CYBER EN DATA RISKS 15 DECEMBER 2015

Transcriptie

1 15 DECEMBER 2015

2 EVEN VOORSTELLEN YASIN CHALABI Werkzaam bij Hiscox Benelux sinds 2006 Manager zakelijke verzekeringen Pionier in cyber verzekeren Groot voorstanden van innovatie en diensten aanbieden 4 jaar actief geweest als makelaar

3 DOEL PRESENTATIE WIJ WILLEN GRAAG Kennis delen rondom datalekken en cybercrime Toelichting op de verzekeringsmogelijkheden

4 OVER HISCOX VERZEKEREN Sinds 1901 Internationale nicheverzekeraar, beursgenoteerd (LSE) Professional Insurance gespecialiseerd in het verzekeren van beroepsaansprakelijkheid, data- en online risico s Art & Private Client gespecialiseerd in het verzekeren van kunst, kostbaarheden en vermogende particulieren Snelle correcte claimafhandeling Wie we verzekeren is belangrijker dan Wat we verzekeren

5 OVER HISCOX VERZEKEREN Reinsurance 25% 20% Local casualty and commercial 3% Tech and media and casualty Large property Global casualty 6% 2% 14% Art and private client Specialty terrorism, specie, political risks, aerospace 12% 7% Marine and energy 5% 6% Small property Specialty kidnap and ransom, contingency, personal accident

6 OVER HISCOX Bermuda Hamilton Asia Hong Kong Singapore Thailand Europe Amsterdam Bordeaux Brussels Cologne Dublin Hamburg Lisbon Lyon Madrid Munich Paris Guernsey St Peter Port Latin American gateway Miami UK Birmingham Colchester Glasgow Leeds London Maidenhead Manchester York USA Atlanta Chicago Los Angeles New York City San Francisco White Plains

7 OVER HISCOX BENELUX 45 medewerkers 2 specialismen: Art & Private Client Vermogende particulieren luxe villa s & inboedels, kunst- & sieradencollecties Musea en tentoonstellingen Professionele kunsthandel; galleries Professional Insurance Beroepsaansprakelijkheid inclusief AVB Bestuurders- en commissarissenaansprakelijkheid Cybe & Data Risks by Hiscox (met dit unieke product kunnen bedrijven zich verzekeren voor alle Cyber/data- en online risico s)

8 PRODUCTEN VERZEKERINGEN VERZEKERINGEN BEDRIJFS- AANSPRAKELIJK- HEID BEROEPS- AANSPRAKELIJK- HEID CYBER & DATA RISKS D & O PRE PRICED PROPOSAL

9 WAT IS INBREUK OP DATA? Een inbreuk op data, is een incident waarbij gevoelige, beschermde of vertrouwelijke gegevens; gekopieerd, overgedragen, gestolen of gebruikt worden door een persoon die niet bevoegd is om deze handelingen uit te voeren Een data inbreuk op gegevens kan betrekking hebben op: financiële informatie zoals creditcard- of bankgegevens, persoonlijke gezondheidsinformatie, persoonlijke toegangsgegevens, handelsgeheimen of intellectuele eigendommen.

10 BY HISCOX 100% VEILIG BESTAAT NIET

11 DE WERELD OM ONS HEEN Welke gegevens zijn blootgesteld aan risico's? Persoonsgegevens Beschermde (gezondheid/zorg) gegevens Betaalkaart gegevens Waarom worden persoonsgegevens gestolen? Persoonsgegevens zijn simpelweg veel geld waard. Criminelen kunnen gestolen persoonsgegevens en vertrouwelijke informatie eenvoudig te gelde maken, bijvoorbeeld door fraude te plegen of door vertrouwelijke informatie te koop aan te bieden. Ter bescherming van persoonsgegevens zijn strenge regels opgelegd aan het bedrijfsleven; bedrijven die een fout maken of gehackt worden, moeten de kosten van de inbreuk betalen.

12 DE FEITEN Kwaadwillenden tasten systemen voortdurend af op zoek naar de zwakheden in de beveiliging van systemen die toegang hebben tot waardevolle vertrouwelijke informatie en persoonsgegevens. Veel bedrijven denken dat het met inbreuken op de privacy en gegevens wel los zal lopen, maar dat is een misvatting, zoals blijkt uit de volgende drie feiten: Feit 1: nog nooit waren omvang en kosten van inbreuken zo hoog Feit 2: elke sector en elk bedrijf, van groot tot klein, loopt risico Feit 3: geen enkele organisatie is immuun voor interne en externe bedreigingen

13 FEIT 1: Nog nooit was de omvang en waren de kosten van inbreuken zo hoog als nu meer inbreuken records gingen verloren door inbreuken in ten opzichte van

14 FEIT 2: Elke sector en elk bedrijf, van groot tot klein, loopt risico van de kleine en middelgrote ondernemingen sluit na zes maanden de poorten als gevolg van de schade door een inbreuk kans op een inbreuk op records of minder gedurende een periode van twee jaar

15 Een groep in dienst van een staatsinstelling. Chinese staatshackers. Russische staatshackers. Elektronisch leger van Syrië. Criminele groepen die betrokken zijn bij illegale activiteiten om geld af te persen of worden ingehuurd om een aanval uit te voeren. Producenten van ransomware. Personen die gegevens stelen om ze op de zwarte markt te verkopen. Personen of groepen meestal met beperkte kennis die op eigen initiatief handelen en niet vallen onder een andere dreigingscategorie. Een jongere die voor de grap het netwerk van de school doet crashen. Personen die websites verminken om indruk op iemand te maken (niet vanuit politieke motieven). Groepen die met de botte bijl geprefabriceerde malware of botnets inzetten voor malafide doeleinden. Werknemers of andere bevoorrechte gebruikers aangesloten bij een organisatie. Werknemers. Een persoon of groep die aanvallen uitvoert om ergens de aandacht op te vestigen of om te verhinderen dat anderen zich inzetten voor zaken als bijvoorbeeld de vrijheid van meningsuiting. Anonymous. Lulzsec. WikiLeaks. Iemand die aanvallen uitvoert om angst of paniek te zaaien. De persoon wordt gedreven door ideologische of politieke motieven of maakt deel uit van een bekende terreurgroep.

16 OORZAAK EN GEVOLG 1. Schadelijke of criminele aanvallen veroorzaken 44% van de inbreuken (grootste financiële schade). 2. Nalatigheid 31% van de inbreuken zijn te wijten aan de nalatigheid van personeel. Hieronder valt ook, gestolen/verloren elektronische/mobiele toestellen en fouten gemaakt door derden. 3. Falen van het IT-systeem 25% van de inbreuken worden hierdoor veroorzaakt.

17 DE HACKERS Albert Gonzales Stephen Watt THEY SAY THINGS LIKE: YOU HAVE GOT TO CONVINCE TYPEDEAF TO DO SOME WORK FOR ME. IF HE WAS ABLE TO HACK SOME EURO DUMPS WE CAN MAKE A FORTUNE. I HACKED A PLACE AND TOOK ~30K EURO DUMPS AND THIS LAST WEEK I MADE ~11K FROM ONLY SELLING ~968 DUMPS. (DUMPS ARE THE CARDING UNDERGROUND S TERM FOR CREDIT OR DEBIT CARD MAGSTRIPE DATA, INCLUDING ACCOUNT NUMBERS. INTERCEPTION CONVERSATION IS ABOUT: SEX, NARCOTICS AND HACKING

18 NEDERLAND

19 MELDPLICHT DATALEKKEN Implementatie Voor commerciële instellingen en (semi-) overheid Binnen 72 uur melden bij falen van technische en organisatorische beveiliging met kans op verlies of onrechtmatige verwerking van persoonsgegevens Aard en vermoedelijke omvang van het datalek Inspanningen om de schade te herstellen Raadgevingen aan publiek en klanten Boete van bijvoorbeeld maximaal ,-

20 WAT ZIJN DE BELANGRIJKSTE RISICO S? First Party-risico s Kosten van digitaal forensisch onderzoek. De kosten kunnen sterk uiteenlopen, afhankelijk van hoe groot of ingrijpend de inbreuk is. Melden en inlichten van gedupeerden. Kosten lopen uiteen van 1,25 tot 5,- p.p. Kosten voor PR en crisismanagement. Ransomware, betaling voor cyberafpersing Kosten voor herstel van ICT-systemen Bedrijfsschade (BI)

21 WAT ZIJN DE BELANGRIJKSTE RISICO S? Third Party-risico s Kosten voor nieuwe betaalkaart Kosten van fraude met betaalkaart PCI boetes Boetes van het CBP of andere instanties Rechtzaken Lichamelijk, psychische en emotionele schade door verloren of openbaar gemaakte gegevens Overdracht of verspreiding van computervirus/-worm of schadelijke software als gevolg van onachtzaamheid

22 OORZAAK EN GEVOLG 1. Kosten van herstel (1st party) 2. Aansprakelijkheid (3rd party) 3. Overige kosten (1st party) 4. Geldboetes en dwangsommen

23 AANSPRAKELIJKHEID (third party) Privacy aansprakelijkheid De gevolgen van gestolen privacygevoelige gegevens - Kosten van onderzoek - Claims van individuele personen - Schending geheimhoudingsplicht - Boetes opgelegd door toezichthouders, of andere verplichte vergoedingen Cyber aansprakelijkheid Schade die ontstaat als een website of onbedoeld een auteursrecht schendt, laster verspreidt of een virus bevat.

24 EIGEN SCHADE (first party) Data inbreuk Forensisch ICT onderzoek Kosten externe deskundigen melden inbreuk (juridisch, communicatie betrokkenen, meldplicht, callcenter etc.) Kosten kredietbewaking betrokkenen Kosten crisismanagement en PR Cyber business interruption Optioneel kan ook niet online omzet veroorzaakt door de hack verzekerd worden Hacker schade Kosten herstel website, intranet, netwerk, computersysteem, programma s of data Cyber afpersing Kosten en vergoedingen van onderzoek, assistentie en eventueel betaald losgeld Verlies van geld op rekening en hacking van telefoon centrale

25 REDENEN CYBER EN VERZEKERING Cybercrime Snelst groeiende vorm van misdaad. Slechts beperkt gedekt onder traditionele verzekeringen. Meldplicht Afhankelijkheid van systemen Systemen zijn cruciaal voor het bedienen van klanten. Portable devices Data are valuable Bedrijven hebben meer data dan ooit tevoren en vaak zijn deze gegevens van onze klanten en leveranciers.

26 PRAKTIJKVOORBEELDEN Consultants Enkele consultants van een bureau voor managementadvies werken tijdens een project op locatie bij een klant. Een van de consultants stuurt per ongeluk een vertrouwelijk memo naar een grote lijst met adressen van zowel interne als externe ontvangers. De klant daagt het adviesbureau voor de rechter.

27 PRAKTIJKVOORBEELDEN Adviesbureaus Bij een bureau voor personeelsadvisering raakt iemand een laptop kwijt. Namen, adressen en BSN-nummers van honderden contractmedewerkers waren er in opgeslagen. Ongeacht of de informatie ooit wordt verspreid, moet het bureau de getroffen werknemers inlichten en fraudecontrole aanbieden.

28 PRAKTIJKVOORBEELDEN Motel Een klein Motel aan zee met 10 kamers biedt haar klanten de mogelijkheid om kamers online op haar website te reserveren. De website wordt gehacked en reserveren is niet meer mogelijk. Kosten Inbreuk forensisch ICT onderzoek Hacker schade herstel netwerk + website + data Business interruption internetinkomsten (vaste vergoeding per uur -/- retentietijd)

29 PRAKTIJKVOORBEELDEN Advocatuur Een partner van een kantoor laat vier dossiers op de achterbank van haar auto liggen. Na inbraak in de auto krijgt zij een telefoontje dat ze de dossiers kan terugkopen voor ,- Cyber afpersing analyse bedreiging (hoe serieus) Is exact bekend welke dossiers het betreffen? Ja Kosten Inbreuk (communicatiekosten belanghebbenden) Nee Kosten Inbreuk (kosten onderzoek) Eventueel Privacy (aansprakelijkheid)

30 CASUS Elektrische huishoudelijke toestellen Een hacker beweert adressen en telefoonnummers van de website van een elektronica concern geplukt te hebben. Als gevolg hiervan kwam het bedrijf erachter dat de veiligheid van hun micro sites (websites door hun gebruikt voor advertenties en andere acties) niet up to date was. De server van de websites was voor het laatst in 2006 bijgewerkt, dat het succes van de hacking verklaart. De hacker heeft een deel van de adressen en telefoonnummers uit de database online gezet en de rest van de gegevens verkocht aan spammers.

31 CASUS Wat zullen de kosten omvatten: Forensisch onderzoek Communicatiekosten Juridische kosten Notificatie aan stakeholders Herstelkosten Claims van consumenten Totaal kosten , , , , , , ,-

32 INCIDENT ROADMAP Als onderdeel van de Hiscox Cyber en Data Risk verzekering, hebben we samen met onze partners een incident roadmap opgesteld. Het incident roadmap plan is ontwikkeld om u te ondersteunen met: Onmiddellijk actie ondernemen, in het geval van schade aan uw database of website als gevolg van een hack

33 INCIDENT ROADMAP

34 WAAROM HISCOX? Jarenlange ervaring op het gebied van Cyber en Data Risks verzekeringen First- and third party dekking op een polis Volledige dekking is altijd het uitgangspunt! Primair geen eisen rondom procedures voor gegevens- en informatiebeveiliging, back-up systemen en processen etc. bij aanvang van het contract en in de polisvoorwaarden (als voorwaarden voor dekking) Wereldwijd bereik Juridische Expertise (geen uurtarief en directe ervaring in het omgaan met data inbreuken)

35 BEDANKT VOOR UW AANDACHT! AFSLUITING