Pak als adviseur rol bij beheersen cyberrisico’s

Rondetafel cyber algemeen

Cyberrisico’s zijn reëel, als financieel adviseur ben je het daarom aan je stand verplicht over deze risico’s met de klant in gesprek te gaan. Duid de risico’s en bekijk samen met de klant hoe zij het beste kunnen worden beheerst. Waarvoor je als adviseur heus geen superspecialist hoeft te zijn dat stellen de kennispartners van deze VVP-special Cyber (Allianz Nederland, Avéro Achmea, De Goudse, Hienfeld, Perfect Day en Turien & Co.).

Nog vaak is de eerste gedachte aan buitenlandse verzekeraars als het gaat om cyberverzekeringen en in ruimere zin cyberrisicomanagement. Maar ook Nederlandse partijen blazen inmiddels een flinke deun mee, dat is mooi te zien aan de kennispartners van deze VVP-special Cyber. Natuurlijk, Allianz Nederland is onderdeel van een wereldwijd werkend concern. Maar de Nederlandse tak heeft internationale kennis over cyber specifiek vertaald naar een eigen propositie in Nederland. Hienfeld en Turien & Co. werken als assuradeuren met overigens ook in Nederland gevestigde buitenlandse risicodragers, maar hebben wel degelijk ook zelf ontzettend veel cyberexpertise in huis. Avéro Achmea, De Goudse en Perfect Day zijn zo Nederlands als het maar kan. Overigens is Perfect Day, onafhankelijk opererende dochter van Nationale-Nederlanden en vier grote volmachtbedrijven, de enige van het zestal dat niet in verzekeringen doet. Perfect Day richt zich op cyber en data security voor het MKB. Gaandeweg de rondetafel wordt duidelijk dat het bij het managen van cyberrisico’s inderdaad niet alleen om verzekeren gaat. Sterker, juist preventie en tijdige detectie is van eminent belang. De verzekeraars en assuradeuren weten dat ook heel goed; hun aanbod bestaat ook nadrukkelijk uit meer dan cyberverzekeringen alleen.

Björn Jalving (Turien & Co.): ‘Vertel als adviseur het verhaal van cyberschade.’

Cyberrisico’s reëel

Om te beginnen vragen we de kennispartners hoe reëel cyberrisico’s eigenlijk zijn. Aan de hand van hun voorbeelden wordt direct duidelijk dat de risico’s zeer reëel zijn en dat het om grote bedragen kan gaan.

Rob Zijl (Manager Products & Markets Schade bij Allianz Nederland): “Een medewerker van een autobedrijf had op de link geklikt in een phishing mail. Data en backup werden versleuteld, het bedrijf kwam enkele weken stil te liggen. De reconstructie van data en backup kostte 30.000 euro. Daarnaast moest nog eens vijftien mille worden uitgegeven aan IT-ondersteuning en nieuwe systemen. Verder moest hardware worden vervangen, iets dat overigens niet onder de verzekeringsdekking viel.”

Mijntje van Paridon, Branche Manager Financial Lines bij Hienfeld: “Een bedrijf bestelde ieder half jaar voor zo’n 50.000 tot 100.000 euro aan goederen in Taiwan. Op een gegeven moment ontving het bedrijf een factuur van 70.000 euro voor te leveren goederen, die keurig werd betaald. Maar de goederen kwamen maar niet. Het bleek dat iemand zich al een half jaar eerder toegang tot de systemen had verschaft. Zo kon hij meekijken en op het gebruikelijke moment van bestellen een nepfactuur sturen.”

René Walstra, commercieel manager intermediair bij Avéro Achmea: “We hebben nog geen noemenswaardige praktijkcasussen waaruit een claim is voortgekomen. De afgelopen jaren hebben we wel veel kennis opgedaan op het gebied van cyber. Uit onderzoek (CBS) blijkt dat vijftig procent van de bedrijven met meer dan tien medewerkers in het MKB vroeg of laat te maken krijgt met een cyberincident. Dan kun je toch wel spreken van een reëel gevaar.”

Steeds gehaaider

Cyberrisico’s bestaan dus! Reijer van Woudenbergh, Perfect Day: “Als je niks aan cyberbeveiliging doet, is de kans op een incident inderdaad groot. Toch denken veel mensen nog steeds dat het hen niet zal overkomen. Criminelen worden steeds gehaaider. Als je bijvoorbeeld naar phishing mails kijkt: die zijn soms zó professioneel dat zelfs mensen die echt alert zijn, er in trappen.”

Van Woudenbergh noemt het zaak om ‘aan de voorkant’ zoveel mogelijk maatregelen te nemen om cyberincidenten te voorkomen. “Heb de basishygiëne op orde én: houd haar op orde. Dat zit ‘m niet alleen in technische maatregelen, maar ook in het zorgen dat je op de juiste manier met data en persoonsgegevens omgaat, dat je mensen weten wat ze doen en dat je een noodplan hebt. Om een paar voorbeelden te noemen: zorg voor een firewall en goede antivirussoftware. Installeer áltijd updates. Leer je medewerkers hoe ze phishing mails kunnen herkennen én zorg dat ze zich ook vrij voelen om het te melden als ze toch op een foute link hebben geklikt. Met een goed noodplan beperk je altijd schade. Als de basis op orde is, kun je overwegen het ‘restrisico’ af te dekken.”

Volgens de kennispartners kan het al mis gaan als de deur ook maar een heel klein beetje open wordt gelaten. Björn Jalving, Teamleider Markt & Product bij Turien & Co.: “Net zoals inbrekers hun kans schoon zien als je de achterdeur van je huis niet op slot doet. Daarbij kun je digitaal op afstand zien of de deur wel of niet op slot zit.”

Mensen, aldus de kennispartners, zijn nog te veel geneigd te denken: wat valt er bij mij nou te halen? Alsof cybercriminelen hun doel altijd precies uitzoeken. In de realiteit wordt vaak met hagel geschoten en zijn de slachtoffers willekeurig. En een paar honderd euro losgeld van een particulier of een paar duizend euro van een MKB-bedrijf is ook geld; het ‘massa is kassa’-principe gaat ook hier op.

De kennispartners benadrukken dat cybercriminelen wel degelijk ook steeds gerichter te werk gaan en dat de diversiteit aan cyberincidenten steeds groter wordt. Denk ook aan bijvoorbeeld schending van de privacywetgeving. Bovendien, aldus Zijl: “Een cyberincident kan ook de reputatie van je organisatie schaden. Gedupeerde klanten kunnen je aansprakelijk stellen. Daarnaast is goed crisismanagement een cruciale factor, waarmee aanzienlijke kosten gemoeid kunnen zijn.”

Thuiswerken

De kennispartners constateren dat particulieren en organisaties zich gelukkig wel steeds bewuster zijn van cyberrisico’s. Niet in de laatste plaats trouwens juist door cyberincidenten. En ook algemene ontwikkelingen. Een voorbeeld van zo’n ontwikkeling is het thuiswerken, dat onder invloed van corona explosief is gegroeid. Jalving: “Ons premie-inkomen uit cyberverzekeringen ontwikkelt zich gestaag. Maar toen de AVG werd ingevoerd, ontstond duidelijk extra vraag. Ook het toegenomen thuiswerken zien wij duidelijk terug in meer aanvragen dan anders.”

Adviseurs nemen cyberrisico’s ook steeds meer mee in hun advisering, zien de kennispartners. Zijl: “Zeker de grote kantoren maken cyberrisico’s al standaard onderdeel van hun adviesgesprekken. Bij de middelgrote en kleinere kantoren is het beeld meer divers.”

Walstra: “Wij zien vooral veel verschillen. Er is een groep adviseurs die al jarenlang bezig is met cybermanagement, maar waarvan niet alle klanten al zover zijn. En er is een groep adviseurs die afwachtend is.”

Van Woudenbergh constateert “een behoefte aan handvatten om het gesprek te kunnen voeren. Wat wij tegenkomen, is dat adviseurs de materie wel bij klanten voor het voetlicht weten te brengen, maar niet altijd kunnen ‘doordrukken’ als het gesprek de diepte in gaat. Door ze te helpen met een paar praktische tips en weetjes, zien we een enorm verschil in effectiviteit.”

Mijntje van Paridon (Hienfeld): ‘Adviseren cyberrisico’s hoeft geen technisch verhaal te zijn.’

Reijer van Woudenbergh (Perfect Day): ‘Heb de basishygiëne op orde én: houd haar op orde.’

Adviseur overziet speelveld

Walstra: “Als adviseur kun je je onderscheiden door cyber actief mee te nemen in adviesgesprekken. Veel ondernemers in het MKB vertrouwen op hun ICT-leverancier. Maar het speelveld bij informatiebeveiliging en cybersecurity is breed en complex. De adviseur kan zijn rol pakken doordat hij het gehele speelveld overziet. In onze visie begint het gesprek over cyber bij de adviseur. Wij denken dat iedere adviseur dat gesprek kan voeren. Van preventie tot een goede verzekering. Hiervoor bieden wij ondersteuning op maat: opleidingen, bijeenkomsten, checklists. In samenwerking met ons kan de adviseur specialistische kennis inzetten daar waar nodig.”

Van Paridon: “Wij zien dat cyberrisico’s vooral worden opgepakt door adviseurs die het onderwerp zelf interessant vinden. Adviseurs laten zich tegen houden door het idee dat er gespecialiseerde technische of juridische kennis nodig is, terwijl het juist gaat om het duiden van de risico’s. Wat gebeurt er als er een laptop met gevoelige data wordt gestolen? Wat gebeurt er op het moment dat essentiële machines worden gehackt en een bedrijf geen productie meer kan draaien?”

“Belangrijk om te beseffen als adviseur”, vervolgt Van Paridon, “is dat cyberrisicomanagement vooral draait om weten wat de gevolgen voor de ondernemer zijn op het moment dat er een datalek is of een cyberincident. Deze gevolgen kunnen ondervangen worden door een cyberverzekering te sluiten, maar ook door maatregelen vooraf te treffen zodat de kans op een incident kleiner wordt. Bedenk verder dat een ondernemer met een cyberverzekering veel expertise in huis haalt op juridisch, ICT- en PR-vlak, en dat de dekking uit een totaalpakket bestaat van vergoeding van eigen schade, dekking bij aansprakelijkheid bijvoorbeeld door een datalek en crisismanagement. Ik denk dat dat nog niet voldoende leeft.”

Philip van Gangelen, manager Verkoop bij De Goudse: “Het beeld van wat adviseurs doen is heel verschillend, maar we zien absoluut erkenning van dit risico en bereidheid om erover in gesprek te gaan met klanten. Het probleem is dat zowel de adviseur als de eindklant meestal niet over de juiste expertise beschikt. Daarnaast is de ICT-dienstverlener een zeer gewaardeerde kennispartner voor de eindklant. Hier kom je als adviseur niet makkelijk tussen. Wij kunnen als verzekeraar beter ons best doen om deze essentiële spelers op gebied van het cyberrisico op de juiste manier bij elkaar te brengen.

“Wij vinden dat cyberrisicomanagement voor ieder kantoor is weggelegd. Op dit moment nemen klanten over de hele linie gewoon te weinig maatregelen, terwijl die maatregelen eigenlijk heel simpel te implementeren zijn. Het CBS meldde in 2018 dat circa 45 procent slechts nul tot drie maatregelen neemt. Uit eigen onderzoek van De Goudse komt eenzelfde beeld. We hebben het dan bijvoorbeeld over slechts 52 procent van de klanten die doen aan dagelijkse backups en 34 procent van de klanten die aan bewustwording bij hun medewerkers doen. En dat terwijl dit vrij eenvoudige manieren zijn om bijvoorbeeld je risico’s op het gebied van ransomware te verminderen.”

Zijl noemt het belangrijk om de juiste persoon aan te spreken. “Als het gaat om zaken als Brand en Aansprakelijkheid vinden bedrijven de (financieel) directeur vaak het logische aanspreekpunt. Bij cyber redeneren ze dat de IT-manager dat moet zijn. Maar als je inzet op cyberrisicomanagement – of beter nog: volledig risicobeheer – kun je als adviseur beter de risk manager aanspreken. Inzicht in de Decision Making Unit bij een bedrijf is dus van groot belang.”

Verhalen vertellen

Jalving: “Ik verbaas me er wel eens over dat adviseurs bij cyberrisico’s al snel denken dat ze veel ICT-kennis moeten hebben. Terwijl ze dat bij andere branches niet of veel minder vinden. Het is echt niet zo dat alle adviseurs alles afweten van bijvoorbeeld constructies van gebouwen. Als adviseur ben je prima in staat om samen met de klant cyberrisico’s te duiden. En als je er een specialisme van wilt maken, is dat natuurlijk prima. Het is een mooie marktkans. Maar het hoeft niet.”

Volgens Jalving is ‘verhalen vertellen’ een goede manier om “cyberrisico’s bij de klant over de bühne te krijgen. Als je concrete schadegevallen gebruikt, maak je het veel persoonlijker. Veel ondernemers kennen een ondernemer die het slachtoffer is geworden”.

Cyberschade

De ‘cybermarkt’ voor adviseurs en verzekeraars ontwikkelt zich, zoveel is duidelijk. Ze zal alleen nog maar verder groeien naarmate het bewustzijn verder groeit en meer adviseurs cyberrisico’s oppakken.

Het schadeverloop in Nederland ontwikkelt zich, aldus Zijl, langs de lijnen die internationaal onderzoek door Allianz te zien geeft. De belangrijkste schade-oorzaken die in de Allianz Risk Barometer worden genoemd, zijn: 1. gebrekkige cybersecurity; 2. spionage, hacks, malware, DDoS-aanvallen; 3. slordigheid en fouten van medewerkers.

Van Paridon: “Die ontwikkeling is ook terug te zien in het schadebeeld. MKB-bedrijven gaan soms failliet door de gevolgen van een cyberaanval en de schades kunnen flink oplopen.“ Kijkend naar de eigen portefeuille, denkt Zijl dat er voor de verzekeraars momenteel geen directe aanleiding is om de premie aan te passen. Van Gangelen: “Van schades hebben we door de kleine volumes nog geen eigen beeld. In die zin is het ook heel moeilijk om iets te zeggen over hoe reëel de huidige premies zijn. In de VS is een forse stijging van het aantal claims de oorzaak van de eerste premieverhogingen en voorwaardenwijzigingen.”

Rob Zijl (Allianz Nederland): ‘Cyberrisicomanagement onderdeel maken van het totale risicobeheer.’

Jalving: “Wij krijgen wel signalen dat sommige verzekeraars op de grootzakelijke markt de premie aan het verhogen zijn. Ook worden verzekerde bedragen verlaagd. Maar in de MKB-markt is de premie wel stabiel.” Mogelijk hebben de aanpassingen op de grootzakelijke markt te maken met juist de elementen die Zijl noemde: reputatieschade en aansprakelijkheidsstellingen na cyberincidenten.

Ook Avéro Achmea blijft zich ontwikkelen op het gebied van cyber. Walstra: “Op basis van de ervaringen die wij sinds de introductie hebben opgedaan, pas sen wij onze propositie aan zowel qua voorwaarden als prijs. Nieuw is ook tooling om snel tot een premie-indicatie en een offerte te komen. We merken dat daar behoefte aan is in de markt.”

Philip van Gangelen (De Goudse): ‘Cyberrisicomanagement voor ieder kantoor weggelegd.’

Grapperhaus

Naar aanleiding van de twee ton losgeld waarmee de Universiteit Maastricht haar gegijzelde bestanden vrijkocht, zei minister Grapperhaus: “Het heeft mijn voorkeur dat de verzekeraar niet het losgeld vergoedt dat in handen van criminelen terecht komt, maar juist de geleden schade door het niet betalen van dit losgeld.”

René Walstra (Avéro Achmea): ‘Gesprek overcyber begint bij adviseur.’

De kennispartners vinden deze uitspraak op z’n minst ongenuanceerd: “De werkelijkheid is niet zo zwartwit. Het is sowieso niet bij alle verzekeraars in de dekking opgenomen. In alle gevallen staat eerst een ICT-oplossing centraal. Hiervoor worden diverse specialisten ingezet, zodat de kans op herhaling minimaal wordt. En dus ook betalen van losgeld niet nodig is. Dat het soms toch gebeurt, is omdat tijdens de afhandeling van de schade blijkt dat dit de enig werkbare manier is om de getroffen ondernemer weer aan de slag te krijgen. Bijvoorbeeld omdat het de expert niet lukt de getroffen bestanden te herstellen. Maar het is nooit het uitgangspunt, het is een laatste redmiddel.”

Reactie toevoegen

 

Reacties

Remco - Z&Z 15 september 2020

Is er voor de adviseur een gedegen cursus/opleiding te volgen voor wat betreft het cyberrisico.

Meer over
Wees geen dokter: is uw eigen bedrijf wel goed verzekerd tegen cyberrisico’s?

Wees geen dokter: is uw eigen bedrijf wel goed verzekerd tegen cyberrisico’s?

(Kennisartikel de Vereende VVP-special Cyber) Het schilderwerk bij een schilder thuis laat vaak te wensen over. Een dokter negeert vaak de eigen gezondheidsklachten....

Ondernemers beschermen met drietrapsraket

Ondernemers beschermen met drietrapsraket

(Kennisartikel Avéro Achmea VVP-special Cyber) Het MKB  leunt wat achterover als het om cyberdreiging gaat. Nog geen kwart van de ondernemers maakt...

Dé cyberadviseur van Nederland

Dé cyberadviseur van Nederland

(Voorwoord Willem Vreeswijk VVP-special Cyber) Cybercriminaliteit en bedrijfsstilstand worden door ondernemers gezien als belangrijkste ondernemersrisico, zo bleek...

Koudwatervrees niet nodig bij advisering over cyberverzekeringen

Koudwatervrees niet nodig bij advisering over cyberverzekeringen

(Kennisartikel Turien & Co. VVP-special Cyber) Regelmatig horen onze accountmanagers: ‘ja, daar moeten wij binnenkort wel wat mee doen’, als zij...

Kijk naar de inhoud in plaats van de prijs

Kijk naar de inhoud in plaats van de prijs

(Door Bram Grundmeijer, Klap) Klap verwacht dat cyber tot de kern gaat horen van het verzekeringslandschap. Nu wordt cyber vaak nog als cross-sell mogelijkheid...

Cybersecurity: een kwestie van basismaatregelen

Cybersecurity: een kwestie van basismaatregelen

(Door Liesbeth Holterman, Cyberveilig Nederland) Cybercriminaliteit is een wereldwijd verdienmodel geworden. Op het dark web kun je kant-en-klare programma’s...

Goede manieren om je organisatie te wapenen tegen hackers

Goede manieren om je organisatie te wapenen tegen hackers

(Door Maria Genova) Bedrijven kunnen op veel manieren gehackt worden en dat gebeurt ook dagelijks. Volgens hackers zijn er slechts twee soorten bedrijven: bedrijven...

“Cyber is een nieuw risico dat we samen moeten oppakken”

“Cyber is een nieuw risico dat we samen moeten oppakken”

(Kennisartikel Hienfeld VVP-special Cyber) Over een aantal jaren is een cyberpolis even ingeburgerd als een verzekering voor beroeps-en bestuurdersaansprakelijkheid,...

Tijd voor goed risicomanagement is nú

Tijd voor goed risicomanagement is nú

(Kennisartikel De Goudse VVP-special Cyber) Ondernemers adviseren over cyberrisico’s is niet makkelijk. De kans is namelijk groot dat uw relatie zich hiervoor...

VVP-special Cyber: pak als adviseur uw rol!

VVP-special Cyber: pak als adviseur uw rol!

Pak als financieel adviseur uw rol bij cyberrisicomanagement. Dat is de boodschap van de VVP-special Cyber, gemaakt in samenwerking met kennispartners Allianz Nederland,...