2: Ontwikkel een incident response plan
Een incident response plan (IRP) definieert rollen, verantwoordelijkheden, procedures en een beslisboom. Het is belangrijk om een IRP vers te houden, naarmate de technologie en cybercriminaliteit blijven evolueren, zegt Gonzalez. Het plan moet kwesties behandelen op een bedrijfsbreed niveau, niet alleen de IT-beveiliging. Dit is inclusief beleid en procedures, de opleiding van werknemers en de toewijzing van de aansprakelijkheid en de contracten van de leveranciers' partners, leveranciers en supply chain.

Het IRP moet daarnaast interdepartementale verantwoordelijkheden identificeren. Gonzalez: "In eerste instantie werden risicomanagers en financiering geïntimideerd door IT, omdat ze het jargon niet begrepen toen de focus op IT security industry standards kwam te liggen. Toen duidelijk werd dat het een financiële kwestie betrof die van invloed was op de inkomsten en financiën, moest management verantwoordelijkheden uitbreiden en de verschillende groepen (juridisch, IT, finance, HR en risicomanagement) laten samenwerken.”

Het delen van het IRP met externe leveranciers en externe partners die betrokken zijn bij IT-veiligheid, kan de reactietijd bij de uitvoering van het plan verhogen. "Een snelle reactie kan een hoop schade beperken, in het bijzonder als het gaat om merk- en reputatieschade," zegt Andruchów.

Andere externe bronnen moeten worden geïdentificeerd in het IRP, zegt Kalinich. "Weet u bijvoorbeeld wie uw forensics expert zou zijn in het geval van een overtreding? Of uw juridische expert? Heeft u een systeem om de getroffen consumenten te informeren? Weet u aan welke wetten u onderworpen bent?" Simulaties van privacy- of veiligheidsincidenten, met een aantal betrokken afdelingen, kunnen helpen om de rollen van de leden van het team beter te identificeren.

Stap drie: Ontwikkel een business continuity plan
Een bedrijf moet met een strenge blik kijken naar zijn vermogen om te herstellen van een technologie-inbreuk. Dat geeft inzicht in de post-breach (na inbreuk) plannen die moeten worden ontwikkeld en of het bedrijf zou kunnen profiteren van externe bronnen. "Organisaties hebben business continuity plannen klaarliggen om fysieke gevaren te weerstaan die de bedrijfsactiviteiten stilleggen," zegt Andruchów. "Dit zou moeten gelden voor alle inbreuken die operaties tot stilstand te brengen."

Dit betekent dat het huidige business continuity plan een update moet krijgen om (technologie-)inbreuken aan te pakken met de acties die nodig zijn om de organisatie operationeel te houden. Een dergelijke kritische beoordeling stelt bedrijven in staat om te zien waar lacunes optreden, niet alleen in de activiteiten, maar ook in dekkingen. Buningh: "Kan het bedrijf zich een overtreding veroorloven? Deze vraag richt zich tot bedrijven die de financiële gevolgen van gecompromitteerde data steeds meer inzien. Het richt zich ook tot derde partijen en hun verplichtingen. Er zijn meetbare momenten waarop organisaties - meestal op de risico- en financiële afdelingen – zullen investeren in de beveiliging, zoals cyberverzekering en cyberrisicobeheer, als onderdeel van hun strategische besluitvorming."
Door het beantwoorden van de vraag, kan een bedrijf bepalen of zijn beveiliging en veerkracht afdoende is en of aanvullende dekkingen, bijvoorbeeld in de vorm van een cyberverzekering, nodig zijn.

Stap vier: Evalueer of implementeer de cyberverzekering
Het uitvoeren van een evaluatie met behulp van de Aon Risk Cyber Diagnostic Tool kan ook helpen bij het bepalen van de behoefte voor aanvullende dekking. De tool draait om een (web-based) reeks vragen die resulteren in een op maat gemaakt verslag waarin de risico’s uiteen worden gezet waarmee een bedrijf kan worden geconfronteerd. Dat kan weer een dialoog op gang brengen over de mogelijkheden om de huidige systemen en procedures te verbeteren. Dit kan gaten in werkwijzen en protocollen identificeren en ‘gaten’ in dekkingen, die een cyberverzekering zou kunnen vullen. Om te bepalen of aanvullende dekking benodigd is, beveelt Kalinich dit aan:

  • evalueer de materiële versus immateriële activa die afhankelijk zijn van technologie;
  • implementeer risk management best practices, met inbegrip van IT-beveiliging en contractuele aansprakelijkheidsbeperking;
  • review de bestaande verzekeringspolissen, zoals onroerend goed en algemene aansprakelijkheid, en bepaal of de bestaande dekking afdoende is voor de risico’s die uw bedrijf loopt. Alleen nadat u eventuele lacunes hebt geïdentificeerd in deze polissen moet u gaan kijken naar een geschikte cyberverzekering.

Cyberverzekeringen
Hoewel kleinere bedrijven een cyberverzekering niet als optie zien, zouden juist zij kunnen profiteren van zo’n dekking. Meer nog dan de grote spelers, want het biedt kleinere bedrijven middelen die ze anders niet kunnen bereiken. Persoonlijk identificeerbare informatie wordt gedekt door de cyberverzekering, net als kosten in verband met verstoringen van de supply chain, van de communicatie en de transport en logistiek van een bedrijf. Echter, terwijl de forensische, juridische en aanmeldingskosten die voortvloeien uit een inbreuk waarbij handelsgeheimen in het spel zijn, te verhalen zijn, is de waarde van deze bedrijfsgeheimen nog niet verzekerbaar.