Een dergelijke kop in de krant zal bij menige lezer verbazing wekken. De heersende opvatting is dat cybercriminaliteit alleen grote bedrijven treft zoals banken die door een DDoS-aanval tijdelijk worden lamgelegd. Maar ook kleinere ondernemingen kunnen het slachtoffer zijn, denk bijvoorbeeld aan een boze ex-werknemer die er met vertrouwelijke data vandoor gaat. Of een bouwbedrijf dat gehackt wordt en dan blijkt een back-up minstens een dag oud te zijn en moet veel werk opnieuw gedaan worden: nieuwe tekeningen, het invoeren van werkbonnen. In beide gevallen is er sprake van schade. Deze schade is alleen niet zichtbaar en daardoor is de omvang van de financiële kostenpost lastig te schatten. Nog daargelaten of dit risico met bestaande verzekeringsproducten volledig is af te dekken. Toch is er op dit gebied al meer mogelijk dan de meeste ondernemers denken.
Welke ondernemingen lopen risico?
‘Vooral bedrijven die sterk afhankelijk zijn van ICT of die veel gegevens beheren kunnen het doelwit worden van cybercriminaliteit’, vertelt Carin Kroon-Jonk, verzekeringsspecialist bij Molenaar & Zwarthoed. ‘Er zijn vandaag de dag heel veel ondernemingen die in hun bedrijfsvoering hinder zouden ondervinden als hun ICT uitvalt, nog afgezien van de financiële schade die ze oplopen. Er zijn grofweg drie soorten cyberrisico’s te benoemen. Het kan gaan om een moedwillige aanval van buitenaf, bijvoorbeeld een virus, zogenaamde DDoS-aanvallen (distributed denial-of-service) of hackers die inbreken in het systeem. Ten tweede is er het risico op verlies of diefstal van data door menselijk handelen, al dan niet met voorbedachten rade (bijvoorbeeld door een boze ex-werknemer). Als laatste is een belangrijk risico het technisch falen van eigen of externe ICT-systemen, servers, hard- en software. Eigenlijk loopt elke onderneming die met ICT werkt een risico: niet alleen multinationals, maar ook een kleine webshop of een middelgrote bouwonderneming. Daarnaast ligt er op nationaal niveau een wetsvoorstel tot wijziging van de Wet Bescherming Persoonsrechten (Wbp) bij de tweede kamer. Dat wetsvoorstel bevat een meldplicht bij geconstateerde inbreuken op beveiligingsmaatregelen voor persoonsgegevens en een uitbreiding van de bevoegdheid tot het opleggen van een boete door het College bescherming persoonsgegevens. Die boete kan oplopen tot € 450.000,-. Bij steeds meer ondernemers begint nu het begrip cybercriminaliteit te leven en neemt het besef toe dat ze daadwerkelijk een risico lopen en dat de schade aanzienlijk kan zijn.’
Dreiging
Carin Kroon-Jonk: ‘Nog voordat een incident plaatsvindt, kan er al sprake zijn van een dreiging of een situatie die kan leiden tot een cyberincident. Neem bijvoorbeeld een werknemer die zijn aankomend ontslag als onrechtvaardig ziet. Met een kleine moeite kan deze op zijn laatste werkdag nog flink wat bestanden kopiëren waarvan de werkgever liever niet ziet dat die op straat komen te liggen. Of een bedrijf dat zonder het te weten een systeem heeft dat gevoelig is voor externe aanvallen. Het is noodzakelijk om op voorhand te investeren in software die de ICT-omgeving beter beschermt tegen aanvallen van buitenaf en intern strenge protocollen te ontwikkelen met betrekking tot het kopiëren van vertrouwelijke informatie. Uiteraard brengt dit kosten met zich mee. Menig ondernemer lijkt dit misschien wat ver gezocht, zij zijn van mening dat met een firewall en een virusscanner de zaak wel goed geregeld is. De praktijk wijst echter uit dat gevallen van cybercriminaliteit toenemen. Om een indruk van de omvang te geven: cybercrime kost de Nederlandse economie jaarlijks zo'n 8,8 miljard euro, ongeveer 1,5 procent van het bruto nationaal product. Daarmee is cybercrime een serieuze bedreiging waar je als ondernemer maar beter goed op voorbereid kunt zijn. Ik vergelijk het wel eens met een bedrijfspand waar veel aan inbraakpreventie is gedaan, maar waar toch ingebroken kan worden.’
Schade bij een cyberincident
‘OP het moment dat er een cyberincident plaats vind wat leidt tot verlies of beschadiging van data, (on)toegankelijkheid van systemen, aansprakelijkheid of bedrijfsschade, is de situatie natuurlijk anders dan bij een dreiging’, legt Carin Kroon-Jonk uit. ‘Allereerst moet door een expert de omvang van de schade worden vastgesteld. Dat kost tijd en gedurende dat onderzoek ondervindt de onderneming problemen bij de normale bedrijfsvoering. Daarnaast is het opnieuw opstarten van een ICT-systeem dat helemaal opgeschoond moet worden, een klus die al gauw een paar dagen in beslag neemt. Als de onderneming bijvoorbeeld in die periode geen producten kan leveren, bestaat de kans dat afnemers schade lijden. Zij kunnen de onderneming hiervoor aansprakelijk stellen met de daarbij behorende financiële claims. De hierdoor geleden financiële schade en de kosten van het juridisch verweer zijn te verzekeren.’
Verlies van omzet
‘Daarnaast krijgt de onderneming te maken met een financiële tegenvaller omdat tijdens het herstel van de ICT-systemen een normale omzet niet haalbaar is. Het is nauwelijks voor te stellen hoe afhankelijk we inmiddels zijn van automatisering. Zonder ICT loopt alles in het honderd, de boekhouding kan bijvoorbeeld niet opeens handmatig gedaan worden. Zelfs binnen kleine ondernemingen is dat bijna een onmogelijke opgave. Het gemis aan inkomsten gedurende de herstelperiode is tegenwoordig te verzekeren.’
Reputatieschade
‘Naast de direct voelbare financiële schade is er op termijn nog een mogelijke schadepost die flinke consequenties kan hebben. Ondernemingen die te maken krijgen met een cyberincident zijn binnenkort wettelijk verplicht hiervan melding te doen. Dat betekent dat het openbaar wordt bij welke onderneming het incident zich heeft afgespeeld. Het gevolg kan zijn dat bij afnemer de opvatting gaat leven dat de gegevens van de afnemers bij de onderneming niet in veilige handen zijn. Gelet op de snelheid waarmee vandaag de dag via social media een reputatie van een organisatie kan worden beschadigd, is het cruciaal snel te handelen om de schade te beperken. Voor het inhuren van communicatieadviseurs die gespecialiseerd zijn in deze materie, kan een verzekering worden afgesloten.’
Gat in de dekking
‘Traditionele verzekeringen zoals een brandverzekering, een aansprakelijkheidsverzekering en een verzekering tegen fraude dekken wellicht een klein gedeelte van de risico’s van cybercriminaliteit. Er bestaat in de traditionele verzekeringsmarkt geen product dat een volledige dekking biedt. Een cyberriskverzekering heeft dus zeker een toegevoegde waarde. Om zo’n verzekering goed vorm te geven, is het zinvol te inventariseren wat al gedekt wordt door de bestaande verzekeringen om te voorkomen dat er sprake is van overlap. Anderzijds wordt met een inventarisatie ook meteen zichtbaar waar een gat in de dekking valt.’
Cyberriskpolis
‘Voor veel mensen is cybercriminaliteit een ver-van-mijn-bed-show. Tot het moment dat ze het slachtoffer worden van een cyberincident. Het is een goede ontwikkeling dat ondernemers zich steeds meer bewust worden van het nut van een optimale beveiliging van hun ICT’, sluit Carin Kroon-Jonk af. ‘In tegenstelling tot de Verenigde Staten waar schending van de privacy tot veel schadeclaims leidt, speelt in Nederland de schade aan gegevens en het herstel daarvan een grote rol bij de voorwaarden van een cyberriskpolis. Met de kennis van de markt die wij inmiddels hebben opgebouwd, kunnen wij ondernemers adviseren over een cyberriskverzekering, passend voor de specifieke onderneming. Dat is nu soms nog pionieren, maar naar mijn overtuiging zal binnen afzienbare tijd een cyberriskpolis net zo gangbaar zijn als een inboedelverzekering.’
