De kans dat jouw bedrijf slachtoffer wordt van cybercriminaliteit groeit al jaren en blijft naar verwachting groeien. Aanvallen van cybercriminelen kunnen leiden tot forse financiële verliezen en operationele stilstand. Cybercrimespecialist Kay Pruis benadrukt het belang van preventieve maatregelen en cyberverzekeringen. “Ik zou bedrijven eerder aanraden om de inboedel niet te verzekeren dan cybercrime niet te verzekeren.”
‘We hebben ongebruikelijke activiteiten op jouw account opgemerkt’
‘Je moet dringend een betaling doen’
‘Sessie verlopen, log opnieuw in’
Je ziet vast wel eens mails met deze onderwerpregels voorbij komen. Het zijn zogenoemde phishingmails. Wanneer je even niet oplet, heb je een bedrag overgemaakt naar een cybercrimineel, staat er kwaadaardige software op je computer of zitten cybercriminelen op je bedrijfsnetwerk waar ze gegevens stelen of versleutelen.
Denk niet dat cybercriminelen jouw bedrijf niet interessant vinden. De kans dat je als bedrijf te maken krijgt met cybercriminaliteit is groot: 1 op de 5. “Dat is 50 keer zo groot als de kans op een inbraak en 1.600 keer zo groot als de kans op brand”, weet Kay Pruis*), werkzaam als verzekeringsadviseur Groot Zakelijk bij Rabobank en gespecialiseerd in onder meer cybercriminaliteit. Het gaat bij cybercriminaliteit bijvoorbeeld om phishing, malware, ransomware of een DDoS-aanval. Wanneer een cyberincident plaatsvindt, kost dat een bedrijf heel wat geld: gemiddeld tussen de 250.000 en 600.000 euro. Een flinke kostenpost, waar zaken als reputatieschade nog niet eens in mee zijn genomen.
DEZE ARTIKELEN over cybercriminaliteit moet je zeker ook even LEZEN:
- Online spreekuur over cyberveiligheid
- Onderzoek: Veel fabrikanten gebruiken verouderde of niet beveiligde besturingssystemen
Machinebouwer is een aantrekkelijk doelwit
Bedrijven in de transportsector maar zeker ook de machinebouw zijn een aantrekkelijk doelwit. Een digitale aansturing van het bedrijfsproces, het gebruik van slimme machines en specifieke operationele technologie (OT) om de apparatuur en machines aan te sturen: stuk voor stuk interessante factoren voor cybercriminelen, want dit betekent dat ze het bedrijfsproces kunnen stilleggen. Wanneer de operationele technologie ook nog eens verouderd is en geen updates meer krijgt, is deze extra gevoelig voor hacks. “OT is vaak ojee”, vat Pruis het kort samen.
Kosten zijn mega
De gevaren van cybercriminaliteit zijn groot, net als de bedragen die ermee gemoeid kunnen gaan. De kosten van een cyberincident bestaan uit meerdere componenten. “Het is daarbij niet óf, óf, óf, maar én, én, én: je krijgt met al die kostenposten te maken”, verduidelijkt Kay Pruis. De kosten voor gelekte klantgegevens ontstaan wanneer de criminelen met de gestolen gegevens identiteitsfraude plegen door bijvoorbeeld auto’s of huizen te gaan huren. Slachtoffers hiervan kunnen een schadevergoeding eisen, waarbij bedrijven moeten rekenen met een gemiddelde van 250 euro per gelekt klantgegeven. Kay: “Heb je veel klanten, dan kan dit bedrag al snel hoog oplopen.”
Dat geldt ook voor de kosten voor bedrijfsstilstand. “Na een hack kun je zomaar drie maanden stil komen te liggen. Daarbij produceer je ook nog eens niks en heb je kans dat je klanten weglopen naar de concurrent.”
Brandverzekering: cybercrime uitgesloten
Bij onder andere brandverzekeringen wordt cybercrime steeds vaker uitgesloten in de polissen. Reden is onder andere dat brand kan ontstaan doordat een machine op afstand kan worden gesaboteerd. Kay Pruis verwacht eenzelfde scenario wat betreft productaansprakelijkheid: nu zijn bijvoorbeeld machinefabrikanten aansprakelijk als ze een gebrekkig product leveren en de software bevattelijk blijkt te zijn voor cybercrime. In de toekomst verwacht hij dat de productaansprakelijkheid cybercrime uitsluit. En dus volgt er geen schadevergoeding vanuit de fabrikant. “Dit in combinatie met de nog altijd groeiende kans op cybercriminaliteit, zorgt ervoor dat bedrijven niet veel langer hun kop in het zand kunnen steken. Er moet meer aandacht voor komen.”
Onderhandelen met criminelen
Het bedrag dat cybercriminelen aan losgeld vragen na een ransomware-aanval, ligt gemiddeld op drie tot vijf procent van de totale omzet van het getroffen bedrijf. Het geld moet in de regel in bitcoins worden betaald. Vaak wordt geadviseerd om de criminelen niet te betalen. “Maar besef dan dat je waarschijnlijk al je systemen en data opnieuw moet opbouwen.”
De hoop gaat in zo’n geval al snel naar (online en offline) back-ups, maar helaas zijn die ook niet altijd meer beschikbaar. Pruis: “bij een gerichte hack zitten de criminelen al drie tot zes maanden in je netwerk voordat je het door hebt. De back-ups hebben ze dan allang versleuteld.”
Kay geeft een rekenvoorbeeld om te laten zien hoe snel de kosten oplopen. Bij een bedrijf met een omzet van 20 miljoen euro, een brutowinst van 12 miljoen euro en 2.500 klanten, ligt het schadebedrag na een cyberaanval tussen de 2,4 miljoen en 4,8 miljoen euro.
Is jouw ICT-provider aansprakelijk?
Veel bedrijven zijn zich onvoldoende bewust van het gevaar en de mogelijke gevolgen van cybercriminaliteit, merkt Kay Pruis. “Ze denken: we hebben een firewall en onze ICT-serviceprovider zorgt er wel voor dat alles up-to-date en veilig is. Maar je serviceprovider is voor heel veel dingen niet aansprakelijk en zeker ook niet altijd deskundig op het gebied van cybercriminaliteit.” De meeste ICT-providers zijn aangesloten bij NLdigital en volgen de bijbehorende voorwaarden. Daarin staat dat ‘eigen’ fouten van een bedrijf zijn uitgesloten. “Dat betekent bijvoorbeeld dat als je medewerker op een fout linkje in een phishingmail klikt, de ICT-provider niet aansprakelijk is voor de schade. In 75 procent van de gevallen gaat het om een eigen fout”, waarschuwt Pruis.
Daarnaast is de maximale schade die de ICT-provider vergoedt vaak maximaal 500.000 euro. Dit is in het geval dat ze aansprakelijk zijn doordat ze bijvoorbeeld een update niet hebben doorgevoerd. Ligt het bedrijf enige tijd stil door een ransomware-aanval? Dan hoeft de provider ook die kosten niet te vergoeden. Hetzelfde geldt voor eventuele boetes vanuit de AVG. “Ook wanneer het niet je eigen fout is, zijn de meeste kosten vaak niet te verhalen op je provider”, concludeert Kay Pruis. Zijn advies: controleer de voorwaarden in het contract met je ICT-provider en neem eventueel aanvullende maatregelen. Een van die te nemen maatregelen is het afsluiten van een cyberverzekering. “Ik zou bedrijven eerder aanraden om de inboedel niet te verzekeren dan cybercrime niet te verzekeren.”
Verzekering tegen cybercrime
Chubb en AIG zijn de grootste cybercrimeverzekeraars. In de polissen zijn alle eerder genoemde kostenposten gedekt, op de reputatieschade na. De verzekering vergoedt dus de bedrijfsstilstand (tot zes maanden), regelt het betalen van het losgeld en onderhandelt zelfs met de criminelen over het bedrag. Ook het forensisch onderzoek wordt vergoed en onder andere het herstel van de databestanden. Een extra voordeel van een cybercrimeverzekering is dat je 24/7 een hulplijn kunt bellen als je cybercriminaliteit vermoedt of als je medewerker op een linkje in een phishingsmail heeft geklikt. Pruis: “De verzekering dekt dus de kosten, plus je beschikt over eerste hulp. En dat is heel fijn, want snelheid is essentieel.” De hulplijn kan instructies geven die ervoor zorgen dat de infectie niet verder verspreidt en helpen om databestanden te redden.
Wat kost die verzekering?
Voor het voorbeeldbedrijf (met een omzet van 20 miljoen euro) en een verzekerde limiet van 2,5 miljoen euro is de premie van een cybercrimeverzekering 7.080 euro per jaar. “Maar je kunt er ook voor kiezen om een lagere verzekerde limiet te kiezen, bijvoorbeeld tot een miljoen euro. Dan betaal je 4.320 euro aan premie per jaar”, geeft Kay Pruis als voorbeeld. Bij een minder grote omzet of een lagere verzekerde limiet ligt het premiebedrag vanzelfsprekend lager. Een bedrijf met een omzet van 5 miljoen euro en een verzekerde limiet van 500.000 euro is 1.710 euro per jaar kwijt.
Om je bedrijf tegen cybercrime te kunnen verzekeren, moet je wel aan een aantal voorwaarden voldoen: denk aan multifactor-authenticatie, een actief wachtwoordbeleid en een procedure voor software-updates. “Een juwelier verzeker je immers ook niet als deze de deur wagenwijd open heeft staan.”
*) Kay Pruis werkte op persoonlijke titel mee met dit artikel. Meer informatie over dit onderwerp of een passend advies? Kijk op de website rabobank.nl/bedrijven en zoek op ‘cyberverzekering’. Of vraag advies bij je eigen serviceprovider of tussenpersoon.
