Geen enkel bedrijf is immuun voor cyberrisico’s. Het is daarom cruciaal om je hiertegen te wapenen met een combinatie van preventieve maatregelen en de juiste bijstand in geval van een incident. Koen Druyts, mede-oprichter van CyberContract, legt uit hoe je de risico’s kan beperken.
Welke uitdagingen stellen zich vandaag op het vlak van cyberveiligheid?
“Dé belangrijkste uitdaging met een enorme impact is ransomware. Verzekeraar AIG zag de uitgekeerde schade toenemen van 325 miljoen USD in 2018 naar twintig miljard in 2021. Ze verwachten dat dit bij ongewijzigde preventie tegen 2025 zelfs zal stijgen naar tien triljard USD. Maar meer nog dan een verhoogde preventie is vooral meer bewustzijn nodig bij bedrijfsleiders en directieleden. Vandaag kan je op het darkweb immers ransomware ‘as-a-service’ bestellen tegen een erg lage prijs. Daarnaast kan je je laten uitbetalen in niet-traceerbare cryptomunten. Bovendien bestaan er safe havens voor hackers. De impact van cyberincidenten – crimineel of niet – wordt ook alsmaar groter. Bedrijven in eender welke sector worden immers steeds afhankelijker van IT. Vooral de impact van bedrijfsonderbrekingen is enorm.”
Waarom is het zo belangrijk om hier proactief mee bezig te zijn?
“Ieder bedrijf moet zich gedragen als een goede huisvader. Net zoals je je woning steeds op slot doet en het alarm activeert wanneer je weggaat, dient ieder bedrijf zich proactief te beschermen tegen cyberrisico’s. Mensen moeten leren dat ‘1234’ geen veilig paswoord is, dat enkel websites met ‘https’ in de url veilig zijn en dat je in e-mails van onbekende zenders niet zomaar op links mag klikken. Cyberrisico’s kunnen je bedrijf platleggen en zelfs failliet laten gaan. Een attitudeverandering is dus essentieel, want de mens is nu eenmaal de zwakste schakel die het veiligheidsniveau van je bedrijf bepaalt. Kijk naar de recente hack van Uber: die begon met sociale engineering en een werknemer die zich liet vangen. De eerste stap is dus niet de aankoop van een IT-tool, maar wel investeren in het trainen van je werknemers. Je bedrijf beschermen, kan natuurlijk ook niet zonder technologische beveiliging. Het komt er daarbij wel op aan om een goede balans te vinden tussen gebruiksgemak en beveiliging. Tweefactorauthenticatie is in dat opzicht alvast een grote meerwaarde.”
De mens is de zwakste schakel die het veiligheidsniveau van je bedrijf bepaalt.
Op welke manier vult een cyberriskverzekering deze preventieve maatregelen verder aan?
“Een nulrisico bestaat niet. Je kan je woning nog zo goed beveiligen tegen brand of diefstal, er blijft steeds een risico over dat je best verzekert. Hetzelfde geldt voor cyberrisico’s. Enerzijds zal je zonder preventieve maatregelen geen adequate verzekering vinden. Anderzijds is een maximale beveiliging onbetaalbaar. Het komt er dus op aan om eerst een redelijke inspanning te doen op het vlak van preventieve beveiliging en het restrisico af te dekken met een verzekering.”
Hoe helpt CyberContract als gespecialiseerde aanbieder van cyberriskverzekeringen bedrijven om een risico-assessment te maken?
“Met CyberTest.be lanceerden we een onafhankelijke online zelftest waar je als bedrijf op basis van een korte vragenlijst je eigen cyberveiligheid in kaart kan brengen. Het resultaat is een radardiagram waar je risicodomeinen en te nemen acties worden afgewogen ten opzichte van waar je de grootste schade mag verwachten. Vandaag beseffen verzekeraars overigens dat cyberveiligheid vaak een systemisch gegeven is. Als er iets gebeurt, heeft dat vaak een effect op grote delen van de portefeuille. Hierdoor worden verzekeraars steeds strenger. Die screening incorporeren wij uiteraard ook mee in onze werking. Daarnaast werken we volop aan de uitbouw van een ecosysteem en investeren we in de versterking van de intussen meer dan 150 professionele makelaars waarmee we samenwerken. Een makelaar is als risicospecialist immer de geknipte persoon om bedrijven te adviseren over cyberrisico’s.”
Het komt er steeds op aan om eerst een redelijke inspanning te doen op het vlak van preventieve beveiliging en het restrisico af te dekken met een verzekering.
“We werken ook samen met Belgische specialisten aan de ontwikkeling van een set niet-intrusieve testen die we op de achtergrond kunnen laten lopen. Zo kunnen we bedrijven een aanbod doen waarbij zij op een eenvoudige manier een idee krijgen van hun cyberveiligheid, uitgenodigd kunnen worden voor relevante seminaries of kunnen zoeken naar aanbieders van diensten die kunnen helpen om hun cyberveiligheid te verhogen.”
Op welke bijstand kunnen bedrijven rekenen wanneer het misloopt?
“Veel kmo’s hebben geen uitgeschreven en getest business continuity plan, en als ze dat al hebben zijn cyberrisico’s daar vaak niet in opgenomen. Hierdoor weten ze ook niet waar ze terechtkunnen bij een incident en hoe ze zich dan moeten organiseren. Het feit dat ze op dat moment volledig offline zijn en hun IT uitligt, maakt de chaos compleet. Daarom hebben we een unieke hotline die 24/7 bereikbaar is in geval van een incident. We werken hiervoor samen met gerenommeerde en gerespecteerde specialisten zoals CRONOS Security en Johan Vandendriessche.”
“Ons eerste doel is om ervoor te zorgen dat het incident en dus de schade zo klein mogelijk blijven. Dat is niet enkel goed voor de verzekeraar, maar ook voor het bedrijf omdat het dan sneller terug operationeel is. Bij een gebrek aan een business continuity plan moeten we soms bv. ransomware betalen aan hackers omdat dat de enige manier is om de schade klein te houden of de klant weer operationeel te krijgen. Het nadeel daarvan is dat je een crimineel ecosysteem voedt en dus groter en sterker maakt.” “Sowieso betrekken we ook altijd meteen de eigen IT-partner van de klant. In tweede instantie kijkt onze hotline naar de diepliggende oorzaken van het incident. Op die manier krijgt de verzekeraar zicht op wat er precies is gebeurd en hoeven onze klanten zelf geen aangifte meer te doen.”