PwC: Aanpak cyberrisico’s Nederlandse bedrijven te eenzijdig
Ook scoren Nederlandse bedrijven bijzonder laag als het gaat om het verzekeren van cyber risico’s in vergelijking met overige landen. In Europa steeg het aantal bedrijven met een cyber insurance het afgelopen jaar van 45 naar 51 procent. In Nederland ligt het percentage slechts op dertig procent.
Technologieprobleem
Dat Nederland zo laag scoort ligt volgens PwC’ers Bram van Tiel en Matthijs van der Wel ten grondslag aan het feit dat men cybersecurity te lang als een technologieprobleem heeft gezien. ‘Bedrijven hoopten door deuren te sluiten en stricte procedures te hanteren een hack te voorkomen.’ Het is volgens Van Tiel van vitaal belang dat bedrijven holistischer naar cyberdreigingen gaan kijken. ‘Het is een strategisch probleem dat in de boardroom besproken moet worden, waarbij management naast digitale hygiëne en security technologie ook ruimte zou moeten inruimen voor incident response en cyber insurance.’
Stijging cyberincidenten
Het aantal cyberincidenten dat werd waargenomen steeg in Europa het afgelopen jaar met maar liefst 41 procent. Ondanks deze toename verzekeren Europese bedrijven zich zelden voor meer dan 150 miljoen dollar tegen cyberincidenten, terwijl in de Verenigde Staten een dekking boven 1 miljard dollar geen uitzondering is.
Gemiddeld komen bedrijven pas na acht maanden achter een data-lek. ‘Dat is kostbare tijd waarin de impact van een data lek alleen maar toeneemt. Als je er vanuit gaat dat 100% veiligheid een utopie is, kun je er beter voor zorgen dat je incidenten tijdig ontdekt en de schade beperkt”, aldus Van der Wel. ‘Het maakt je security model daarmee tevens een stuk flexibeler. En het rest risico kun je verzekeren.’
Dekking
In de Verenigde Staten heeft ruim de helft van de ondervraagde bedrijven een cyber insurance. Recente incidenten tonen aan dat deze niet voor niet werden afgesloten. Zo werd begin dit jaar de Amerikaanse zorgverzekeraar Anthem slachtoffer van een hack, maar kon het de schade beperken vanwege de hoge dekking van de onlangs afgesloten cyberverzekering. Sony werd afgelopen jaar slachtoffer van een groot datalek, maar bleek een dekking te hebben van 60 miljoen dollar. ‘Zo’n bedrag lost het probleem niet op, maar dekt wel de eerste schade’, aldus Van der Wel. Hierbij gaat het overigens om een dekking van de financiële schade en niet van eventueel reputatieverlies.
Holistische benadering
Cybersecurity is, zo blijkt uit het onderzoek, niet langer een IT-onderwerp, maar een thema dat vraagt om een holistische benadering van de strategische, financiële en juridische risico’s veroorzaakt door cyberdreigingen. ‘De traditionele cyberstrategie is een technische beveiligingsaanpak, die echter door complexiteit en veroudering van technologie nooit voor volledige zekerheid kan en zal zorgen, vult Van Tiel aan. ‘Met dit nieuwe besef zien steeds meer bestuurders cyber insurance als een aanvullend en effectief middel om het resterende cyberrisico over te dragen.’
Advies
In aanvulling op het onderzoek geven Van Tiel, Van der Wel enkele tips om de kans op een cyberlek en de daaruit voortvloeiende gevolgen te beperken. ‘Het is van belang dat je weet wat je digitale assets zijn, daar zul je de focus op moeten leggen. Vervolgens moet je ook kijken naar de afhankelijkheid van andere partijen. Organisaties zijn geen silo’s meer. Er is contact met leveranciers, klanten en concurrenten en de zwakste schakel zal de plek zijn waar de ketting breekt. Verder is het zaak om via continue monitoring een probleem zo snel mogelijk te lokaliseren en hierop te reageren. In combinatie met een verzekering kun je op deze manier een passende respons leveren en de impact van een aanval zo beperkt mogelijk houden.’
Hierbij zullen in de bestuurskamer de volgende vragen een belangrijke rol spelen:
1. Wat zijn de kroonjuwelen van de organisatie en hoe goed worden ze beschermd?
2. Wat zijn de gevolgen in geval van een groot datalek?
3. Hoe groot is de kans dat de organisatie slachtoffer wordt van een cyberaanval?
4. Wat is de security-strategie?
• Global State of Information Security Survey: 2015 results by industry