Risk. Reinsurance. Human Resources.

Aon Risk Solutions

Cyberrisico’sDe actuele stand van zaken en ons advies voor een effectieve aanpak

Whitepaper

Januari 2015

1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Formuleer helder beleid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 Nieuwe uitdagingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 Doel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2 Nieuwe technologieën en nieuwe dreigingen . . . . . . . . . . . . . . . . . 4 Publicaties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 Smartphones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 Cloud-diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 Massadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 Sociale media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 Cybercriminaliteit, hacking, cyberspionage en cyberoorlog . . . . . . . . . . . . . . . .5 Kosten blijven toenemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 Cyberrisico-spectrum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

3 Beleid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Rol van de risicomanager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 Het cyberprogramma in de praktijk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 Juridische risico’s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 4 Risico overdragen via cyberrisicoverzekeringen . . . . . . . . . . . . . . . . 9 Aanbevelingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

5 Aan de slag! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Contact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Inhoudsopgave

Aon Risk Solutions 3

Inleiding De ontwikkelingen zijn niet te stuiten en gaan snel. Organisaties gebruiken digitale technologie en informatietechnologie voor steeds meer doeleinden: voor de verkoop van producten en diensten, voor het optimaliseren van bedrijfsprocessen of voor het verlagen van operationele kosten. Bekende toepassingen zijn cloud-computing, sociale media, mobiele apps en het gebruik van big data. Het is allemaal steeds belangrijker voor het realiseren van bedrijfswinsten en voor het vergroten van de aandeelhouderswaarde.

Speciale risico’s Maar is dit allemaal positief? Niet alleen maar. De keerzijde is de afhankelijkheid van digitale technologieën en

gegevensuitwisseling, en de toenemende gevoeligheid voor specifieke risico’s en de speciale criminaliteit die hiermee

samenhangt. Het kan daarbij gaan om diefstal, fraude, sabotage, spionage en hacken. Niet alleen criminelen maar ook

bedrijven en overheden maken zich hieraan schuldig. De kosten die met deze vorm van criminaliteit gemoeid zijn, nemen

toe voor organisaties in alle bedrijfstakken. Daarnaast kan het nettoresultaat van bedrijven ernstig schade lijden. Dit komt

doordat de financiële gevolgen van dit type criminaliteit fors kunnen zijn. U moet daarbij denken aan gevolgen als juridische

aansprakelijkheid, reputatieschade en verstoringen van de bedrijfsvoering.

Nieuwe uitdagingen De digitale transformatie van organisaties brengt specifieke risico’s en daarmee nieuwe uitdagingen met zich mee. Deze kunnen

de resultaten en de financiële verslaglegging van bedrijven aanzienlijk beïnvloeden. Vanwege deze mogelijk verstrekkende

gevolgen, dient een directie zich een inhoudelijk oordeel te vormen over deze (financiële) risico’s en hierop een beleid te

formuleren. Op de directie rust daarmee een bestuurlijke verantwoordelijkheid voor ‘behoorlijk bestuur’ van de onderneming.

Dit staat ook in de wet.* Wat dat begrip exact inhoudt wordt bepaald op grond van wet- en regelgeving en de daaruit

voortvloeiende jurisprudentie. Relevante voorbeelden van (kennelijk) onbehoorlijk bestuur zijn onder meer het nalaten de

onderneming te beschermen tegen voorzienbare risico’s en het onvoldoende informeren van commissarissen waardoor

deze worden gehinderd in hun toezichthoudende taak. Met de toename van IT-gerelateerde schade’s in aantal, omvang en

complexiteit geldt deze plicht daarom meer en meer, ook voor de bescherming van digitale en/of immateriële activa.

Doel Met deze whitepaper willen wij u informeren over de actuele ontwikkelingen op het gebied van cyberrisico’s en wat u

kunt doen om de gevolgen hiervan te beperken.

* Artikel 2:9 BW, artikel 2:138/248 BW, artikel 6:162 BW. Daarnaast speelt ook zorgplicht een rol op grond van de Wet Bescherming Persoonsgegevens (WBP).

Cyberrisico’s en cybercriminaliteit… steeds vaker komt u deze begrippen tegen in de media. Vaak gaat het om berichten over inbraken in computersystemen en de diefstal van persoonlijke gegevens, van miljoenen mensen tegelijk. Beheert uw organisatie grote bestanden met gegevens van klanten? Heeft u enig idee wat de risico’s zijn die u hiermee loopt? Weet u ook wat uw wettelijke of contractuele plichten zijn? En heeft u een scherp beeld wat de schade is voor uw onderneming als uw productieprocessen stilvallen als gevolg van cybercriminaliteit? In deze whitepaper leest u alles over de actuele ontwikkelingen op dit gebied en hoe u ermee om kunt gaan.

4 Cyberrisico’s, de actuele stand van zaken en wat u ertegen kunt doen

Nieuwe technologieën en nieuwe dreigingenBedrijven en organisaties zoeken voortdurend naar nieuwe manieren om beter te presteren. Dit heeft geleid tot het sterk toegenomen gebruik van technologieën zoals cloud computing, mobiele apparaten en sociale netwerken en tot grotere beveiligingsrisico’s. Dit maakt het noodzakelijk dat organisaties een consistent bedrijfsbeleid ontwikkelen om verantwoord met deze risico’s om te kunnen gaan en de gevolgen ervan te beheersen.

Mobiele apparaten, cloud computing, massadata en sociale media, USB-sticks, smartphones, tablets en allerlei andere

mobiele apparaten behoren tot de nieuwe technologieën die bijdragen aan meer efficiency maar ook aan grotere

beveiligingsrisico’s. Zulke apparaten worden al lange tijd door medewerkers gebruikt. Pas de laatste jaren worden

werkgevers zich ervan bewust dat hieraan risico’s kleven. USB-sticks, smartphones en tablets worden in toenemende

mate door werknemers zelf aangeschaft. Ze worden gebruikt voor zowel privé- als voor zakelijke doeleinden.

Bovendien worden deze meestal minder goed beveiligd en ook niet op de juiste wijze ondersteund door de

ICT-afdeling van een werkgever. Hierdoor is het onder controle houden van het gebruik ervan zeer lastig en vaak niet

goed geregeld.

PublicatiesEuropese organisaties hebben in september 2014 gepubliceerd over de risico’s van mobiele applicaties en over de

bescherming van gegevens.**

De volgende risico’s worden genoemd:• inherente kwetsbaarheden;

• onvoldoende risicobewustzijn onder gebruikers;

• onvolledige beveiligingsmaatregelen;

• ongeldige toestemmingsmechanismen.

SmartphonesApps kunnen riskant zijn voor het privéleven van gebruikers van smartphones. Iedereen wil zoveel mogelijk de

controle houden over de eigen persoonlijke gegevens. Tegelijkertijd wordt in de media regelmatig bericht over

ontwikkelaars van apps die handelen in strijd met de Europese wetgeving inzake gegevensbescherming. Zij doen dit

door persoonlijke gegevens van gebruikers van smartphones te verwerken op een buitensporige of ongepaste

manier.

Cloud-dienstenBedrijven besteden ICT- onderhoud en -beheer steeds vaker uit aan derden, bijvoorbeeld aan aanbieders van cloud-

diensten. Dit is een kosteneffectieve manier om centraal gegevens te verwerken en op te slaan. Omdat gebruikers van

cloud-diensten zich vaak op verschillende locaties bevinden, wordt doorgaans via het internet toegang verkregen tot

de diensten. Het delen van privégegevens van klanten met bedrijven die een cloud aanbieden, kan tot risico’s leiden.

De privégegevens van klanten kunnen door de aanbieder van cloud-diensten worden bekeken. Cloud-aanbieders zijn

zelf ook kwetsbaar. Enige tijd geleden werd een rechtszaak aangespannen tegen cloud-aanbieder Dropbox, en meer

recentelijk was de opslagdienst van Apple (iCloud) negatief in het nieuws vanwege achterhaalde login-namen en

wachtwoorden. Cloud-aanbieders kunnen de privacy- en beveiligingsrisico’s van hun individuele klanten verminderen

door beveiligings- en beheerprocedures voortdurend te vernieuwen. Een belangrijke afweging is daarbij dat een

eventuele inbreuk grote aantallen klanten kan schaden.

** Bron: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf

Aon Risk Solutions 5

Big DataBig Data is een ander verschijnsel dat kan leiden tot extra risico’s. Het gaat hierbij om grote, complexe gegevensverzamelingen die

snel veranderen en veelal direct beschikbaar moeten zijn (‘real time’) vanuit meerdere onderliggende computersystemen. Daarbij is

sprake van een centralisatie van gegevensopslag en -gebruik waardoor in het geval van een datalek gemiddeld genomen een groot

aantal gegevensdragers wordt geraakt. Bovendien kan de data onderdeel uitmaken van het verdienmodel van een onderneming;

verlies van data betekent in zo’n geval omzetderving. Alhoewel de externe providers waar deze gegevens worden opgeslagen en

verwerkt meestal uitstekende technische beheersmaatregelen hebben getroffen, kan niet worden uitgesloten dat de informatie

en de daarop gebaseerde dienstverlening altijd beschikbaar zijn. Bovendien ontstaat er een afhankelijkheid van deze derde partij

waarbij de onderneming zélf verantwoordelijk blijft voor de gegevensbescherming en privacy.

Sociale mediaDe aanhoudende populariteit van sociale media leidt tot extra zorgen over veiligheid. Aan de ene kant zijn deze media

waardevol voor onder meer:

• het werven van werknemers;

• het communiceren met klanten;

• het verzamelen van marketinggegevens.

Aan de andere kant stellen zij bedrijven ook bloot aan potentiële claims in verband met onder andere:

• schending van privacy;

• misleidende reclame;

• consumentenfraude;

• lastercampagnes;

• claims voor schending van auteursrechten en vergelijkbare problemen.

Communicatie via sociale media is vaak minder formeel. Door bijvoorbeeld het ontbreken van Webcare managen bedrijven

deze uitingen meestal niet zo goed als zou kunnen. Daarom is het nodig dat risicomanagers onderzoeken of er beleid moet

komen voor het gebruik van sociale media en zo ja: hoe dit beleid er moet uitzien. Dergelijk beleid moet erop gericht zijn om

het gebruik van sociale media door werknemers in lijn te brengen met het vastgestelde bedrijfsbeleid en om te zorgen dat dit

gebruik steeds in overeenstemming is met de wet.

Cybercriminaliteit, hacking, cyberspionage en cyberoorlogAanvallen op netwerken van bedrijven komen steeds vaker voor. Geen enkel bedrijf is immuun voor deze aanvallen, die steeds

geavanceerder, schadelijker en kostbaarder zijn. Zij kunnen de bedrijfsprocessen van organisaties ernstig verstoren en

daarmee winsten verlagen. In bepaalde sectoren zijn bedrijven extra gevoelig. Dit komt doordat hun producten of activiteiten

bij bepaalde groeperingen impopulair zijn. Recente aanvallen door hackers richtten zich op energiebedrijven, agrarische

bedrijven, politieke partijen, media, onderwijsinstituten, religieuze groepen, overheidsorganisaties en op organisaties die zich

bezighouden met cyberbeveiliging. Sommige buitenlandse overheden en groepen houden zich bezig met elektronische

spionage en sabotage. Criminelen proberen zich met cybercriminaliteit te verrijken. Immers, met vrij verkrijgbare malware is de

buit betrekkelijk eenvoudig te verkrijgen, en is de pakkans vooralsnog klein. Organisaties merken daarbij dat de financiële

gevolgen van dergelijke risico’s over het algemeen niet gedekt zijn binnen traditionele verzekeringsprogramma’s. Er zijn dan ook

gevallen bekend van organisaties die hun verzekeraar (of adviseur) aansprakelijk willen stellen voor de geleden schade. Zij

dragen daarbij aan dat de verzekeraar in gebreke is gebleven bij de informatievoorziening en de zorgplicht ten aanzien van de

risico’s van onderliggende bedrijfsactiviteiten.

Kosten blijven toenemenIeder jaar stijgen de kosten van bedrijven door inbreuken op de gegevensbeveiliging. De Ponemon Cost of Data Breach Study

2014 is de meest recente studie op dit gebied. Wereldwijd worden de gemiddelde kosten per inbreuk geschat op 145 dollar

per bestand in 2012. In 2013 was dat nog 136 dollar per bestand. In Duitsland zijn de kosten per gecompromitteerd bestand

201 dollar. Volgens een studie onder 56 bedrijven nemen de jaarlijkse kosten van cybercriminaliteit met 6% per jaar toe. Tot

op heden zijn in dit onderzoek meer dan 1200 bedrijven en overheidsinstellingen onderzocht.

6 Cyberrisico’s, de actuele stand van zaken en wat u ertegen kunt doen

Bij de studie van 2014 zijn meer dan 300 bedrijven betrokken vanuit 16 sectoren. De kosten geven de werkelijk geleden

schade’s weer. De Verenigde Staten en Duitsland waren in dit onderzoek de landen met de hoogste gemiddelde kosten

per datalek van respectievelijk 5,8 miljoen dollar en 4,7 miljoen dollar.

Cyberrisico-spectrumWelke soorten risico’s kunnen wij onderscheiden? We zetten deze hier voor u op een rij.

1. Financieel verlies voor de eigen organisatieDe partij die het cyberincident meemaakt, kan financieel verlies leiden of maakt kosten die verband houden met het

incident. Het gaat meestal om kosten die gemaakt worden in verband met:

• de reactie op de inbreuk op de gegevensbeveiliging;

• gederfd inkomen dat toerekenbaar is aan de verstoring van het netwerk of de ICT-voorzieningen;

• gederfd toekomstig inkomen;

• reputatieschade.

2. Financieel verlies van derden Een andere partij dan de partij die het cyberincident meemaakt, lijdt financieel verlies of maakt kosten die aan het

incident gerelateerd zijn. Dit kan een klant zijn, een zakelijke partner of een onafhankelijke derde. Voorbeelden in deze

categorie zijn verliezen door:

• onderbreking van de activiteiten van gebruikers van cloud-diensten, indien dergelijke diensten uitvallen;

• terugroepkosten van klanten van fabrikanten van elektronische onderdelen, indien dergelijke onderdelen niet

goed werken als gevolg van een fout zonder dat er sprake is van materiële schade.

3. Lichamelijke of eigendomsschade voor de eigen organisatieDe partij die een cyberincident meemaakte, ondervindt lichamelijke of eigendomsschade.

Enkele voorbeelden hierbij zijn systeemuitval als gevolg van een virus of DDoS-aanval, en verlies of diefstal van

software(programma’s) en intellectueel eigendom.

4. Lichamelijke of eigendomsschade van derden Een andere partij dan die welke een cyberincident meemaakt, ondervindt lichamelijke of eigendomsschade.

Wanneer een datalek zich voordoet, kan de organisatie die hiervoor verantwoordelijk is aansprakelijk worden gesteld

voor reconstructie en herstel. Ook kan als gevolg van een cyberincident het interne en/of externe netwerk van een

organisatie (gedeeltelijk) worden stilgelegd.

Aon Risk Solutions 7

BeleidWat is er nodig om cybercriminaliteit en cyberrisico’s beheersbaar te maken? Er dient in ieder geval budget te zijn om programma’s uit te voeren die zich richten op de beveiliging van de belangrijkste informatie en bedrijfsprocessen. Als de kennis daarvoor in de eigen organisatie ontbreekt, dienen externe specialisten te worden ingeschakeld om risico’s te inventariseren en maatregelen te nemen. Daarbij kan het ook nodig zijn om een gespecialiseerde cyberverzekering af te sluiten die aansluit bij de eigen specifieke behoeften en risico’s van de organisatie.

Vanwege het grote belang zullen directie of raad van bestuur steeds goed op de hoogte moeten zijn van de

voortgang op het gebied van het digitale risicobeheer. Dat hoort bij hun verantwoordelijkheid en betaalt zich terug

doordat daarmee grote juridische en financiële problemen worden voorkomen die het gevolg zijn van

cybercriminaliteit en cyberrisico’s. Dit geldt ook als er een probleem wordt veroorzaakt door een derde partij waaraan

de dienstverlening is uitbesteed of door bijvoorbeeld een anonieme hacker.

Rol van de risicomanagerWat betekent de digitale transformatie voor het werk van risicomanagers? Het betekent dat zij zich meer moeten

richten op risico’s die verband houden met digitalisering en dat zij zich intensiever moeten bezighouden met het

beoordelen en beperken van digitale risico’s. Risicomanagers zullen in overleg met hun directie of raad van bestuur

beleid moeten ontwikkelen en implementeren om cyberrisico’s beheersbaar te maken en werknemers te trainen om

cyberrisico’s te beperken. Een programma voor het verbeteren van de veiligheid van netwerken en de bescherming

van de privacy begint met de volgende stappen.

1. Identificeren, classificeren en kwantificeren van het gebruik van informatie en elektronische processen, inclusief

de afhankelijkheid van externe providers.

2. Implementeren van best practices op het gebied van risicomanagement in samenhang met aanpalende

staffuncties, zoals ICT-beveiliging, informatiebeveiligingsbeleid en bedrijfsprocedures, en contractuele

toewijzing van aansprakelijkheid.

3. Trainen en monitoren van werknemers, onderaannemers, externe providers en andere partners met betrekking

tot de best practices op het gebied van informatiebeveiliging en risicomanagement.

4. Bepalen van de mogelijke financiële impact van de verliezen door netwerkrisico’s en privacy-risico’s die

kenmerkend zijn voor uw bedrijfstak en uw organisatie.

5. Bepalen welke netwerkrisico’s en privacy-risico’s uw organisatie kan dragen, hoeveel het wil beperken en hoeveel

het wil overdragen in de vorm van een verzekeringsoplossing.

6. Controleren van bestaande verzekeringspolissen op de mogelijke dekking voor netwerkrisico’s en privacy-risico’s.

7. Overwegen om een op maat gemaakte verzekering af te sluiten voor netwerkrisico’s en privacy-risico’s. Dit om de

financiële prestaties van het bedrijf te stabiliseren en het risico van een inbreuk op de bestuurlijke verplichting

van het management en de raad van bestuur te beperken.

Het cyberprogramma in de praktijkEen programma voor het managen van cyberrisico’s dient draagvlak en eigenaarschap te hebben in de top van de

organisatie. De Chief Financial Officer (CFO) is hiervoor de aangewezen persoon. Hij is verantwoordelijk voor het ‘in

control’ houden van de organisatie en ziet toe op de geldstromen. Het klankbordteam dat zich bezighoudt met het

inhoudelijke programma zal in ieder geval bestaan uit de Chief Information Officer (CIO) en medewerkers van onder

meer de afdelingen ICT, juridische zaken, risicomanagement, informatie-beveiliging, human resources,

productontwikkeling, verkoop en marketing.

8 Cyberrisico’s, de actuele stand van zaken en wat u ertegen kunt doen

Een programma voor het managen van cyberrisico’s is niet statisch. Het wordt regelmatig geëvalueerd en verbeterd.

Risicomanagers dienen op de hoogte te zijn van veranderingen in de activiteiten van de onderneming, omdat

hierdoor een aanpassing van het programma noodzakelijk kan zijn. Zo’n verandering is bijvoorbeeld een

bedrijfsovername. Dan moet de cyberbeveiligingssituatie van het overgenomen bedrijf prioriteit hebben in het

due-diligence-proces. Misschien zijn er verbeteringen nodig om de beveiliging binnen het overgenomen bedrijf in

lijn te brengen met de standaarden van het overnemende bedrijf. Zodra een programma ontwikkeld is, is het

essentieel dat het goed gedocumenteerd wordt, zodat het kan worden gebruikt als bewijs van goede trouw,

mocht zich een incident of datalek voordoen. Het doorvoeren van wijzigingen en verbeteringen na afloop van een

incident is een ander voorbeeld van het dynamische karakter van een effectief risicomanagementbeleid.

Maatregelen om risico’s vooraf te voorkomen of te beperken, kunnen flinke kosten met zich meebrengen. Toch zijn

deze kosten aanzienlijk lager dan de kosten die het gevolg kunnen zijn van een netwerkincident of een inbreuk op de

privacy. Dergelijke incidenten kunnen leiden tot problemen met een haast eindeloze rij personen en organisaties.

Daarbij kunt u denken aan de General Counsel (Hoofd Juridische Zaken) van het bedrijf, de Europese Commissie,

instanties voor gegevensbescherming, klanten, patiënten, studenten, boze werknemers, aandeelhouders, advocaten

voor collectieve rechtszaken, de media en het publiek. Het hebben van een robuust cyberbeveiligingsprogramma is

daarnaast een bewijs van de inzet van de organisatie op dit gebied, waarmee de aansprakelijkheid kan worden

verminderd als zich een incident voordoet.

Juridische risico’sAan cyberrisico’s kleven ook juridische risico’s. Er zijn verantwoordelijkheden en verplichtingen verbonden aan het vastleggen,

bewaren en omgaan met privacygevoelige gegevens. De Europese Commissie heeft recent nieuwe en strengere

privacywetgeving aangekondigd. Hierin is de controle op privacy-schendingen aangescherpt. Bedrijven moeten de ontdekking

van een ‘datalek’ binnen 72 uur melden bij de nationale toezichthouder. Bij overtreding kunnen organisaties geldboetes

verwachten tot twee procent van de jaaromzet. Dit illustreert de impact die cyberrisico’s kunnen hebben op het voortbestaan

van een organisatie.

Hoofdpunten uit de Europese Privacy-verordening*• Binnen de Europese Unie (EU) komt één set privacy-regels.

• De verordening is van toepassing als de hoofdvestiging van het bedrijf zich in de EU bevindt, of als een bedrijf van buiten

de EU producten of diensten levert aan EU-burgers.

• De nationale toezichthouder in de EU-lidstaat waar het bedrijf zijn hoofdvestiging heeft, is bevoegd.

• Bedrijven zullen meer verantwoording en rekenschap moeten afleggen over de verwerking van persoonsgegevens.

• De informatieplicht wordt aangescherpt.

• Indien voor de verwerking toestemming vereist is, moet deze uitdrukkelijk worden verkregen.

• Betrokkenen krijgen meer rechten.

• Verplichte uitvoering van risico-analyse.

• Datalekken moeten binnen 72 uur worden gemeld.

• Bij overtreding kunnen boetes worden opgelegd tot 5% van de wereldwijde jaaromzet van een onderneming met een

maximum van 100 miljoen euro.

* www.eerstekamer.nl

Aon Risk Solutions 9

Risico overdragen via cyberrisicoverzekeringenEr bestaan tegenwoordig speciale cyberverzekeringen die zijn ontworpen om netwerkrisico’s en privacy-risico’s te dekken. Deze kunnen als vangnet fungeren en de jaarrekening van een bedrijf beschermen tegen de ongunstige gevolgen van inbreuken. Het is verstandig om een speciale dekking van cyberrisico’s te overwegen om netwerkbeveiligingsrisico’s volledig te dekken.

Traditionele verzekeringen houden meestal geen rekening met cyberrisico’s. Deze verzekeringen zijn al flink wat jaren

geleden ontwikkeld en zijn op het punt van cyber verouderd. Hoewel bepaalde verliezen gedekt kunnen worden

onder standaardpolissen, zijn er meestal veel lacunes. Met een verzekeringspolis die niet voor cyberrisico’s is

ontwikkeld, is de uitkomst van een verzekeringsgeschil onzeker. De uitkomst zal afhangen van de precieze formulering

in de polis, de specifieke omstandigheden van de claim, de identiteit van het slachtoffer, de aard van de aangerichte

schade en de bereidheid van de rechtbank om dekking toe te kennen waar de formulering in de polis dekking lijkt uit

te sluiten.

Verzekeraars of verzekeringsadviseurs kunnen helpen bij het managen van cyberrisico’s en een dekking bieden voor

verliezen en claims die voortvloeien uit cyberincidenten. Maar niet alle risico’s of claims worden gedekt. Sommige

verzekeraars beperken de dekking onder traditionele polissen of sluiten deze uit. En zelfs sommige cyberpolissen

bevatten een nauw omschreven dekking. Goede cyberverzekeringen bevatten nauwkeurig omschreven gedekte

evenementen en de daarbij behorende dekking en dienstverlening. De verzekeringsvoorwaarden en uitsluitingen

moeten voor alle contractpartijen duidelijk zijn en door alle partijen begrepen worden.

AanbevelingenCyberincidenten kunnen grote gevolgen hebben en kunnen zelfs een bedreiging zijn voor het voortbestaan van

organisaties. Cyberincidenten kunnen bedrijven, bedrijfstakken en essentiële infrastructuren stilleggen. Het is daarom

raadzaam dat ondernemingen hun verzekeringsprogramma doornemen en professionals zoeken die de

cyberverzekeringsmarkt begrijpen. Zodat zij zich kunnen beschermen tegen de gevolgen van cyberincidenten die zij

niet zelf kunnen of willen dragen.

Als het om cyberrisico’s gaat, is het onvoldoende om te vertrouwen op traditionele verzekeringen. Het is belangrijk

dat voldoende aandacht aan cyberrisico’s en cyberverzekeringen wordt besteed. Bedrijven dienen de juiste

verzekeringsdekking te hebben, ze dienen deze dekking te begrijpen en ook te weten welke

cyberverzekeringsdekking zij doelbewust niet hebben afgesloten als het gaat om cyberrisico’s.

Een verzekeraar of verzekeringsadviseur kan helpen om de opties en alternatieven voor een cyberverzekering te

begrijpen zodat het mogelijk is om een weloverwogen besluit te nemen over welk type verzekering nodig is.

Wat de selectie van de juiste cyberverzekering compliceert, is de keuze van de juiste verzekeraar. Er dient rekening te

worden gehouden met de financiële kracht van verzekeraars.

10 Cyberrisico’s, de actuele stand van zaken en wat u ertegen kunt doen

Aan de slag!

Er gebeurt ongetwijfeld al het nodige binnen uw organisatie op het vlak van netwerkbeveiliging en de bescherming

van privacy-gevoelige gegevens. Desondanks is het lastig om vast te stellen hoe vatbaar uw organisatie als geheel is

voor de risico’s die voortvloeien uit het gebruik van ICT-netwerken en applicaties. En wat er precies mis kan gaan.

Wat zijn de ‘worst case’ scenario’s voor uw organisatie? Wat is daarvan de financiële impact en wat kunt u daar zelf

tegen doen?

Om u op weg te helpen, hebben wij hieronder enkele vragen opgenomen die u intern kunt uitzetten om de

antwoorden op deze vragen te achterhalen. U verkrijgt daarmee inzicht en overzicht in uw risicoprofiel, en kunt

daarmee gericht stappen zetten ter verdere verbetering van uw risicobeheersing.

Vijf praktische vragen aan uw hoofd juridische zaken:

1. Wat hebben wij afgesproken met onze klanten en leveranciers?

2. Wat is de werkelijk geleden schade? Of: Hoe groot kan de schade zijn door ICT uitval en/of datadiefstal?

3. Welk deel daarvan kunnen wij terugvorderen bij onze leverancier(s)? Onder welke voorwaarden?

4. Voor welk deel kunnen wij aansprakelijk worden gehouden, en wat is daarvan de (verwachte/maximale) omvang?

5. Welke wettelijke regelingen en contractuele bepalingen liggen hieraan ten grondslag? Voldeed de organisatie aan

haar verplichtingen en waar/hoe is dit vastgelegd?

Vijf praktische vragen aan uw risico- en verzekeringsmanager:

1. In hoeverre voorziet ons huidige verzekeringsprogramma in de werkelijke cyberrisico’s?

2. Welke verschillen zijn te onderkennen, en in welke mate betreft dit verzekerbare risico’s?

3. Zijn dit risico’s die de organisatie zelf kan/wil dragen? Hoe verhouden deze zich tot de risicotoleranties en het

financiële draagvermogen?

4. Hoe ziet ons ideale verzekeringsprogramma eruit, en wat zijn daarvan de kosten en voorwaarden?

5. Kan risico-overdracht een zinvolle en kosten-effectieve aanvulling zijn op onze totale set aan beheersmaatregelen?

Vijf praktische vragen aan uw financieel bestuurder:

1. Hebben wij een actueel en volledig beeld van onze belangrijkste risico’s (bijvoorbeeld risico-register)?

2. Kennen wij de bestaande beheersmaatregelen en risico-eigenaren, en weten wij wat de financiële gevolgen hiervan

kunnen zijn?

3. Hoe verhoudt de verwachte en/of maximale schade door cyberrisico’s zich tot onze risico-toleranties?

4. En hoe verhoudt dit risico zich tot onze financiële kernratio’s en financiële draagvermogen?

5. Wat is kosten-technisch gezien de meest effectieve beheersmaatregel voor onze cyberrisico’s?

Vijf praktische vragen aan uw ICT manager:

1. Wat zijn voor onze organisatie de kosten van een datalek, systeemuitval of een hack?

2. Welke personen of groeperingen kunnen interesse hebben in onze gegevens, en waarom?

3. Waarom zijn wij goed beveiligd? En waarom zijn wij goed voorbereid op een incident?

4. Hebben wij over de gehele linie ‘passende’ beheersmaatregelen getroffen? Waaruit blijkt dit?

5. Waar stopt de verantwoordelijkheid en bevoegdheid van de interne ICT afdeling?

Contact

Mark Buningh Mark is senior adviseur risicomanagement en teamleider cybercrime van Aon Nederland.

Hij heeft een graad als actuarieel analist en zijn diploma voor het Rotterdam School of Management

programma Business Management and Leadership. Tevens volgde hij het Aon advance

management development program bij Harvard Business Publishing.

06 - 51 34 66 14

mark.buningh@aon.nl

www.aon.nl/cyber

1023

-07-

Cyb

14-V

4

Risk. Reinsurance. Human Resources.

Over Aon

Aon is toonaangevend adviseur in risicomanagement, employee benefits en verzekeringen. We spelen doelgericht in op wereldwijde gebeurtenissen door samenwerken en kennisdelen. We identificeren risico’s, brengen ze in kaart, maken ze inzichtelijk en beheersbaar. Aon haalt het beste uit de verzekeringsmarkt om de klant optimaal te bedienen. Dit doen we onafhankelijk en verantwoord met creatieve en innovatieve oplossingen voor de klant. Aon draagt bij aan het realiseren van de ambities van zijn cliënten. In Nederland heeft Aon 9 vestigingen met 1.750 medewerkers.

Aon is onderdeel van Aon plc in Londen, Verenigd Koninkrijk. Het wereldwijde Aon-netwerk omvat circa 500 kantoren in meer dan 120 landen en telt ruim 66.000 medewerkers. Hiermee is Aon een van de grotere financiële dienstverleners ter wereld. Aon plc is gespecialiseerd in financiële en verzekeringsdienstverlening en staat genoteerd aan de effectenbeurs van New York (NYSE : AON). Meer informatie leest u op www.aon.com.

© 2014 Aon NederlandAlle rechten voorbehouden. Niets uit deze rapportage mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of op enige andere manier, zonder voorafgaande schriftelijke toestemming van Aon.