Cyberrisico's onder controle

Transcriptie

1 Cyberrisico's onder controle

2 Wat is cyber? Privacy Financiele Positie Compliance Wet- en regelgeving Training & Opleiding Informatiebeveiliging Kwaliteit Cyberrisico's Impact analyse Merk & Reputatie Website Jaarverslag M&A Directie, RvB Medewerkers Integriteit Business Continuity Veiligheid Tip! Stel uw eigen impact analyse op. 2

3 Is Cyber belangrijk voor u? "Wél een issue, maar niet voor mijn organisatie" "issue voor mij, maar (vast) goed geregeld" "Geen Issue" "Wel een issue voor mijn organisatie, niet voor mijn afdeling/team" "goed geregeld, periodiek getest, aantoonbare weerbaarheid van organisatie, en bewezen veerkracht bij incidenten" "weet niet" 3

4 Oude risico's in een nieuw jasje? [14%] [96%] [63%] [25%] [100%] [~%] [aandeel online omzet] [100%] 4

5 Cybercrime in Nederland: Nieuws Merk op: kranten zijn er niet langer voor het nieuws! 5

6 Cybercrime in Nederland: Omvang Cybercrime kost Nederland 10 miljard per jaar 6

7 De 4 componenten van Cyber: verlies van systemen, data, crime en aansprakelijkheid Privacy schendingen Misbruik van intellectueel eigendom Verspreiding van malware 7

8 Top 10 risico s Aon Global Risk Management Survey Verzwakking economie; 7. Onderbreking van het productieproces; 2. Verandering in wet- en regelgeving; 8. Prijsrisico grondstoffen; 3. Toenemende concurrentie; 9. Risico van cashflow en liquiditeit; 4. Reputatie- en merkschade; 10. Politieke risico's / onzekerheden. 5. Onvermogen om toptalent aan te trekken en vast te houden; 6. Gebrekkige innovatie/aansluiting klantbehoeften; Voor meer informatie, zie: 8

9 Typische misvattingen We hebben een firewall, dus we zijn beschermd. We hebben antivirus bescherming, dus het risico is klein. We hebben de beste IT'ers in huis. Waarom zou onze organisatie een doelwit zijn? We hebben geen webwinkel; we hebben dus ook geen cyberrisico. We voldoen aan PCI, ISO, NEN richtlijnen, dus we lopen geen risico. Niemand heeft nog een verzekering hiervoor waarom wij dan wel? 9

10 Gevolgen van cybercriminaliteit, datalekken, diefstal etc. Kosten forensisch (sporen)onderzoek Kosten communicatie met klanten, toezichthouders, justitie etc Kosten inhuur PR-specialist (reputatieherstel) Onderzoekskosten justitie, creditcardmaatschappijen etc Claims van derden Civielrechtelijke boetes Reparatie, vervanging/herstel van websites, programma s of data Bescherming tegen schade door hacking, inclusief hulp bij afpersing Omzetverlies, reputatieschade etc. Meerdere antwoorden mogelijk. Bepaal zelf op of com/calculator.html 10

11 Relevante wet- en regelgeving: EU Concept Privacyverordening Eén set regels binnen de EU Recht op gegevensverwijdering Functionaris gegevensbescherming (bewerking >5000 klantgegevens) Datalek binnen 72 uur melden Toestemming voor doorgeven persoonsgegevens buitenlandse overheden Verplichte uitvoering risico-analyse Sancties oplopend tot 5% (wereldwijde) jaaromzet (max 100 mio) Zie voor meer informatie: 11

12 Relevante wet- en regelgeving: Nederlandse wetgeving Nederlandse wetgeving m.b.t. bescherming van persoonsgegevens: Bij overtreding van regels in de Telecommunicatiewet kan ACM boetes opleggen tot maximaal EUR Het CPB kan een boete van maximaal EUR opleggen voor schending van de algemene meldplicht (WBP). Voorstel: EUR Bestuurders krijgen daarmee in toenemende mate een zorgplicht ten aanzien van 'bestuur en informatieveiligheid'. Zie voor meer informatie: Bron: Beantwoording Eerste Kamervragen betreffende cyberbeveiliging, 4 juli

13 Casus Gezondheidszorg (1/2) Type incident: datalek Gevolg: patiëntgegevens gestolen incl. dossiers. Betrof bekende zwakheid in back up systeem, firewall-configuratie In geval van kwaadaardige hack: mutatie van gegevens EPD/gijzeling van data, verkopen medische gegevens BN-ers, aanpassingen financieel systeem: impact vele malen groter Evaluatie: goed crisismanagement door marketing en communicatie in overleg met directie. Afsluiten alle systemen van de buitenwereld. Onderzoeken bestanden op mutaties 13

14 Casus Gezondheidszorg (2/2) Veel communicatie. Negatieve publiciteit (o.a. minister Schippers ernstig ). IGZ rapport met waarschuwing, CBP: versneld (binnen 8 weken) invoeren eerder geïdentificeerde adviezen: EUR 200K Extra kosten accountant: EUR 50K Derving inkomsten (bedrijfsstilstand):? Nieuwe firewall: EUR 150K Nieuw netwerk (geen directe link met incident): EUR 1,5M Boete max. 2% van omzet (WbP) m.i.v. 2014/2015 In bestaande polis: crisismanagement support voor EUR 15K gedekt Commentaar Aon: "Met een cyber polis van EUR 8K jaarpremie was meer dan de helft van de kosten gedekt" 14

15 Casus Logistiek Bron: 15

16 Plan van aanpak Zie voor meer informatie: 16

17 Risicobeheersing vs Verzekeren Investeer in risico management Investeer in risico overdracht "Wet van de communicerende vaten" 100% veiligheid bestaat niet Risico Optimale besteding van beschikbare middelen Meerwaarde risico-overdracht t.o.v. (technische) maatregelen Weerbaarheid Bron: Doing What Technology Can t: The Role of Risk Transfer in Effectively Managing Cybersecurity 17

18 Risicomanagement strategie: een eenvoudige benadering Laag Kans Hoog MITIGEREN Preventie, Risico Reductie Risico Tolerantie ACCEPTEREN VOORKOMEN Elimineren Verzekeren, Afdekken OVERDRAGEN Laag Impact Hoog 18

19 Mitigeren ('kans hoog, impact laag'): opnieuw een eenvoudige benadering VOORBEREIDEN Bewustwording (IT>BT) De rol van data/informatie Risico-analyse Trainen & Opleiden PREVENTIE Implementeer risicobeperkende maatregelen Samenhangende aanpak in mensen, middelen, processen & omgeving Incident/Crisis management Communicatie Bedrijfscontinuatie Monitoring van gegevensstromen en activiteiten REAGEREN DETECTIE MITIGEREN ACCEPTEREN VOORKOMEN OVERDRAGEN 19

20 Risico-inventarisatie Heeft u zicht op de belangrijkste cyberrisico's voor uw onderneming, de externe bedreigingen en interne kwetsbaarheden? Kent u de mogelijke gevolgen daarvan, en de (financiele) impact op uw organisatie? In hoeverre houdt uw huidige risico-management beleid en uitvoering(sorganisatie) rekening hiermee? Bent u / Is uw bestuurder bewust van deze risico's, en houdt hij/zij zich hiermee in de praktijk actief bezig? Uit welke activiteiten en maatregelen blijkt dit? Is er een bedrijfscontinuiteits- en/of crisismanagementplan opgesteld? Hoe vaak wordt er geoefend? 20

21 Plan van aanpak Zie voor meer informatie: 21

22

23 "Je kunt een crisis niet voorspellen maar wél voorbereiden" Adviezen Breng de basis op orde en verlaag daarmee de kans én impact van een crisis Investeer óók in veerkracht: technisch én organisatorisch Strategisch vraagstuk: méér dan een IT-issue alleen Sturen op impactreductie is essentieel zeker voor beslissers Voorzie in een hechte aansluiting van ICT met de rest van de organisatie Cybercrises zijn afhankelijkheidscrises: let op (keten)partners Zie voor meer informatie: 23

24 "Je kunt een crisis niet voorspellen maar wél voorbereiden" Tips Breidt bestaand incidentmanagement uit, en pas bestaand crisismanagement integraal toe Stel een scenariokaart 'cybercrisis' op Train- en oefen betrokkenen op bijzonderheden cybercrisis Voorbeeld: Wat te doen bij een datalek? Welke informatie is weg? Kan dit worden gereconstrueerd? Welke klanten zijn geraakt? En wat gaan we ze vertellen? Welke wetgeving is van kracht? (lokaal/internationaal) Wie staat de media te woord, en wat is het verhaal? Heb je krediet monitoring nodig, of een call center? Moeten toezichthouders, leveranciers ed worden geinformeerd? Zijn aanpassingen nodig in bestaande processen? 24

25 Plan van aanpak Zie voor meer informatie: 25

26 Verzekeringsoverzicht: cyberrisico's typisch niet gedekt! 26

27 Verzekeraars op de Nederlandse markt VERZEKERAAR CAPACITEIT (EUR) PRODUCT Ace Dataguard / Privacy Protection Allianz Cyber Protect AIG CyberEdge Chubb Chubb Cyber Security CNA NetProtect Hiscox Data Risks Liberty Cyber Suite Swiss Re XL XL Eclipse Excess /Co-assurantie (excess point EUR ) Zurich Security & Privay Protection Merk op: voornamelijk buitenlandse verzekeraars 27

28 Dekkingselementen van een cyberverzekering Aansprakelijkheid: Verdedigingskosten (juridische bijstand) Schikkingkosten (betaling claim) Crisismanagement: Kosten (forensisch) onderzoek Public relations Klant notificatie kosten Krediet bewaking Boetes: Onderzoek Verdedigingskosten (juridische bijstand) Betaling aan overheid Reconstructiekosten Bedrijfsstilstand Afpersing Cloud/Outsourcing 28

29 Voorwaarden (aanvraagformulier) Algemene bedrijfsgegevens (Industrie, Omvang, Aantal mdw.) Toelichting op activiteiten Uitbesteding (Cloud) Toelichting op beveiliging & gegevensbescherming Gewenste dekking Schadeverleden 29

30 Premie-indicaties van een cyberverzekering Afhankelijk van eigen-risico, omzet- en sectorgegevens, beheersingsmaatregelen e.d. 3 rd party = 5,000 15,000 per mio verzekerd bedrag 1 st party = 5,000 15,000 per mio verzekerd bedrag Combinatie = 7,500 25,000 per mio verzekerd bedrag Eigen-risico 25, ,000 bij middelgrote bedrijven met omzet < 100 mio 250, mio+ voor grotere ondernemingen, omzet > 100 mio 30

31 Vergelijking PROPERTY & CASUALTY $>100 B * $1.3 B $10-30 B * Premie Schade-omvang CYBER $1.3 B ** $1.3 B $100 B *** Premie Schade-omvang Property Premies Property Cyber Premies Cyber * National Association of Insurance Commissioners ** Betterly Report ** CSIS McAfee Report 31

32 Stellingen "Cyber is een hype; voor de cyberrisico's van vandaag hebben we binnenkort gewoon een oplossing" "Verzekeraars hebben hier niets te zoeken; Cyber is én blijft het domein van ICT specialisten die hun dienstenaanbod aanpassen en uitbreiden" 'Privacy' en 'Digitaal' gaan niet samen! "Cyberrisico's worden nu niet goed beheer(s)t; ICT is weliswaar betrokken vanuit de inhoud maar niet vanuit het bestuur. "Over 3 tot 5 jaar heeft iedereen een verzekering voor het online verkeer, net zoals de WA-polis in het gemotoriseerde verkeer" 32

33 Bewustwording: Kennis Quiz ( 33

34 Actieplanning: Cyber Diagnose ( 34

35 Samenvattend Waarom is cyber een issue? Kan ongemerkt en betrekkelijk snel enorme schade aanrichten Mensen zijn "onbewust onbekwaam" en "100% veilig bestaat niet" Schade veelal niet gedekt onder traditionele verzekeringen Daarom: Goed om vast te stellen hoe groot risico's (bedreigingen/kwetsbaarheden) zijn Vaststellen dat huidige verzekeringen waarschijnlijk onvoldoende dekking bieden Weten dat aanbod in NL snel toeneemt, waarmee relatief voordelig de (financiële) gevolgen van cyberrisico's kunnen worden afgedekt Nadenken over beheersingsmaatregelen (preventie, detectie ed) om bedrijfsdoelstellingen te beschermen 35

36 Contact Mark Buningh Aon Cyber Risk Management T +31 (0) E mark.buningh@aon.com W aon.nl/cyber linkedin.com/pub/markbuningh/28/239/215 36