Risicomanagement & -financiering

Transcriptie

1 Risicomanagement & -financiering Cyberrisico s onder controle Aon Global Risk Consulting Opgesteld voor: RPPC Datum: 27 mei

2 Enkele stellingen vooraf 1. De rol van ICT is veranderd van kantoor- en procesautomatisering naar een strategische productiefactor. Zonder ICT gebeurt er niets meer! 2. In het tijdperk van technologisering, automatisering, informatisering en digitalisering speelt ICT een cruciale rol bij de realisatie van de organisatorische doelstellingen. Het gebruik van computersystemen en netwerken in de primaire bedrijfsfuncties, is daardoor een bestuurlijk thema geworden. 3. Een groot gedeelte van wat wij cyberrisico s noemen, is met relatief beperkte middelen te ondervangen. Management van (cyber)risico s heeft daardoor, zeker nu, een positieve return on investment (dwz: levert direct meer op dan het kost) 4. Privacy en Digitaal/Online gaan niet samen (Internet is per definitie onveilig) 5. "Cyber is een hype. Voor de cyberrisico's van vandaag is binnenkort gewoon een oplossing" 6. "Verzekeraars (als risico-dragers) hebben hier niets te zoeken; Cyber is én blijft het domein van ICT specialisten die hun dienstenaanbod aanpassen en uitbreiden" 2

3 Wat zijn Cyberrisico s? 3

4 Passende gelaagdheid binnen de informatiebeveiliging Preventief (voorkomen) Rookverbod Informatie beleid (IS) Detectie (signaleren) Rookmelder Virusscanner, Monitoring, IDS, etc. Repressief (onderdrukken) Correctief (herstellen) Sprinkler Brandverzekering Security Information & Event Mgt (SIEM), IPS Verzekerbaar? Nu al gedekt? Voorwaarden? Is er balans tussen uw bezittingen en de beheersmaatregelen ter bescherming daarvan? 4

5 4 componenten van Cyber: verlies van systemen, data, crime en aansprakelijkheid Privacy schendingen Misbruik van intellectueel eigendom Verspreiding van malware 5

6 Why the Netherlands is such an opportunity for cyber risks? The Internet is everywhere, and knows no borders. However, cybercrime has specific geographical features. The key differentiating factors are the level of economic development, the number of Internet users and the level of Internet penetration. Why us? GDP: EU $16.7 billion (2012, IMF) 1st in the world. Number of Internet users: 77% (2013 est., ITU): EU ranks 1 st Ranks 1st on Internet access of 94 % (2012) Excellent ICT-infrastructure (Top 10 fastest internet) NL: Top 10 Global Competitiveness Index World Economic Forum ( ) The Netherlands comes top for online banking in Europe (2012) Consumers using multiple platforms and devices which increases complexity and reduces security NL: Top 5 Most-innovative countries Global Innovation Index 2013 Sources: AIVD, NCSC, Eurostat, Comscore.com, Norton, Trendmicro.nl, Iamsterdam.com, Global Innovation Index, ITU, IMF, World Economic Forum 6

7 Millions Informatiebeveiliging: Wat kost het als ik het doe? Wat als ik het niet doe? $6 $5 $4 $3 $2 $1 $0 $250 $200 $150 $100 $50 $- Total Cost Response Costs Lost Business Cost per Record Size of breaches ranged from 2,300 records to 100,000 Average number of breached records was 23,647 Source: Ponemon 2013 Global Cost of a Data Breach. Per capita cost by industry classification. Consolidated view (n=277). Measured in US$ Healthcare ranks #1 (USD 233) 7

8 bestaande uit: Kosten forensisch (sporen)onderzoek Kosten communicatie met klanten, toezichthouders, justitie etc Kosten inhuur PR-specialist (reputatieherstel) Onderzoekskosten justitie, creditcardmaatschappijen etc Claims van derden Civielrechtelijke boetes Reparatie, vervanging/herstel van websites, programma s of data Bescherming tegen schade door hacking, inclusief hulp bij afpersing Omzetverlies, reputatieschade etc. Meerdere antwoorden mogelijk. Bepaal zelf op of com/calculator.html 8

9 Informatiebeveiliging: randvoorwaarden verschillen van afdeling tot afdeling ICT Afd. Juridische Afd. Communicatie Afd. Financiële Afd. Betrouwbaar Raadpleegbaar Kordaat, Adequaat Juistheid Beschikbaar Identificeerbaar Open, Frequent Betrouwbaarheid Vertrouwelijk Dateerbaar Integer Tijdigheid Merk op: Besluitvorming ten aanzien van informatiebeveiliging gaat over afwegingen tussen concurrerende doelstellingen Het is economisch gezien rationeel daarbij bepaalde mate van onzekerheid/risico te accepteren Deze afwegingen vinden plaats op grond van de prikkels - de kosten en baten - die een beslisser (bijv. board of senior management) ervaart bij het nemen, verminderen of elimineren van risico 9

10 Balans brengen in conflicterende belangen (casus Teleroute, twee perspectieven) Ladingdieven weten vaak exact wanneer ze moeten toeslaan. Dat is uiteraard geen toeval. U leert hoe uw organisatie voorbereid kan zijn op datalekken en diefstal van gevoelige informatie, hoe uw organisatie forensic ready kan zijn en wat u in uw contracten kunt regelen om op het juiste moment te beschikken over de juiste gegevens. Teleroute fraude is aan de orde van de dag. In de jacht op de dader trekken juristen en forensisch onderzoekers samen op. Teleroute S.A., a Wolters Kluwer business, is a leading[1] pan-european online[2] freight exchange service that improves operational efficiency, reduces risk,[3] and offers customized online services for the Transport & Logistics industry. Bronnen:

11 Wie ligt hier dan wakker van? Klant Medewerker Staf-diensten Bestuurder Toeleverancier Toezichthouder Overheid Anders? Wat zijn binnen uw organisatie de noodzakelijke voorwaarden voor verandering? ( Pain drives change ) 11

12 Wat ons niet verder helpt (typische misvattingen) We hebben een firewall, dus we zijn beschermd. We hebben antivirus geïnstalleerd, dus het risico is klein. We hebben de beste IT'ers in huis. Zij regelen alles! Waarom zou onze organisatie doelwit zijn? We hebben geen webwinkel; we hebben dus ook geen cyberrisico. We voldoen aan ISO richtlijnen, dus we lopen geen risico. Niemand heeft nog een verzekering hiervoor waarom wij dan wel? Het valt allemaal wel mee, dus nu even niet En dan liggen mijn gegevens op straat. Nou en? 12

13 Wat wél helpt: weten wanneer u (extra) kwetsbaar bent voor cyberrisico s? Goed voorbereide organisaties leiden bij een cyberincident of crisis aanzienlijk minder schade, dan bedrijven die zich niet hebben voorbereid. Het is daarom belangrijk vast te stellen in welke mate u als organisatie kans loopt op een cyberincident. Er is sprake van (extra) kwetsbaarheid als u: persoonlijke en/of medische gegevens verzamelt, bewaart, verwerkt en/of opslaat een hoge mate van afhankelijkheid kent van elektronische processen en/of computernetwerken leveranciers, service providers en/of overige derden in de bedrijfsvoering betrekt te maken heeft met (wettelijke) bepalingen op het gebied van data privacy en/of informatiebeveiliging bezorgd bent over de (materiële) schade die kan voortvloeien uit cybercriminaliteit, bedrijfsspionage, systeem falen e.d. een inhaalslag moet maken in het opleiden en/of voorbereiden van medewerkers bij cybergerelateerde incidenten. 13

14 Relevante wet- en regelgeving: EU Concept Privacyverordening Eén set regels binnen de EU Recht op gegevensverwijdering Functionaris gegevensbescherming (bewerking >5000 klantgegevens) Datalek binnen 72 uur melden Toestemming voor doorgeven persoonsgegevens buitenlandse overheden Verplichte uitvoering risico-analyse Sancties oplopend tot 5% (wereldwijde) jaaromzet/exploitatie Maar denk ook aan Wet Bescherming Persoonsgegevens, Wet Meldplicht Datalekken, Algemene Voorwaarden, Contractuele bepalingen etc. Directie krijgt hiermee in toenemende mate een zorgplicht ten aanzien van 'bestuur en informatieveiligheid'. Zie voor meer informatie: 14

15 Impact-analyse: Inzicht en overzicht in risico impact en eigenaarschap ICT-afdeling Juridische zaken Financiële zaken Bestuur Medewerker Advies/Staf Audit 15

16 Risicomanagement Heeft u zicht op de belangrijkste cyberrisico's voor uw onderneming, de externe bedreigingen en interne kwetsbaarheden? Kent u de mogelijke gevolgen daarvan, en de (financiële) impact op uw organisatie? In hoeverre houdt uw huidige risicomanagement beleid en uitvoering rekening hiermee? Is dit effectief/afdoende, en waarom? Bent u / Is uw bestuurder bewust van deze risico's, en houdt hij/zij zich hiermee in de praktijk actief bezig? Uit welke activiteiten en maatregelen blijkt dit? Is er een bedrijfscontinuiteits- en/of crisismanagementplan opgesteld? Hoe vaak wordt er geoefend? Door wie? 16

17 Crisismanagement ("Je kunt een crisis niet voorspellen maar wél voorbereiden ) Adviezen Breng de basis op orde en verlaag daarmee de kans én impact van een crisis Investeer óók in veerkracht: technisch én organisatorisch Strategisch vraagstuk: méér dan een IT-issue alleen Sturen op impactreductie is essentieel zeker voor beslissers Voorzie in een hechte aansluiting van ICT met de rest van de organisatie Cybercrises zijn afhankelijkheidscrises: let op (keten)partners Zie voor meer informatie: 17

18 Risico Risicomanagement vs Risico-financiering Investeer in risico management Investeer in risico overdracht "Wet van de communicerende vaten" 100% veiligheid bestaat niet Optimale besteding van beschikbare middelen Meerwaarde risico-overdracht t.o.v. (technische) maatregelen Weerbaarheid Bron: Doing What Technology Can t: The Role of Risk Transfer in Effectively Managing Cybersecurity 18

19 Verzekeringsoverzicht: cyberrisico's typisch niet gedekt! 19

20 Waarom zijn traditionele verzekeringen veelal ontoereikend? Schade aan data kwalificeert niet als een materiële schade Bij een all-risk dekking is in principe alle materiële schade gedekt; verzekeraars beschouwen schade aan data echter zelden als materiële schade. Aansprakelijkheidsverzekering dekt geen financieel nadeel De algemene aansprakelijkheidsverzekering biedt in de regel alleen dekking voor zaak- en letselschade; Financieel nadeel valt hier niet onder. Fraudeverzekering: beperkte dekking, en sluit kosten preventiemaatregelen uit De kosten om een aanval af te wenden vallen buiten veel verzekeringsdekkingen, en zijn veelal beperkt. Bestuurdersaansprakelijkheid neemt eigen kosten organisatie niet mee Alhoewel een cyberincident kan resulteren in een claim richting bestuurders en commissarissen, moet worden bedacht dat in eerste instantie de organisatie getroffen zal worden. 20

21 Voorkomen is beter dan genezen (onverzekerbare schade) Welke risico s zijn (momenteel) onverzekerbaar en/of uitgesloten van dekking? Contractbreuk / Wanprestatie Verlies van patenten, handelsgeheimen Misleidende reclame, ongevraagde communicatie Bekende (netwerk)beveiligingsproblemen Onbevoegd of onrechtmatig verzamelen van informatie Overtredingen of beveiligingsproblemen ontstaan vóór ingangsdatum verzekering Opzet of fraude door het management Strafrechtelijke en/of contractuele schadevergoeding Nalatigheid Systeem upgrades of reparaties Niet-versleutelde apparaten, informatie 21

22 Aan de slag! ( 22

23 Voorlopige conclusies van vandaag Cyber is een buzz word dat de aandacht voor informatiebeveiliging alleen maar benadrukt. Cyber heeft potentieel grote impact op de organisatorische doelstellingen. Alle processen digitaliseren, impact neemt toe. Ook al voldoe je aan alle normen (informatie-beveiliging); incident kan zich altijd voordoen. Goed huisvaderschap en gezond verstand! Maak bewuste keuzes in het opslaan van informatie en de toepassing van ICT ( total cost of risk ). Probeer impact te kwantificeren. Leidt tot betere afweging tussen (preventieve) maatregelen en risicofinanciering. Gap analysis: Maak inzichtelijk welke verzekeringen elementen van potentiële impact van cyber risico s afdekken. Beschermen van de reputatie (crisis management) is zeker zo belangrijk als het afdekken van de financiële schade. 23

24 Samenvattend Waarom is cyber een issue? Kan ongemerkt en betrekkelijk snel enorme schade aanrichten Mensen zijn "onbewust onbekwaam" en "100% veilig bestaat niet" Schade veelal niet gedekt onder traditionele verzekeringen Daarom: Goed om vast te stellen hoe groot risico's zijn (bedreigingen/kwetsbaarheden/beheersmaatregelen) Vaststellen of huidige verzekeringen inderdaad onvoldoende dekking bieden Nadenken over beheers- en controlemaatregelen (risicomanagement en - financiering) en optimale beschermingsconstructie om bedrijfsdoelstellingen te realiseren. 24

25 Contact Mark Buningh Aon Global Risk Consulting T E mark.buningh@aon.com W About Aon Global Risk Consulting With more than 2,000 risk professionals in 50 countries worldwide, Aon's Global Risk Consulting practice delivers a fully integrated range of risk management solutions designed to optimise the risk profile of our clients. Our risk consulting professionals deliver actuarial & analytics, enterprise risk management, forensic accounting and risk financing solutions. Our risk control, claims and engineering practice provides expertise in property and casualty risk control, claims consulting, fire protection and energy risk engineering. Our captive & insurance management experts are widely recognised as the leading captive manager, with local capabilities in over 30 countries. 25