'Maak van cybersecurity topprioriteit'

Cyberveiligheid is actueler dan ooit. De digitale wereld is een speelveld geworden dat voortdurend onder druk staat om data te beveiligen en om privacy te waarborgen. Verzekeraars hebben hierbij te maken met een grote kloof. Een kloof die alsmaar groeit. Aan de ene kant wordt het digitale aanbod alleen maar groter en belangrijker, aan de andere kant stijgt het aantal en de verschillende vormen van cyberaanvallen steeds en is het moeilijk hierop verzekeringsbeleid toe te spitsen. We gaan hierover in gesprek met vijf pioniers die het belang van ketensamenwerking in verzekeringsland allen onderschrijven.

De strijd met cybercriminaliteit is misschien helemaal niet te winnen. Hoe ga je als organisatie om met cyberrisico’s en wat dienen we nu eigenlijk te beschermen?

De strijd met cybercriminaliteit is misschien helemaal niet te winnen

Hoe ga je als organisatie om met cyberrisico’s en wat dienen we nu eigenlijk te beschermen? Bruintjes: “Dit is een nuttige vraag om te stellen. Met het stellen van deze vraag maken we als verzekeraar de koppeling tussen de vele dreigingen die we zien en de risico’s voor de organisatie en haar doelen. In de brandverzekering is dit niet anders. Daar komt in sommige gevallen ook een expert op locatie en is de verzekering op maat gemaakt.”Moeliker: “Dit lijkt op het eerste oog misschien een makkelijke vraag, maar het antwoord dat je geeft, is sterk afhankelijk van de focus die je als persoon hebt en welke rol je vervult binnen de organisatie. Vanuit onze rol willen we bewustwording creëren. Takkenberg: “Cyberbedreigingen zijn niet statisch, evenmin als het netwerk of de data. Mensen doen er af en toe wel heel bijzonder over, maar eigenlijk is het vooral oude wijn in nieuwe zakken. Risico-denken is er altijd geweest. Alleen dat wat vroeger fysiek was, is nu digitaal. Hét verschil in deze digitale wereld, is dat afstand en tijd relatieve begrippen zijn. Wanneer je met kwaadwillenden te maken hebt, uit bijvoorbeeld een land als China, dan kan data heel snel en heel makkelijk online worden gestolen. Van den Berg: “Een datalek is er natuurlijk al snel, hè?

Als je een e-mail stuurt naar een verkeerde partij, dan worden wij al gebeld. De ene keer heb je met een groot bedrijf te maken, de andere keer is het een MKB bedrijf om de hoek. Dat maakt cybersecurity voor de verzekeraar een heel breed onderwerp”, voegt ze toe. Takkenberg: “Klopt, het gaat hierbij niet alleen om de gestolen laptop waar data op staat. Cybersecurity verzekeren is op dit moment een zoektocht waarbij de laatste tijd veel grote schadebedragen komen kijken. Dat zorgt ervoor dat verzekeraars zichzelf ook de vraag stellen: hoe kunnen we nu aan de voorkant goed toetsen wat het risicoprofiel is, zodat verzekerden weten dat wat zij aan premie moeten betalen, in verhouding is met het potentieel te verzekeren risico?” Brand: “Helemaal mee eens. Door de sterke digitalisering heeft tegenwoordig iedereen te maken met cyberrisico’s. Elk bedrijf heeft wel een personeelsadministratie en veel processen zijn afhankelijk van technologie, ook als het proces zelf daar niets mee te maken heeft, zoals een staalproductie. Een cyberincident heeft
voor deze verschillende gebieden andere gevolgen en risico’s, maar allemaal komen ze bij de verzekeraar uit.”

Hoe is het cyberdreigingslandschap veranderd?

“De verhouding tussen ‘malicious’ en ‘non-malicious’ cyberaanvallen wordt steeds groter en de aanvallen worden geavanceerder, waarschuwt Takkenberg. Wat een game changer is geweest, is de uitvinding van bedrijfsmatige gijzelsoftware aanvallen, niet meer gericht op individuen, maar op bedrijven. Door zo’n aanval worden ze volledig op slot gezet.” Van den Berg bevestigt dat. “Wat wij als verzekeraars vooral zien, is ransomeware-aanvallen met afpersing. Ook supply chain-aanvallen vormen een toenemend probleem, zowel in omvang als in ernst.” Bruintjes: “De risico’s zijn moeilijk te overzien, want cybercriminelen blijven nieuwe mogelijkheden zoeken om de traditionele bescherming te omzeilen. Dit kan over een aantal jaren weer anders zijn. Bijvoorbeeld door gebruikers te imiteren en hun referenties voor twee-factor authenticatie te stelen. Brand: “Deze ontwikkelingen zien we inderdaad nu al en zullen in de toekomst zeker niet minder worden. Daarbij verhardt ook de discussie rondom beveiliging, verantwoordelijkheden en vereiste reactie op een cyberincident.”

In hoeverre adviseren jullie klanten hoe zij om moeten gaan met een incident?

Van den Berg: “Het is belangrijk om de digitale voordeur op slot te doen. Een goed inzicht in de risico’s is zeer belangrijk en kan veel ellende voorkomen.” Bruintjes: “Een Due Diligence onderzoek geeft dit inzicht waarbij het ook handig is om de (niet) verzekerde risico’s in kaart te brengen.” Van den Berg: “Geen enkel bedrijf wil te lang stilstaan bij de mogelijkheid van serieuze incidenten en inbraken. Voorbereiding is echter cruciaal. ”Moeiliker: “Het voldoet niet om collectief te knikken en je vaag bewust te zijn van het probleem. Iedereen in een verantwoordelijke positie moet echt begrijpen wat verschillende vormen van incidenten inhouden, welke stappen er moeten worden genomen en welke mensen ingezet moeten worden. Belangrijke vragen moeten duidelijk zijn beantwoord, zoals: ‘Wie heeft de leiding in het geval van een cyberincident? Hoe ziet een checklist er uit? Hoe kan ik contact opnemen met iedereen die ingezet moet worden? Wat zijn de praktische acties die we moeten ondernemen om het incident snel aan te pakken?” Brand vult aan: “Vergeet ook niet de verschillende wettelijke en contractuele verplichtingen en hoe je daaraan moet voldoen als je te maken hebt met een cyberincident. Communiceren naar je klanten kan nog wel eens uitdagend zijn als je communicatiekanalen plat liggen.”

Hoe ziet de cyberverzekeringswereld er over vijf jaar uit?

Moeliker: “Het is verbazingwekkend dat, ondanks de toename van cyberrisico’s, het verzekeren van deze risico’s door particulieren en bedrijven nog niet zo vanzelfsprekend is in Nederland.” Bruintjes voegt toe dat men nog niet voldoende bewust is van de risico’s en men goedgelovig is. “Dit gebrek aan bewustzijn kan bedrijven miljoenen kosten.” Brand: “Daarbij wordt nog te vaak gedacht ‘mijn data is niet interessant voor criminelen’. Vaak is het de criminelen echter niet te doen om jouw specifieke data, maar om je bedrijf stil te leggen, zodat je betaalt om weer door te kunnen. Het maakt dan niet zo veel uit in welke branche je opereert.” Van den Berg: “Het is niet meer de vraag óf het gaat gebeuren, maar wannéér je geconfronteerd wordt met een aanval. Het varieert van een account dat gehackt wordt via een phishing-mail, een poging om een wachtwoord te kraken en te kijken of er kwetsbaarheden zitten in het systeem tot enorme bergen losgeld die worden gevraagd voor de gelekte data. Er moet awareness komen.” Takkenberg: “Wij hameren op de bewustwording van de kwetsbaarheid. Ik merk hierbij op dat mensen, en dus ook bedrijven, vaak denken: ‘jij bent van security, regel het maar’, maar zo werkt het niet. We moeten dit samen doen.”

Wat moet er veranderen?

Takkenberg: “Geen enkel deel van een organisatie kan als veilig worden beschouwd. Voor elk segment van het personeelsbestand gelden andere risico’s en is een ander kennisniveau van security
vereist. De ICT-afdeling moet ervoor zorgen dat elke medewerker zich bewust is van de aanvalstechnieken die specifiek op zijn functie zijn gericht. Van den Berg: “Soms bestaat het beeld dat cyberrisico’s verzekerd zijn op bestaande verzekeringen, zoals (bedrijfs-) aansprakelijkheid, elektronica en brand. Ook wel de zogenaamde stille cyberdekking genoemd. Helaas is dat in de meeste gevallen niet zo.” Bruintjes: “Ik concludeer dat er in de branche gebrek is aan inzicht in kosten en baten. Ik verwijs dan weer naar de brandverzekering. Men denkt vaak: ‘dit gebeurt mij niet’. Maar als het gebeurt, is iedereen in shock.” Takkenberg vervolgt: “Honderd procent waterdicht gaat het nooit worden. Het is de mens die als sensor ingezet dient te worden om bij te dragen aan een cyberveilige omgeving, want de gehele samenleving digitaliseert. We zien overal een toenemende en diepgaande maatschappelijke afhankelijkheid van digitalisering en tegelijkertijd een toename van dreigingen en (potentiële) verstoringen.

"Takkenberg: “Veel bedrijven zijn tegenwoordig onderdeel van een keten.” Bruintjes: “Cybercriminelen komen via de zwakste schakel binnen en dat is de mens. Soms is er niet direct geld te halen, maar wel andere type waarde, zoals persoonsgegevens of IP-adressen. Daarbij geldt dat data het nieuwe goud is. Mensen zijn erg goedgelovig. Als een organisatie plat komt te liggen, zijn er enorme kosten mee gemoeid. Sommige grote multinationals kunnen zo honderdduizenden tot miljoenen per dag verliezen door stil te staan. Dat maakt de mogelijkheid tot afpersing natuurlijk enorm gevaarlijk, want men besluit vaak te betalen. Dat moet echt anders.” Brand: “Door het onderdeel te zijn van een keten, is het effect van een aanval bovendien veel groter. Ook bedrijven die zelf niet rechtstreeks zijn aangevallen, kunnen veel schade oplopen of zelfs helemaal stil komen te liggen door een aanval elders in de keten. Essentieel is om in de hele keten ten minste een ‘basis hygiëne’ aan beveiliging te hebben om zo de kans op een zwakke schakel of menselijke fout zo veel mogelijk te verkleinen.”

Hoe komen we tot een oplossing?

Moeliker: “Voor ons is het vaak lastig dat degenen die gaan over de verzekeringen, niet degenen zijn die verantwoordelijk zijn voor het IT-beleid. Dit maakt zulke trajecten vaak lastig en langdurig. Ook hoop ik op overheidsbeleid. Duidelijke wetgeving met minimale eisen en ook afspraken over uitbetalingen. Dat is er nu niet.” Van den Berg: “Daarnaast moeten we denken aan ketenverantwoordelijkheid.” “Preventief adviseren, zodat je preventief risico’s kunt inschatten en mensen kunt opleiden,” vult Takkenberg aan. Brand: “Hier speelt de verzekeraar ook een rol door eisen aan beveiliging te stellen als voorwaarde voor een
verzekering. Dit helpt kleinere ondernemingen die minder kennis hebben van beveiliging om toch te begrijpen wat ze kunnen doen. Van den Berg: “We werken al samen in panels, we kennen elkaar, delen informatie en zullen ook trends signaleren en deze met elkaar bespreken. Ik denk dat dat heel belangrijk is. Het is en blijft een kleine wereld en we moeten er met elkaar - dus de gehele keten - voor zorgen dat cyber verzekerbaar blijft.”

Northwave BeNeLux

Pim Takkenberg

Pim Takkenberg is Algemeen Directeur van Northwave BeNeLux. Hiervoor heeft Pim jarenlang teams geleid bij de Nationale Politie en AIVD die onderzoek doen naar diverse vormen van digitale aanvallen. Northwave helpt middelgrote en grote organisaties in een ‘safe digital journey’ bij het opzetten en onderhouden van een adequate beveiliging van hun informatie en business continuïteit. Dit doen we door het aanbieden van een risico gebaseerde en interdisciplinaire uitbesteding van alle complexe en kritieke functies in het digitale domein. Northwave heeft 220 specialisten aan boord en heeft kantoren in Nederland, België en Duitsland.

Crawford

Derk Bruintjes

Derk Bruintjes is schade-expert aansprakelijkheid en cyber en is sinds 2010 met name gericht op schades op het technische vlak. Vandaaruit is Bruintjes in aanraking gekomen met schades op de computerpolis en via die weg cyberschades gaan onderzoeken. Sinds 2021 is hij bij Crawford één van de incident response managers en sinds november 2022 verantwoordelijk voor het cyber team in centraal Europa voor Crawford. Hij onderzoekt cyber schades, zodat de verzekeraar kan bepalen of er dekking is op de polis. Daarnaast stelt hij samen met zijn team van bedrijfsschadeexperts de omvang van de schade vast. Bij acute incidenten adviseert hij verzekerden welke stappen te ondernemen, daarbij ondersteund door een netwerk van deskundigen op zowel IT forensisch, juridisch- en communicatiegebied.

Hiscox SA

Laura van den Berg

Laura van den Berg is werkzaam als Manager Claims bij Hiscox SA in Amsterdam. Ze is drieëntwintig jaar werkzaam in de verzekeringsbranche en heeft daar diverse rollen vervuld (makelaar, verzekeraar, rechtsbijstand). Inmiddels is ze vijftien jaar werkzaam bij Hiscox. Als vooropleiding heeft Van den Berg Nederlands Recht gestudeerd aan de Universiteit van Amsterdam.

Ecclesia

Sakina Moeliker

Sakina Moeliker werkt inmiddels zo’n 3,5 jaar als broker Liability en Cyber bij Ecclesia. In deze afgelopen jaren heeft ze de ontwikkelingen op cybergebied goed kunnen meemaken. Waarbij je eerst een zeer uitgebreide dekking had met een minimaal aantal vragen, tot nu: een tijd waarin dekkingen worden aangepast en aanvraagformulieren steeds uitgebreider worden. Aan haar de taak om bij relaties bewustwording van de risico’s te creëren, te informeren over minimale maatregelen die getroffen moeten worden en cyber maturity te verhogen, want relaties dienen uiteindelijk begeleid te worden in het verzekeringstraject.

Kennedy Van der Laan

Rosalie Brand

Rosalie Brand is partner cybersecurity bij advocatenkantoor Kennedy Van der Laan. Het cybersecurity team van Kennedy Van der Laan staat Nederlandse en internationale ondernemingen in alle sectoren bij met naleving van (EU) privacy- en cybersecurity wetgeving, (strategisch) advies en natuurlijk wanneer het mis gaat: bij een cyberincident. Zij ondersteunen gedurende de volledige
lifecycle van het incident, op juridisch vlak, bij communicatie, coördinatie en management van het incident, behandelen van aansprakelijkheidsclaims, voeren bestuursrechtelijke procedures tegen toezichthouders en inzet van rechtsmiddelen in om schade te beperken. Kennedy Van der Laan is een onafhankelijk Nederlands kantoor met 120 advocaten dat vanuit Amsterdam wereldwijd werkt voor een breed scala aan cliënten. Van startup tot multinational.