Een cyberrisico doet zich voor in steeds meer verschillende gedaanten en dat is een ontwikkeling waaraan voorlopig geen eind zal komen.
De technische ontwikkelingen volgen elkaar in snel tempo op.
Dat is plezierig: de computer kan daardoor steeds meer taken overnemen.
Het heeft ook een keerzijde: een bedrijf wordt afhankelijker van het continu optimaal functioneren van die computer.
Met een parafrase op een uitdrukking uit het verleden: zonder computer staat gans het raderwerk stil.
De tijd dat een werkgever kon volstaan met het dringende verzoek aan het personeel om geen koffie te drinken boven het toetsenbord ligt ver achter ons.
De risico’s die de technische infrastructuur van ondernemingen – en daarmee de continuïteit van de bedrijfsvoering – het hardst bedreigen zijn van een heel kaliber.
Sterker: volgende maand kan zich een gevaar manifesteren waar we nu nog geen weet van hebben.
Criminelen zijn zeker op IT-gebied zeer creatief en het is een ijzeren wet dat zij gedurende een zekere periode een voorsprong hebben op de beveiligers.
Waar gevaren vele gezichten heeft is het managen van risico’s een ingewikkelde zaak. Ondernemers zijn over het algemeen niet in staat die volledig te inventariseren. In vrijwel alle gevallen zullen adviseurs onderwerpen aandragen waarover binnen het bedrijf nog niet of onvoldoende is nagedacht. Door het voorstellen van een reeks preventieve maatregelen kan de adviseur snel zijn toegevoegde waarde duidelijk maken.
Weet de werkgever wel, om een voorbeeld te noemen, hoeveel werknemers daadwerkelijk uitloggen of van welke websites zij bestanden downloaden? Is de computer, tablet, smartphone bij thuiswerkzaamheden voldoende beschermd en afgeschermd? Kunnen berichten die binnenkomen op een persoonlijk email-adres schade toebrengen aan de zakelijke data? En inderdaad: kan gelekte koffie of verkeerde handelingen van de bedienaars van de servers fysieke schade veroorzaken?
Daarnaast wordt in de media aandacht besteed aan bedreigingen van buitenaf. Hackers, data-rovers en Ddos-aanvallers zijn bijzonder actief. Phising is aan de orde van de dag. De schade die zij toebrengen omvat veel meer dan het plunderen van de inhoud van de computer, waardoor verloren bestanden moeten worden gerestaureerd.
De hele bedrijfsvoering kan tot stilstand komen, wat leidt tot een grote bedrijfsschade.
Daarnaast wordt de wetgeving met betrekking tot het op straat liggen van persoonlijke gegevens van de klanten steeds stringenter. Zodra dat het geval is, is er letterlijk sprake van een crisis en dat vereist crisismanagement. Op allerlei gebieden dient direct actie ondernomen te worden. De betreffende klanten moeten worden geïnformeerd, vaak ook moet het incident gemeld worden bij de toezichthouder en het zal op zijn minst gezegd moeite kosten om reputatieverlies te voorkomen. Niet alleen de pers kan zich op zo’n incident storten, maar het gevaar dat het al dan niet breed wordt uitgemeten in de social media is reëel.
ACE heeft een ruime ervaring in het managen van cyberrisico’s. Dat geldt zowel voor het inventariseren van de bedrijfsrisico’s en het verstrekken van preventie-adviezen, maar ook uiteraard op verzekeringsgebied.
ACE DataProtect bijvoorbeeld verzekert alle aspecten van dataverlies, waaronder de kosten voor:
- het melden van het incident;
- het onderzoek naar de omvang en de oorzaak;
- crisismanagement;
- communicatie met klanten en andere betrokken partijen;
- aansprakelijkheid voor geleden schade door derden;
- het herstellen van het ‘lek’.
ACE Dataguard dekt vooral de schade aan de data. Zijn die door welke oorzaak dan ook niet meer toegankelijk of integer, dan kan dat leiden tot stagnatie. Dataguard dekt de bedrijfsstilstand na een IT-probleem.
Dataguard en DataProtect zijn dus complementaire verzekeringen die samen de twee grootste risico’s van de IT afdekken: de afhankelijkheid van het bedrijf van IT en de gevoeligheid van de opgeslagen gegevens.
Ron Verhulsdonck
Country President Benelux bij ACE