Verslag Mandema Update Risk

Transcriptie

1 Verslag Mandema Update Risk Sommige mensen denken liever niet na over welke bedreigingen er zijn voor de continuïteit van hun bedrijf. Wat gebeurt er als uw voorraad afbrandt of die van de buurman? Wat is uw kwetsbaarheid als het gaat om cybercrime? Met een bedrijfsrisicoanalyse krijgt u een beeld van wat u wilt en kunt verzekeren. Veel belangrijker is het echter om schade te voorkomen. Of om in ieder geval het effect van een calamiteit te minimaliseren. Deze Update Risk belicht drie thema s. Allereerst gaat Adriaan Meijer in op de ontwikkelingen in de verzekeringsmarkt, vervolgens geeft Arthur Meulstee een kijkje in de wereld van de cybercrime en tot slot laat Johan van Tiel zien waar calamiteiten toe kunnen leiden en vooral hoe de gevolgen zo veel mogelijk zijn te beperken. Ontwikkelingen in de verzekeringsmarkt Adriaan Meijer, Practice leader Risk bij Mandema & Partners Het verzekeren van bedrijfsrisico s bestaat al sinds de middeleeuwen. In de loop van de tijd is contracteren echter steeds omvangrijker geworden, omdat bedrijven steeds complexer in elkaar zitten. Bijvoorbeeld door de kwetsbaarheid als gevolg van automatisering of de gevolgen van globalisering. Bedrijven zullen goed moeten afwegen wat ze wel of niet willen of moeten verzekeren. Wat kunnen ze zelf dragen en wat niet? Hoe verhoudt zich de verzekerde waarde tot de premie? Enkele ontwikkelingen die op dit moment van invloed zijn op de markt voor bedrijfsverzekeringen hebben onder meer te maken met veranderingen in de regels, beperking van de dekking, de marktwerking en veranderingen bij de verzekeraars. Brandschade Mede ingegeven door een aantal grote branden worden de regels rond brandschade per 1 januari 2014 aangepast. Voorheen hadden brandverzekeraars de mogelijkheid om een schadeuitkering tot euro te verhalen op een veroorzaker. Die grens wordt per 1 januari 2014 losgelaten. Dat betekent dat als door toedoen van een brand een ander hiervan schade ondervindt, zijn verzekeraar de gedane schadeuitkering ongelimiteerd kan verhalen op de veroorzaker. Ook zullen de meeste verzekeraars bij schade de polissen nog eens scherp nagaan om te bekijken of de verzekerde hoedanigheid (welke activiteiten zijn verzekerd) volledig is opgenomen. Tips: Wees kritisch op het contracteren van andere bedrijven; laat in contracten goed vastleggen waarvoor dat bedrijf aansprakelijk is, bij voorkeur in de vorm van een vrijwaring voor aansprakelijkheid. 1

2 Check bij uw leveranciers/aannemers hoe zij verzekerd zijn (Riskmanagers tip). Vraag een certificaat of een kopie van de polis ter toetsing! Let op als u andere activiteiten gaat ontplooien, bespreek dat met ons zodat wij zo nodig uw verzekering daarop aan kunnen passen. Stel dat u besluit om bijvoorbeeld speelgoed te importeren van buiten de EU. Houdt u er dan rekening mee dat u te maken kunt krijgen met productaansprakelijkheid en recall-kosten, als het product niet goed is. Dekt uw verzekering dat? Let op welke investeringen u moet doen en of die opwegen tegen de risico s die u loopt. Zoek de juiste verzekering bij het juiste risico. Bij minder gevaar hebt u minder dekking nodig, wat in de regel tot lagere verzekeringskosten leidt. Wie zijn uw buren? Hoe zijn zij verzekerd? En welk risico loopt u als zij schade ondervinden door u en vice versa? Verschraling van het aanbod Verzekeraars worden steeds voorzichtiger. Als het gaat om beperking van de dekking is het onder meer van belang te weten dat er een sanctielijst bestaat met landen en bedrijven waarvoor verzekeraars geen dekking geven als u daar zaken mee doet en daardoor schade ontstaat. Ook hebben de Solvency II-richtlijnen gevolgen voor de prijsvorming van de verzekeringsproducten. Hierdoor treedt een verschraling op van het aanbod. Dat er minder oplossingen worden aangeboden, komt ook doordat de verzekeraars hun producten standaardiseren. Dit is een nasleep van de fusies van verzekeraars, de complexe integratie van verschillende IT-infrastructuren en de aanpassing hiervan op de nieuwe regelgeving (Solvency II). De schadelast is de afgelopen tijd sterk gestegen, zowel bij brandschade, diefstal (11% meer auto s gestolen in de eerste helft van 2012) en catastroferisico s (herverzekeringen). Desondanks heeft de marktwerking geleid tot stabilisering van de premies. Daar staat tegenover dat de standaardisering van de producten leidt tot minder dekking. Tips: Als gevolg van de standaardisatie van de reguliere verzekeringsproducten adviseren wij vaak maatwerkoplossingen die zijn toegesneden op uw bedrijfssector of individuele situatie. Stem de voorwaarden af op uw (huidige) bedrijfsprofiel. Is dat gewijzigd? Dan is het verstandig contact met ons op te nemen. Wij kunnen dan met u bepalen wat de beste oplossing is om de nieuwe activiteiten financieel beheersbaar te maken. 2

3 Cybercrime een bedreiging voor elk bedrijf Arthur Meulstee, Manager Advanced Security Center bij EY Advisory Als adviseur houdt Meulstee zich bezig met informatiebeveiliging in de breedste zin van het woord. Zijn specialiteit ligt op het terrein van Attack & Penetration Testing (het legaal hacken van systemen) en social engineering. Dit is een techniek waarbij computerkrakers een aanval op computersystemen trachten te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. Geen enkele maatregel is waterdicht en de menselijke schakel is vaak het zwakste. Om de hacker voor te zijn moet hij op dezelfde manier gaan denken. Een vorm van cybercriminaliteit die de laatste tijd veel in het nieuws is, is de DDoSaanval op banken. Doel is het platleggen van servers waardoor de bank niet meer kan functioneren. De redenen hiervoor zijn niet altijd even duidelijk. Soms is het omdat het nu eenmaal kan. Maar vaak is het ook een chantagemiddel om te laten zien wat de gevolgen zijn van zo n actie. Meulstee wijst erop hoe snel de ontwikkelingen gaan. Het duurde bijvoorbeeld 38 jaar voordat de radio 50 miljoen gebruikers had. In die tijd kon het systeem uitvoerig worden getest en verbeterd. Tegenwoordig zien we dat Facebook slechts negen maanden nodig had om die 50 miljoen gebruikers te bereiken. Er is geen tijd meer om zorgvuldig te testen. Ook zijn we ons nog onvoldoende bewust van de risico s die er zijn en daar maken criminelen graag gebruik van. Iedereen van boven de dertig, die nog bekend is met cassettebandjes en het over smartphones heeft in plaats van telefoons, is kansloos ten opzichte van cybercriminelen. Wie zitten er achter? Een cybercrimineel heeft de intentie om iets moedwillig onklaar te maken door gebruik te maken van moderne telecommunicatienetwerken, zoals internet en mobiele telefoons. De reden om dit te doen, is niet altijd hetzelfde. Er zijn de zogenoemde script kiddies, die het hacken vooral voor de kick doen of omdat ze ergens boos over zijn. Zij kunnen op de markt, vrij te krijgen of te kopen op internet, hacktools aanschaffen om een aanval uit te voeren. Een DDoS-aanval kun je zelfs tegen een klein bedrag bestellen voor een uur, een dag, een week of een maand. Ook zijn er professionele hackers. Een deel van hen ziet zich als de digitale wereldverbeteraar. Ze willen vooral de zwaktes van beveiligingen laten zien of onrecht digitaal opsporen en aan het licht brengen. Een recent voorbeeld hiervan is WikiLeaks. Dan is er de groep die zich bezighoudt met bedrijfsspionage. Door een account van iemand uit het bedrijf te krijgen, te kopen of te hacken, krijgt de crimineel kostbare bedrijfsinformatie in handen. Voorbeeld zijn strategische plannen, zoals waar een 3

4 bedrijf wil uitbreiden. Met die informatie kan een concurrerend bedrijf eerder de grond opkopen en dikke winst maken. Dan zijn er nog cyberaanvallen die uitgevoerd worden door overheden. Een bekend voorbeeld is Stuxnet, een specifiek virus gericht op het beschadigen van kerncentrales. Maar ook het hacken door de NSA is de laatste tijd veel in het nieuws. Voor de meeste bedrijven geldt dat de grootste dreiging komt van hobbyisten en professionals. In principe komt de dreiging van directe concurrenten minder vaak voor, maar deze neemt wel toe. En als het gebeurt, is deze wel vele malen schadelijker. Motieven om bedrijven aan te vallen Door toeval Omdat het kan Ethische gronden (media-aandacht) Geld (fraude of chantage) Schade toebrengen Angst zaaien Verschuiving naar menselijke factor Zonder twijfel is er een verschuiving te zien van traditionele criminaliteit naar cybercrime, compleet met afperspraktijken. Het blijkt nog steeds zeer eenvoudig om in een bedrijf aan inloggegevens te komen. Vaak zijn door middel van een eenvoudige test alle wachtwoordgegevens van de medewerkers beschikbaar. Een ander steeds toenemend probleem vormen de phishing-mailtjes, die een steeds geavanceerdere vorm aannemen. Bijvoorbeeld via een verzoek tot contact binnen LinkedIn (Jay Andrew, daar zijn er namelijk enkele duizenden van en dat klinkt dan lekker bekend). Het grote verschil met een paar jaar geleden is dat het niet langer voldoende is om preventief bezig te zijn (met een firewall) of te waarschuwen. Veel belangrijker is het om ongeregeldheden tijdig te identificeren (detectie) en te weten hoe je moet handelen als het je overkomt (incident response). Door het daadwerkelijk te ondervinden leren de meeste mensen het best (training en awareness). Net als bij een oefening van de brandweer. Je herkent de zwakke schakels, je ervaart de gevolgen en je weet veel beter wat te doen om het te voorkomen. De gedachte dat het geen zin heeft om je er tegen te wapenen, haalt Meulstee onderuit door een anekdote te vertellen van twee jagers die een grizzlybeer tegenkomen. De een zegt Het heeft geen zin om hard weg te lopen, hij loopt toch sneller dan wij. Waarop de ander zegt: Ik denk van wel. Als ik maar sneller loop dan jij. 4

5 Het is van belang te beseffen dat cybercriminaliteit geen zaak meer is van de ITafdeling. Het is een zaak die het hele bedrijf aangaat en alleen met goed samenwerken kan worden aangepakt. 5

6 Een calamiteit! En dan? Johan van Tiel, Register Risicodeskundige bij Burghgraef van Tiel & Partners Een voorbeeld spreekt altijd aan. Vandaar dat Van Tiel begint met een aantal opvallende branden. Hij laat zien dat door foute berichtgeving over de veroorzaker van de brand imagoschade kan ontstaan. In een ander voorbeeld toont hij aan hoe een bedrijf zich met een extra brandwerende muur heeft gewapend tegen mogelijke brand. Resultaat is dat zijn opslagruimte nauwelijks schade heeft opgelopen als gevolg van een recente brand bij zijn buurman die pallets opslaat. Ze hebben voor extra brandwering gekozen ondanks de extra investering. De norm van de overheid beperkt zich tot de eis dat mensen veilig uit een pand moeten kunnen komen. De norm is een brandwerende voorziening van zestig minuten, de tijd die de brandweer nodig heeft om bij een grote brand op te schalen. Deze norm heeft dus op geen enkele manier te maken met de bedrijfscontinuïteit. Om daar iets over te kunnen zeggen kan een onderneming zich op kleine en grote calamiteiten voorbereiden door een BCP (Bedrijfscontinuïteitsplan) op te stellen. Dat dit belangrijk is blijkt wel uit de cijfers. Uit cijfers van een Amerikaanse verzekeraar blijkt dat 73% van alle bedrijven die een totaalschade hebben opgelopen, dit (uiteindelijk) niet overleeft. Kenmerken BCP Voor productiebedrijven geldt dat het belangrijk is te weten wat te doen als de productie stagneert. Zijn er uitwijkmogelijkheden? Wil je wel dat de recepturen in handen komen van je concurrent als je daar tijdelijk kunt produceren? Wat meld je richting de klanten? Oplossingen zijn soms heel verrassend. Zo haalt Van Tiel een vleesverwerkend bedrijf aan dat na een brand nauw is gaan samenwerken met een kipverwerkend bedrijf. Deze ging in continudienst drie dagen kip verwerken, om na grondig schoonmaken drie dagen varkensvlees te verwerken. Handelsbedrijven kunnen te maken krijgen met calamiteiten bij hun toeleveranciers en dan is het de vraag hoelang je dan nog kunt doordraaien. Bij kennisbedrijven speelt nog meer dan bij de eerder genoemde bedrijven de afhankelijkheid van IT-diensten een rol. Het gaat om de back-up van de systemen, maar ook om zaken als licenties. Zijn die servergebonden? In dat geval kun je namelijk niet eenvoudig op een nieuw systeem verder draaien. Bij zorginstellingen en publieke diensten is een vergelijkbaar lijstje op te stellen. Ook al is er geen directe financiële consequentie. Er zijn wel extra voorzieningen nodig en je wilt toch de service kunnen blijven leveren die de cliënten van je gewend zijn. 6

7 Bij het opstellen van een BCP is het vooral belangrijk precies uit te zoeken wat er gebeurt als het fout gaat. Dat is een heel confronterende actie, die essentieel is om tot een BCP te komen. De volgende stap is het beoordelen van de risico s en het analyseren van de risicofactoren. Daarna moeten de beheersmaatregelen worden vastgesteld en vastgelegd. Bij het vaststellen van de risicostrategie wordt dan een afweging tussen de verschillende keuzes gemaakt. Hierbij spelen ook financiële (verzekerbare) risico s een rol. Resultaat is een continuïteitsplan waarin alle elementen en factoren worden benoemd die van invloed zijn op het voortbestaan van de onderneming, met de bijbehorende oplossingen. Een plan dat jaarlijks opnieuw moet worden getoetst. Omgevingsvergunning nodig bij herbouw Om een idee te geven dat bij een calamiteit meer komt kijken dan je op het eerste gezicht zou denken, gaat Van Tiel in op de omgevingsvergunning. Sinds de invoering van de WABO moeten bij herbouw in principe alle vergunningen in een keer worden aangevraagd: voor sloop, sanering, bouw, milieu en ingebruikname. Kan dat, dan heb je binnen acht weken de vergunningen binnen. Maar bij bedrijven wordt per definitie naar een uitgebreide procedure gegrepen en dan ben je al gauw vele maanden verder. En dan heb je alleen de vergunningen nog maar. Dit voorbeeld laat zien dat er bij een calamiteit heel veel komt kijken en dat een BCP van groot belang is, zeker als hierin ook zaken als de aard van vervuiling en sanering is opgenomen. Tip: Download op de website van Mandema & Partners ( een Calmiteitenplan en een document als aanzet om tot een BCP te komen van Mandema & Partners. Daarnaast kan het verhelderend zijn om door middel van een bedrijfsrisicoscan uw bedrijfsrisico s weer eens in beeld te brengen. Wij helpen u daar graag bij. Tot slot het fenomeen Cybercrime. Omdat de wereld zo snel verandert kan het geen kwaad om kritisch te kijken naar uw kwetsbaarheid op dat punt en te vragen op welke manier wij uw kwetsbaarheid op het gebied van cybercrime financieel beheersbaar kunnen maken 7