Van imagoschade tot gegijzelde systemen, gemanipuleerde of vernietigde data, boetes van toezichthouders of het openbaar worden van bedrijfsgevoelige informatie: cyberschade kan tal van vormen aannemen. Ondernemers overzien de gevolgen ervan nog nauwelijks en dat blijkt wel in de mate waarin ze zich ertegen verzekeren: weinig. Eind vorig jaar bleek namelijk uit onderzoek van accountants- en adviesbureau PwC dat nog maar 30 procent van de Nederlandse bedrijven over cyberverzekeringen beschikt, terwijl in Europa het aantal bedrijven met een cyberverzekering van 45 naar 51 procent steeg. Ook wereldwijd groeit de markt, ook al blijkt uit Engels onderzoek dat er nog behoorlijk wat scepsis onder ondernemers is. In 2015 was de omzet aan premies 2,5 miljard dollar en PwC verwacht dat dit bedrag in 2020 is verdrievoudigd. Preventie tegen cyberschade blijft ook nog behoorlijk achter.

De AIVD stelde in december in een uitzending van KRO’s Reporter over cybercriminaliteit vast dat veel bedrijven hun cyberbeveiliging nog niet op orde hebben. Eerder al zei AIVD-topman Marc Kuipers: “Onze digitale dijken zijn te laag.” Adviesorganisatie Deloitte becijferde in april dat cybercriminaliteit Nederlandse organisaties zelfs jaarlijks 10 miljard euro kost. In het ergste geval kan de schade voor individuele organisaties oplopen tot achttien keer meer dan ze verwachten, zo meldde het persbericht.

Aansprakelijkheid en schade

Er is, kortom, nog wel wat te doen. Langzaam maar zeker worden er ook in Nederland steeds meer cyberverzekeringen aangeboden. “Waar het product eerst een op een uit de Verenigde Staten werd overgenomen, ontwikkelt de cyberverzekering zich nu richting een product dat zich steeds meer naar de wensen van de Nederlandse markt heeft aangepast”, zegt Wim Span, directeur van de Vereniging Nederlandse Assurantie Beurs (VNAB) namens het VNAB cyberplatform. Volgens Span wordt bijna altijd gedekt: aansprakelijkheid (bv. kosten van verweer, eventuele boetes en schadevergoedingen), eigen schade (kosten van crisismanagement, herstelkosten beschadigde data, etc.) en bedrijfsschade (misgelopen opbrengsten als gevolg van een netwerkonderbreking). Optioneel is dan nog verzekering tegen cyberafpersing en cyberfraude. Span: “Met name de indeling van de dekkingsrubrieken wordt steeds eenduidiger.

Verzekeringsvoorwaarden

Qua terminologie, mate van detail in de voorwaarden, reikwijdte van de dekking en gedragsverplichtingen zijn er echter nog grote verschillen tussen de verzekeringen.” Verzekeraars gebruiken bijvoorbeeld een mix van Engelse en Nederlandse begrippen of verschillende omschrijvingen van cyberincidenten. Bij sommige verzekeringen ligt het accent meer op de aansprakelijkheid en bij andere weer meer op de eigen schade. Reinder Kruyt, beleidsadviseur bij het Verbond van Verzekeraars adviseert ondernemers dan ook om de polisvoorwaarden zeer nauwgezet te lezen, een verzekeringsmakelaar kan hierbij uiteraard ook een belangrijke rol spelen. Maar, benadrukt Kruyt, een verzekering is altijd een sluitstuk. “Er zijn tal van preventieve maatregelen mogelijk die de kans op cyberschade aanzienlijk verkleinen.” Vaak horen die maatregelen ook bij de gedragsverplichtingen van een verzekering, al kunnen ook hier de invulling ervan en de consequenties bij het niet naleven ervan sterk verschillen.

De mens als zwakste schakel

De basis van goede preventie is een regelmatige update van besturingssystemen en software en het installeren van een goede firewall en virusscanner, zeggen het VNAB cyberplatform en het Verbond. Daarnaast is het mogelijk om metertjes te installeren die de datastromen op het bedrijfsnetwerk in de gaten houden. Onregelmatigheden worden daarmee snel opgemerkt. Als je dan ziet dat er in het weekend heel veel data naar buiten gaat, of dat er steeds als een persoon inlogt heel veel data naar buiten gaat, dan kan het zijn dat het systeem of die persoon gehackt is. Goede scripts bij de installatie van hardware, zodat alleen bedrijfseigen hardware gebruikt kan worden, een slot op de serverruimte en medewerkers alleen laten werken via een beveiligde vpn-verbinding zijn andere preventieve maatregelen. Vraag een ethisch hacker met enige regelmaat om je bedrijfsnetwerk na te speuren op zwakke plekken. En zorg ervoor dat protocollen ook daadwerkelijk nageleefd en regelmatig getest en gereviewed worden, anders zijn ze waardeloos.

Cyberschades

Cyberschades zijn namelijk vaak het gevolg van menselijke nalatigheid. Wachtwoorden die niet regelmatig worden gewijzigd, het gedachteloos klikken op linkjes, of het inloggen op openbare wifi-netwerken lijken onschuldig, maar maken organisaties enorm kwetsbaar. Ook medewerkers moeten dus bewust gemaakt worden van cyberrisico’s. “Cybercriminelen spelen steeds sluwer in op de zwakheden van de mens, hier is dus goede voorlichting vereist”, aldus Span. Helaas is er ook na deze maatregelen nog geen garantie dat zich bij een organisatie nooit een cyberincident zal voordoen. Goede detectie, eventueel door externe partijen en een crisisplan voor als zich eventueel toch een incident voordoet, zijn minstens zo belangrijk.

Outsourcing

Vooral in het mkb worden ICT-diensten nogal eens uitbesteed. De verantwoordelijkheid van de uitbesteder eindigt echter niet bij het ondertekenen van het contract. Kruyt: “Zorg dat je eens in de zoveel tijd een rapport krijgt met hun bevindingen en dat je ook weet wat zij met je data doen: misschien slaan ze die wel in een slecht beveiligde cloud in China op.” Span vult aan dat goed contractmanagement en het regelmatig uitvoeren van audits van essentieel belang zijn. En: als er iets mis gaat bij een outsourcer blijft de ondernemer zelf verantwoordelijk en aansprakelijk voor schade die wordt veroorzaakt aan derden. Met name in het mkb denken veel ondernemers: mij overkomt dit niet. De Meldplicht Datalekken heeft volgens het Verbond van Verzekeraars en het VNAB cyberplatform het bewustzijn over cyberrisico’s wel wat vergroot. Maar er zijn nog steeds ondernemers die denken dat de meldplicht en/of de risico’s niet op hen van toepassing zijn, terwijl werkelijk elk bedrijf ermee te maken kan hebben.

Cyberverzekeringen

Het VNAB cyberplatform noemt bijvoorbeeld de sectoren zorg en zakelijke dienstverlening, waar het risico op een datalek de bedrijfscontinuïteit behoorlijk in het gedrang kan brengen, of de industrie, waar beschadiging van systemen bedrijfsstilstandschade tot gevolg kan hebben. Kleinere bedrijven kunnen voor hoge kosten komen te staan bij een datalek, omdat ze externe experts moeten inschakelen om problemen op te lossen. Voor grote bedrijven zijn de grootste risico’s het aansprakelijkheidsrisico – helemaal als men in de VS actief is – de kosten voor recovery, meldingskosten of de bedrijfsstilstand. Hoewel het nog een stuk beter kan, lijkt er onder ondernemers steeds meer bewustzijn te komen over het belang van cyberrisicomanagement: berichtgeving in de media over grote datalekken, toenemende aandacht van organisaties als MKB-Nederland en VNO-NCW, de Meldplicht Datalekken leveren daaraan een belangrijke bijdrage. Evenals de langzame maar gestage opkomst van cyberverzekeringen.