Sinds de komst van het coronavirus zijn veel mensen overgeschakeld op telewerk, een gewoonte die ook in de toekomst deels zal blijven. Dat biedt heel wat mogelijkheden, maar brengt ook bepaalde risico’s op het vlak van cyberveiligheid met zich mee.
Tom Janssens en Filip De Winter, respectievelijk manager Non-Life en accountmanager bij Van Dessel, verschaffen ons meer duidelijkheid.
Welke rol kunnen werknemers spelen in het verbeteren van de cyberveiligheid?
De Winter: “Men kiest thuis best een ruimte waar men zich kan concentreren en niet wordt afgeleid. Zo verhoogt bijvoorbeeld de kans dat men verdachte mails opmerkt en er niet op klikt.”
“Het is dus belangrijk dat mensen zich thuis organiseren zoals ze dat op kantoor zouden doen. Bedrijven moeten hun medewerkers trainen en wijzen op het belang van cyberveiligheid. Wanneer er een update verschijnt, moeten ze die zo snel mogelijk uitvoeren. Bij een verdachte mail kijken ze best eerst naar eventuele spellingsfouten, verdachte links of instructies.”
“Ook een onbekende afzender moet meteen een alarmbel doen afgaan. Bij eventuele twijfels moet men de natuurlijke reflex hebben om meteen naar het IT-departement of de afzender te bellen. We raden daarom aan om medewerkers hier regelmatig over bij te scholen.”
Janssens: “De mens blijft de zwakste schakel. Daarom is het behouden van een constant bewustzijn onder medewerkers van cruciaal belang.”
Wat kan men preventief doen op het vlak van IT-infrastructuur?
Janssens: “Cyberverzekeraars kijken steeds meer naar welke software- en besturingssystemen worden gebruikt en of die nog ondersteund en geüpdatet worden.”
“Ook updates van antivirussoftware en het VPN-netwerk moeten zo snel mogelijk worden uitgevoerd. Verder moet men regelmatig back-ups maken, zodat het bedrijf in het geval van een inbreuk snel weer operationeel kan zijn. Voor het inloggen in systemen hanteert men best een twee-factor-authenticatie.”
“In gesprekken met onze klanten merken we vooral een vals gevoel van veiligheid op. Veel bedrijven zien samenwerken met derde partijen voor hun IT-inrichting als een vangnet voor alles wat fout kan gaan. Verwerkersovereenkomsten met IT-partners worden soms echter verkeerd begrepen of niet goed nagekeken.”
“De suppliers zullen ook hun aansprakelijkheden beperken met diverse contractuele bepalingen, waardoor bij schade nare vaststellingen gebeuren en de schadelijder alsnog in de kou blijft staan.”
Waarom is het belangrijk om bijkomend een cyberverzekering te hebben?
De Winter: “100% veiligheid bestaat helaas niet. Om het restrisico op te vangen, biedt Van Dessel cyberverzekeringen en begeleiding rond cyberveiligheid aan. Zo lieten we onlangs met toestemming een ethische hacker zoeken naar zwakheden in de systemen van een klant.”
“Hoewel het bedrijf heel wat moeite had gedaan om zich te beveiligen, vond die hacker toch nog een achterpoortje om binnen te raken. Een cyberverzekering is dus zeker niet overbodig.”
Janssens: “Ondernemers moeten beseffen dat je vooraf nooit alle scenario’s kan bedenken. Hackers zijn altijd een stap voor in hun denken. Daarom investeren steeds meer bedrijven in een cyberpolis.”
“In de beginjaren was de grondslag van dit product het verzekeren van schade aan derden, bijvoorbeeld bij het onbewust doorsturen van een virus naar een ander bedrijf. De voorbije jaren is dit uitgebreid naar een verzekering die ook de eigen bedrijfsschade dekt. De prijzen zijn echter niet mee geëvolueerd met die uitbreiding en zijn dus te laag.”
Bedrijven en verzekeraars zullen meer samen moeten nadenken over welke risico’s de bedrijven eventueel zelf kunnen dragen.
Filip De Winter
“Daardoor zijn er al heel wat gevallen geweest met zware claims, waarbij de verzekeraars sterk onder druk komen te staan. De verzekeraars hebben naar onze mening de gevolgen van een potentiële bedrijfsschade onderschat.”
“De snelle vooruitgang die bedrijven de voorbije jaren geboekt hebben op het vlak van digitalisering, maakt dat probleem alleen maar groter. Het bedrijfsverlies en de gevolgen van stilstand bij een hacking of virus zijn enorm zwaar.”
Hoe zullen cyberverzekeringen dan verder evolueren?
Janssens: “We vermoeden dat we zullen evolueren naar op maat uitgewerkte contracten waarin verzekeraars per bedrijf een voorstel uitwerken in functie van de specifieke activiteiten, organisatie en risico’s. Daarbij zullen ze zeker ook rekening moeten houden met het feit dat productielijnen vandaag de dag vaak gekoppeld zijn aan IT en dus eveneens plat kunnen komen te liggen.”
“Verzekeraars bieden al enkele jaren gratis veiligheidsscans van de IT-structuur van een bedrijf aan. Die scans zijn goed voor een kmo, maar onvoldoende voor bedrijven met grotere en complexere risico’s. Naar mijn aanvoelen zullen we evolueren naar een verplichte doorlichting van IT-systemen voordat een klant geaccepteerd wordt door een verzekeraar.”
De Winter: “Daarnaast zullen bedrijven en verzekeraars meer samen moeten nadenken over welke risico’s de bedrijven eventueel zelf kunnen dragen. Nu zijn de vrijstellingen vaak nog te laag, terwijl de meeste bedrijven wel degelijk de financiële draagkracht hebben om zelf in te staan voor bepaalde risico’s. Op die manier kan men beter garanderen dat cyberverzekeringen op lange termijn gezond blijven.”
“Naast de financiële tussenkomst is er bij veel cyberverzekeringen ook een bijstandsluik voorzien betreffende onder meer het IT-, PR- en juridische aspect. Dat luik wordt in de toekomst nog belangrijker.”
100% cyberveiligheid bestaat niet
Door de uitgebreide media-aandacht voor cyberaanvallen hebben heel wat ondernemers de voorbije jaren geïnvesteerd in een betere IT-beveiliging. Dat zorgt soms voor een vals gevoel van veiligheid: 100% cyberveiligheid bestaat jammer genoeg niet. Van Dessel lanceerde recent een campagne om haar klanten hiervan bewust te maken. Centraal in de campagne staat een filmpje (zie hieronder) over een ethical hacker die in een mum van tijd toch een achterpoortje kan vinden in de streng beveiligde IT-omgeving van een klant. Daarmee wil het bedrijf benadrukken dat er altijd een restrisico blijft dat verzekerd moet worden.