Hackers lekken gevoelige informatie naar de pers. Een bank ziet miljoenen verdwijnen door CEO-fraude. Hoe kan een bedrijf zich verzekeren tegen schade door cybercriminaliteit?
Volgens de onafhankelijke verzekeringsmakelaar ADD is cybercriminaliteit een van de meest onderschatte bedrijfsrisico’s. Volgens een enquête van Marsh, een andere verzekeringsmakelaar, zou meer dan één op de drie Belgische bedrijven in 2015 zijn gehackt. De Amerikaanse beveiligingsspecialist Symantec ontdekte vorig jaar wereldwijd 430 miljoen malwareprogramma’s bij zijn gebruikers – software die bedoeld is om systemen te verstoren of toegang te krijgen tot gevoelige informatie. Dat is een stijging van 36 procent tegenover 2014.
“Ook het federale Cyber Emergency Team (CERT) meldt in ons land een stijging van het aantal incidenten”, zegt Paul Marck, technisch directeur en bestuurder bij ADD. “In 2015 waren er 1092 gevallen per maand, ongeveer 30 procent meer dan in 2014. Die stijgende lijn zet door in 2016.” Volgens Marck vindt één op de vijf incidenten plaats na een update van een website, waarbij een veiligheidspoort is blijven openstaan. De criminelen scannen websites op zulke zwakke plekken.
Amerikaanse verzekeraars
Bedrijven kunnen zich met een ICT-careverzekering indekken tegen cyberrisico’s. Daarin zit ook een stukje verzekering tegen cybercrime. “Zo’n cyberverzekering hoeft niet veel te kosten. Het is aan te raden voor elke webwinkel en voor elk bedrijf dat toegangspoorten via het internet heeft. Voor de meeste kmo’s volstaat een jaarlijkse premie van 500 à 600 euro om een schadegeval tot 250.000 euro te dekken”, zegt Marck. “Voor notarissen die werken met grote sommen geld en voor financiële instellingen die gegevens over beleggingsportefeuilles beheren, volstaat dat niet. Bedrijven kunnen ook supplementaire dekkingen kopen voor geld dat wordt gestolen of voor losgeld dat wordt geëist om gestolen data terug te krijgen.” Er zijn ook andere aanvullende verzekeringen, zoals tegen fraude.
“Het zijn nog altijd vooral Amerikaanse verzekeraars die hier cyberverzekeringen aanbieden, zoals AIG, CNA en CHUBB”, zegt Paul Caekebeke, productmanager bij ADD. “Cybercriminaliteit is vrij nieuw en evolueert snel. Er zijn weinig historische data waarop de verzekeraars zich kunnen baseren om toekomstige schadegevallen in te schatten en de premie te berekenen. De grote Amerikaanse verzekeraars zijn wereldwijd actief en kunnen dat beter opvangen.”
Bewust van de risico’s
Particulieren kunnen zich voorlopig niet verzekeren tegen cyberrisico’s. Marck: “Dat heeft vooral te maken met het feit dat particulieren niet voorzichtig omspringen met hun persoonlijke gegevens. Eén incident kan zich bij duizenden particulieren tegelijk voordoen en een enorme schade veroorzaken.
“Bedrijven moeten ook aan bepaalde voorwaarden voldoen, vooraleer hun risico’s verzekerbaar zijn”, stelt Marck. “Ze moeten met voldoende regelmaat een back-up van alle data maken op een externe server die losstaat van het systeem. Het volstaat niet die data op te slaan in de cloud. Daarnaast moet er een stevige firewall zijn die misbruiken van buitenaf tegenhoudt. Het bedrijf moet beschikken over antivirustools die malware op de computers van het netwerk kunnen opsporen.”
“Je mag niet werken met antivirustools, besturingssystemen en programma’s die verouderd zijn. De ontwikkelaars passen hun programma’s aan, zodat ze beter bestand zijn tegen de nieuwste dreigingen. We stellen soms vast dat bedrijven nog werken met een versie van Windows uit 2003. Ten slotte is het belangrijk dat een bedrijf een actief beleid voert om zijn personeel bewust te maken van de risico’s. Vaak klikken ze argeloos op linkjes in e-mails.”
Data in rust
“Als een onderneming aan die voorwaarden voldoet, worden de risico’s van hun ‘data in rust’ verzekerbaar”, stelt Marck uit. “Daarmee bedoelen we data die in een beveiligde omgeving zijn opgeslagen en niet in beweging zijn. Data die worden verstuurd, bijvoorbeeld via e-mail, vallen niet onder de verzekering tegen cyberrisico’s. Er zijn weinig ondernemingen die zulke data versleutelen. Eigenlijk is voor alle boodschappen die bedrijven versturen encryptie nodig en moet de sleutel via een apart kanaal worden verstuurd.” ADD heeft samen met de consultant BA een test ontwikkeld waarmee bedrijven kunnen nagaan hoe goed hun IT beveiligd is. Die is te vinden op assa.ba.be.
“Als iemand inbreekt om data te stelen of te vernietigen, als er een systeemfalen optreedt of als er materiële schade is aan de IT, kan de onderneming zijn verzekeraar aanspreken om die schade te vergoeden”, verduidelijkt Caekebeke. “De verkopers van cyberverzekeringen doen ook veel moeite om de schade te beperken. Er is een noodnummer waarnaar de cliënt kan bellen als er een probleem is. Er wordt dan meteen een reddingsteam uitgestuurd. De kosten zijn voor rekening van de verzekeraar. Voor gevoelige data, waarbij er een verhoogd risico op claims is, wordt ook in juridische bijstand voorzien. Om reputatieschade te vermijden kunnen ondernemingen een beroep doen op een communicatiespecialist van de verzekeraar. Wordt het bedrijf aansprakelijk gesteld voor het verlies van data, dan vergoedt de verzekeraar het slachtoffer.”
ILSE DE WITTE
“Data die worden verstuurd, bijvoorbeeld via e-mail, vallen niet onder de cyberverzekering”
Fout opgemerkt of meer nieuws? Meld het hier