Hacks kunnen elk bedrijf raken: omarm het gevaar en zorg dat je een plan hebt
De tijd dat cybersecurityrisico’s alleen nog het probleem zijn van grote instellingen is verleden tijd . Iedere organisatie kan onderdeel worden van een cyberaanval. Jouw organisatie dus ook. En zelfs als je beschermende cybersecuritymaatregelen hebt genomen, kan het noodlot alsnog toeslaan. Je systemen kunnen platgelegd worden of je data wordt gegijzeld.
Cyberbeveiliging van organisaties is ook niet langer alleen het domein van technici, maar moet in de gehele organisatie geborgd zijn. Aansprakelijkheid en verantwoordelijkheid ligt namelijk bij de directie en management. Voor veel niet-technici blijft het wel een ontastbaar onderwerp. Meer duidelijke uitleg is nodig over hoe men deze verantwoordelijkheid kan nemen en periodiek kan toetsen. In dit artikel geven we je een aantal tips waarmee je minimaal aan de slag moet als je jouw bedrijf wil beschermen tegen cyberaanvallen en ook in de toekomst operationeel wil blijven.
Risicomanagement gaat voor cybersecurity management
Heb jij al inzicht in je cyberrisico’s? We beginnen dus met risicomanagement, dit gaat altijd vooraf aan beveiliging. Je wilt immers bepalen wat je risicobereidheid is. Dat doe je bijvoorbeeld bij brandveiligheid, maar dit is ook belangrijk bij cybersecurity. Met 3 eenvoudige stappen bepaal je het risico.
Stap 1. Het bepalen van bedrijfsdoelen en noodzakelijke informatie/data
Bepaal waar belangrijke informatie staat die nodig is om een product te produceren of een dienst uit te voeren. Denk hierbij aan: data, assets (gebouwen, kasten, datacenters), applicaties en services.
Stap 2. Het bepalen van de oorzaken, risico’s en financiële gevolgen
Wat kan een risico vormen voor de continuïteit van de organisatie? Wat is de impact in euro’s als het risico zich voordoet?
Stap 3. Bepalen van maatregelen
De vraag die je hierbij kunt stellen is ‘hoe snel weten we dat er een incident heeft plaatsgevonden?’ En ‘Hoe snel kan ik mijn CEO of toezichthouder informeren?’ Het duurt gemiddeld 197 dagen voordat een bedrijf weet dat ze gehackt is. Soms duurt het 3 jaar voordat dit bij toeval wordt ontdekt. Bekijk wat er al geregeld is en wat er aanvullend moet gebeuren om het risico te beperken.
“De hierboven genoemde stappen bespreken we ook met onze klanten”, zegt Martijn Roseboom. Hij is Account Director Corporate Insurance bij Rabobank. “Het verbaast me altijd dat ondernemers cybermanagement nog niet in hun organisatie hebben geborgd, aangezien cyberrisico’s alleen maar toenemen. Daarom is het belangrijk dat ondernemers zich bewust zijn van het risico dat ze lopen, dit in kaart brengen en de maatregelen bepalen die ze moeten nemen. Nog voordat we het überhaupt kunnen hebben over cyberveiligheid of het verzekeren van de financiële gevolgen van een cyberaanval.”
Het belang van cybersecurity
De Denver post schreef dat 60% van de MKB’ers die gehackt zijn failliet gaat binnen 6 maanden na de hack, als gevolg van continuïteitsuitval en geen back-ups, weglopende klanten, hoge herstelkosten en emotionele stress. Bedrijven krijgen te maken met imagoschade via bijvoorbeeld sociale media die een sneeuwbaleffect van beschuldigingen kunnen veroorzaken . “Voor sommige bedrijven heeft een cyberaanval niet zo’n fatale afloop, maar we zien wel dat het lang kan duren voordat je weer operationeel bent”, vult Mark van Kampen aan, Sectormanager ICT bij Rabobank. “Het kan drie tot dertien weken duren of zelfs nog langer voordat jij en je medewerkers weer aan het werk kunnen. Denk je eens in dat je bedrijf zo lang platligt. Je loopt hierdoor enorm veel inkomsten mis met alle gevolgen van dien.”
Grote organisaties die in de pers zijn gekomen met beveiligingsincidenten zoals ASML , UWV , ING , Yahoo , Gemalto , SONY , Belastingdienst , Diginotar , Target en Universiteit van Maastricht hebben vaak indirect last van beveiligingsincidenten. Degenen die verantwoordelijk – en aansprakelijk – zijn in deze organisaties zijn raden van bestuur en uitvoerende managers. Bestuursleden worstelen met verantwoordelijkheden en aansprakelijkheden op het gebied van informatiebeveiliging en cyberrisico's . Dit kan ernstige gevolgen hebben, aangezien zij ook wettelijk aansprakelijk zijn . Bij een cyberincident komt dus ook bestuurdersaansprakelijkheid om de hoek kijken. Dit houdt in dat je als bestuurder aansprakelijk kan worden gesteld met je privévermogen voor de schade die wordt veroorzaakt door in dit geval een cyberincident. De kosten van een aansprakelijkheidsclaim kunnen flink oplopen. Maar ook als de rechter een claim afwijst, dan brengt dit hoge juridische kosten met zich mee. Als je als bestuurder geen bestuurdersaansprakelijkheidsverzekering hebt, dan draai je persoonlijk op voor schadeclaims en eventuele hoge advocaatkosten.
License to operate
Maar ook geldverstrekkers (Banken, Private Equity) kijken in toenemende mate naar de cyberweerbaarheid van hun portfolio. Bij fusies en overnames is cyberweerbaarheid steeds vaker een vast onderdeel van het onderzoek, het zogenaamde “technical due diligence”. “Ook Rabobank is steeds strenger bij het accepteren van nieuwe klanten en het verstrekken van leningen”, zegt van Kampen. “Bedrijven zullen hun eigen verantwoordelijkheid moeten nemen door hun cyberveiligheid op orde te hebben. Dit is een doorlopend proces dat periodiek getoetst moet worden. Hierdoor maak je het voor cybercriminelen nu moeilijker om een cyberaanval te plegen, maar zorg je er ook voor dat je in de toekomst operationeel kunt blijven. Je neemt jouw verantwoordelijkheid in de keten, waardoor je een aantrekkelijke partner blijft om mee samen te werken. Want zeg nou eerlijk: sta jij te springen op een samenwerking met een partij waarvan je weet dat hun cyberweerbaarheid laag is?”
Bron: https://www.rabobank.nl/bedrijven/verzekeren/verzekeringsnieuws/cyberrisicos