Adviseur onmisbaar bij aanpak cyberdreiging

1. 30 september 2020, door Martin Neyt
2. 0 reacties

Zo’n veertig procent van de 2.700 riskmanagementexperts plaatst cyberincidenten dit jaar ‘met stip’ op één in de Allianz Risk Barometer. Nog niet zo lang geleden, in 2013 om precies te zijn, zag slechts zes procent van de ondervraagden ‘cyber’ als een groot probleem. Het risico stond destijds op een vijftiende plek in de lijst. Inmiddels zijn we zo afhankelijk van digitale processen, dat een hack of lek vrijwel meteen een calamiteit veroorzaakt en de bedrijfscontinuïteit in gevaar brengt. Om maar te zwijgen van de reputatieschade en torenhoge boetes die bedrijven riskeren voor het onzorgvuldig omgaan met gegevens. De coronacrisis heeft de dreiging van cyberincidenten verder vergroot. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) sprak onlangs van een verlammend effect voor de maatschappij en wees onder andere op de aangetoonde kwetsbaarheid van Citrix-systemen, waarmee overheden, ziekenhuizen en grootbedrijven werken. Incidenten binnen het MKB krijgen doorgaans minder aandacht, niettemin is het gevaar ook in deze sector enorm toegenomen, zeggen de deelnemers aan het rondetafelgesprek over cybersecurity.

“Medewerkers loggen ’s ochtends thuis in op het bedrijfsnetwerk en laten het systeem de hele dag open staan”, zo schetst René van Etten van ThreadStone een praktijkvoorbeeld. “Tussendoor kijken zoon en dochter even op de laptop en downloaden het één en ander. Een recept voor rampen, want als in zo’n download een vorm van malware meekomt kan de hele organisatie getroffen worden door bijvoorbeeld ransomware. Je ziet ook dat de klikratio van onze phishingcampagnes sinds de coronacrisis is gestegen. Ook criminelen maken dus meer kans. Bedrijven kunnen aan de preventiekant al iets doen met een centraal geregeld veiligheidssysteem, zoals “endpoint detection and response”. Daarmee monitor je continu cyberdreigingen op alle apparaten die op het bedrijfsnetwerk aangesloten zijn. Daarbij wordt niet alleen gekeken naar de virussen van gisteren, maar ook naar gedrag op de systemen. Zo kunnen nieuwe aanvallen worden gedetecteerd. Ook het werken met bedrijfslaptops kan aan de veiligheid bijdragen, net als het indelen van het systeem in compartimenten, waardoor aanvallen minder schade veroorzaken.”

Bewustzijn creëren

Ondanks de risico’s halen veel MKB’ers nog altijd hun schouders op als het over cyberincidenten gaat. De gespreksdeelnemers kennen alle tegenwerpingen, van ‘ik ben niet interessant genoeg’ tot ‘mijn ICT’er regelt het’. Waarom kloppen deze aannames niet, wil gespreksleider Jaap de Lange, productmanager bij Allianz, weten. De eerste kan al meteen worden ontkracht, elk bedrijf loopt volgens de discussiepartners in meer of mindere mate gevaar. “Een klant, een veehouder, vroeg: wat willen ze nu met mij?”, vertelt Robbert-Paul Verkade, risicomanager bij VMD Koster. “Wel, de bedrijfsprocessen, zoals het melken van de koeien, zijn gedigitaliseerd. Stel je eens voor dat een hack alles stil legt, wat gaat dat kosten? Toen was zijn interesse gewekt. Maar ik begrijp het wel: cyber staat niet zonder meer op het netvlies. Ook voor ons als adviseurs was het een omschakeling.” Van Etten hamert op het creëren van bewustzijn bij de eindklant, een taak die naar zijn inzicht bij uitstek voor de adviseur is weggelegd. “Ik ben blij dat Robbert-Paul dit onderwerp bespreekbaar maakt, want er heerst nog veel onwetendheid bij ondernemers. Wij voeren veiligheidsscans uit, we nemen als het ware een foto van een bedrijf. Zo krijgen ondernemers een realistisch beeld van de kwetsbaarheden. Toch kijkt men over het algemeen nog vreemd aan tegen een cyberverzekering, terwijl het in de kern niet anders werkt dan een brandverzekering. Net als bij brand doe je zoveel mogelijk ter preventie. Als er schade ontstaat, zijn het detecteren van problemen en het minimaliseren van schade belangrijk. De laatste stap bestaat uit de financiële afhandeling.”

Sla’s opvragen

ICT’ers zijn volgens de gespreksdeelnemers ook niet zonder meer de beschermengelen waarvoor sommige ondernemers ze houden. Een systeem- of een applicatiebeheerder is niet automatisch gespecialiseerd in cyberveiligheid. Daarnaast is het maar de vraag wat bedrijven precies met hun externe partner hebben afgesproken. Verkade vraagt om die reden bij klanten alle Service Level Agreements (SLA), leveringsvoorwaarden, algemene voorwaarden etc. op. “Wij lezen graag mee met onze klanten hoe de aansprakelijkheid van de leverancier is verwoord. Het kan voorkomen dat een ondernemer contractueel helemaal niet zo goed beschermd is als hij denkt.”

Ook komt het voor dat de aansprakelijkheid zomaar op het bord van een ICT-leverancier belandt. De rechter oordeelde recentelijk dat een IT-bedrijf zijn klant, een administratiekantoor, schadevergoeding moet betalen na een ransomwareaanval. Hoewel het administratiekantoor voorgestelde veiligheidsmaatregelen wegwuifde, is de IT-partner volgens de rechtbank toch verantwoordelijk.

Een cruciale uitspraak, stelt René van Etten. “Komt de aansprakelijkheid daarmee bij de IT’er te liggen? Wij zijn benieuwd hoe zich dat ontwikkelt. Het vonnis benadrukt nog eens waar het bij cybersecurity om gaat. De techniek is slechts één onderdeel, menselijk handelen is minstens zo belangrijk. Cyberveiligheid moet volledig in de organisatie ingebed zijn. En als er een probleem ontstaat, is adequaat crisismanagement van groot belang. Bedrijven kunnen immers met imagoschade, claims van klanten en boetes te maken krijgen.”

Volgens Van Etten kan een bedrijf zelf al een eenvoudige ‘scan’ uitvoeren door potentiële cyberdreigingen en reeds genomen beveiligingsmaatregelen op een rijtje te zetten. Deze analyse kan resulteren in een draaiboek voor dagelijks gebruik.

“Zo creëer je awareness en zet je in op preventie, tegen lage kosten.”

Altijd op vrijdag

Medewerkers van bioscoopketen Pathé trapten in CEO-fraude -nep e-mails uit naam van de directeur-wat het bedrijf 19 miljoen euro kostte. Universiteit Maastricht raakte in de problemen na een datagijzeling en de Belastingdienst kreeg een zware DDoSS-aanval voor de kiezen. De dader: een 18-jarige jongen die ook talloze banken het leven zuur maakte. Het is ook niet al te ingewikkeld om een ransomware-pakketje aan te schaffen of een hackersinstructievideo te downloaden, zeggen de tafelgasten “Op YouTube staat al hoe je een website moet leegtrekken.”

Uit de Allianz OndernemersBarometer blijkt dat vorig jaar 22 procent van de MKB’ers het doelwit werd van cyberattacks. Allesbehalve een ver-vanmijn-bed-show zou je denken, niettemin meent nog altijd meer dan de helft van de ondernemers dat cybercrime bij hen buiten de deur blijft. Hoe kan een adviseur dit dan inzichtelijk maken? Gespreksleider Jaap de Lange legt de discussiepartners een praktijkcase voor. Een detailhandelaar -omzet 1,5 miljoen euro-verkoopt goederen in een fysieke winkel en binnen een online assortiment. Welke risico’s loopt hij?

“Als consumenten op rekening kunnen kopen in zijn online winkel, kan hij zijn geld voor al die bestellingen kwijt zijn”, antwoordt René van Etten. “Achterhaal de gegevens dan nog maar eens. Wij raden daarom altijd aan klanten vooraf via iDeal of met creditcard te laten betalen. Daarnaast komt zijn bedrijf tot stilstand, waardoor hij omzet misloopt. Onze kwetsbaarhedenscan toont bedrijven of er bijvoorbeeld digitale achterdeurtjes open staan en we geven alle onderdelen een rapportcijfer. Een afzonderlijk, technisch rapport gaat naar de ICT’er van het bedrijf.”

Robbert-Paul Verkade heeft inmiddels meerdere ondernemers bij cyberschade ondersteund. De ervaringen met het crisismanagement en herstel vanuit de cyberpolis zijn volgens hem zeer goed. “Klanten staan versteld over de snelheid waarmee alles weer op de rit wordt gezet. Een cyberincident komt onverwacht, altijd op vrijdagmiddag, dat hebben we al driemaal meegemaakt. Het tempo van handelen en de uitgebreide dienstverlening zijn uitstekende argumenten om bedrijven te overtuigen. In het voortraject hanteren we een risicochecklist, maar dat is niet een kwestie van een riedeltje afdraaien. Elk bedrijf is anders, het vereist maatwerk.”

Ethisch hacken

Ander praktijkvoorbeeld. Hoe kan een adviseur de risico’s voor een financieel advieskantoor -omzet 3,5 miljoen euro-dat data verwerkt van gefortuneerde klanten, visualiseren? Het eerste gevaar laat zich volgens de experts raden: gegevens die op straat komen te liggen. Deze informatie leent zich voor CEO-fraude en het lospeuteren van geld met valse profielen. Daarnaast ligt er een boete van de Autoriteit Persoonsgegevens op de loer vanwege een datalek. Het is zeer afhankelijk van de vooraf genomen veiligheidsmaatregelen of de verzekeraar in dit geval iets uitkeert, stelt Verkade.

Ethisch hacken, het bewust binnendringen van een systeem om eventuele problemen bloot te leggen, levert vaak interessante inzichten op, reageert Van Etten. “Dan blijkt opeens dat ze via een smart lamp of een camera het netwerk kunnen betreden. Ondernemers vergeten wel eens hoeveel apparaten ze in hun bedrijf hebben. Die apparatuur heeft beveiliging en continue updates nodig.”

Het wachtwoord, piet?

Een laatste praktijkschets: wat staat een productiebedrijf -omzet 10 miljoen euro-te wachten als het plotseling stil komt te liggen door een ransomware-aanval? Een financieel adviseur heeft hier naar inzicht van de tafelgasten alle gewenste kaarten in handen om een klant te overtuigen. Een stilstand van enkele dagen zou immers zware verliezen opleveren. Verkade: “Het contractmanagement komt op tafel: welke afspraken zijn er en met wie zijn er contacten? Kun je in geval van nood met bepaalde machines doordraaien? Het is natuurlijk ook afhankelijk van het geleverde product. Als het bijvoorbeeld een unieke receptuur betreft, kan stringenter risicomanagement noodzakelijk zijn. Maar je wilt niet weten hoe het er soms aan toe gaat op de fabrieksvloer. Tien man aan de productiemachines die met één wachtwoord werken. En dan over de vloer gillen: Piet, wat is ook alweer het wachtwoord?”

Het klinkt Van Etten bekend in de oren. Geeltjes met codes die rondslingeren, Dropbox-accounts die lang actief blijven, mensen die uit dienst zijn maar nog altijd kunnen inloggen op het systeem… “Wij onderzoeken dan ook het volledige proces op de werkvloer. Wat doet een bedrijf precies aan bewustwording? Als we aan tafel gaan, willen we niet alleen de IT’er erbij, ook management en HR moeten aanwezig zijn. Iedereen moet doordrongen zijn van cyberveiligheid.”

Verdieping zoeken

Aangezien ondernemers geneigd zijn de cyberveiligheid voornamelijk in de ICThoek te zoeken, is de financieel adviseur hard nodig om het thema aan te kaarten. Dat vergt de nodige inspanningen, maar het loont de moeite, geeft Robbert-Paul Verkade aan. Hij vat de vereisten in drie tips samen: bouw kennis op, specialiseer je en bied compleet advies. “Verdieping in de materie en in alle aanwezige verzekeringsoplossingen is een noodzaak, maar dat heeft even tijd nodig. Het is dan ook de vraag of een oudere nestor van het kantoor deze specialistische rol op zich moet nemen; de jongere generatie adviseurs heeft vaak meer affiniteit en raakvlakken met ICT. Daarnaast mag het geen productverkoop zijn. Een cyberpolis maakt deel uit van degelijk en zorgvuldig risicomanagement voor een specifieke onderneming.”

Verkade start met een brede inventarisatie en duikt geleidelijk de diepte in. De aangeboden Cyber Risicoscan van de verzekeraar is naar zijn zeggen een goed begin. “Het geeft snel een overzicht van potentiële risico’s, van daaruit kun je verder inventariseren, de vraagstelling formuleren en de meeste optimale oplossingen eraan verbinden. Er zijn echter ook ondernemers die zeggen: ik neem dit risico voor lief want ik heb voldoende geld achter de hand.”

Van Etten hoopt dat dergelijke klanten dan in elk geval op preventie inzetten. “Zelfs als je betaalt na een ransomware-aanval, weet je niet zeker of data wordt vrijgegeven. Ondernemers zullen bepaalde risico’s acceptabel vinden, maar er zijn ook schades die een bedrijf acuut de das om kunnen doen. Een adviseur maakt een indeling en laat zien welke situaties en oplossingen er mogelijk zijn.

Bij zeer impactvolle schade na een cyberincident heeft de getroffen ondernemer wel behoefte aan een 24/7 hulpdienst, IT-specialisten van gerenommeerde cyber security-bedrijven, juridische en communicatieve ondersteuning en een coordinator die alles overziet. Het verschilt van bedrijf tot bedrijf, maar advies in het nemen van preventieve maatregelen is sowieso voor iedereen wenselijk.”

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen