In dit kennisdossier Cyberrisico’s vind je informatie, tips en tools die je kunnen helpen bij het adviseren van je klanten over cyberveiligheid. Daarnaast geven we ook aandacht aan wat je zelf kunt doen voor de cyberweerbaarheid van je eigen kantoor. Dit kennisportaal is vooral bedoeld voor adviseurs en kantoren die net beginnen met het onderwerp cybercrime of daar inmiddels al enkele stappen in hebben gezet.
[!] Altijd direct op de hoogte zijn van actuele cyberdreigingen?
Meld je aan voor de gratis cyberalerts van Digital Trust Center en de Fraudehelpdesk.
Bijna één op de vijf Nederlandse bedrijven leidt schade door cybercriminaliteit; bij grote bedrijven is dat zelfs drie op de tien. De schade die bedrijven leiden bestaat het vaakst uit financiële verliezen, gevolgd door het verlies van klantdata of bedrijfsgeheimen en operationele verstoringen. Toch overschatten bedrijven hun eigen cyberweerbaarheid. En dat is risicovol, want alle experts zijn het erover eens: het is niet de vraag óf je ooit te maken krijgt met een cyberincident, maar wannéér.
Soorten cybercrime
- Phishingmail of sms: Criminelen sturen valse berichten om je te misleiden tot het geven van persoonlijke gegevens of inloggegevens.
- Malware: Schadelijke software die ongemerkt op je apparaat wordt geïnstalleerd om schade aan te richten of gegevens te stelen.
- Factuurfraude: Een oplichter past een factuur aan of stuurt een valse factuur zodat geld naar een verkeerde (criminele) rekening gaat.
- Datalekken: Vertrouwelijke informatie komt in handen van onbevoegden, bijvoorbeeld door een hack, fout of onvoldoende beveiliging.
- Ddos-aanval: Een website of server wordt overspoeld met verkeer waardoor deze onbereikbaar wordt voor echte gebruikers.
- Ransomware: Bestanden worden versleuteld door gijzelsoftware; pas na betaling van losgeld worden ze mogelijk weer vrijgegeven.
- CEO-fraude: Een oplichter doet zich voor als een directeur of leidinggevende om medewerkers te misleiden tot het uitvoeren van betalingen.
- Mailhack: Een e-mailaccount wordt gehackt, waarna de aanvaller toegang heeft tot communicatie, wachtwoorden of gebruikt maakt van het account om anderen te misleiden.
De bovenstaande lijst is niet volledig; er ontstaan steeds meer vormen van cybercrime. Ben je nog niet volledig bekend met alle termen en begrippen, gebruik dan het Cybersecurity Woordenboek van Cyberveiligheid Nederland. Deze publicatie legt zo’n 780 cybersecuritytermen uit in begrijpelijke taal.
Meer informatie over digitale weerbaarheid vind je op de site van onze samenwerkingspartner, het Digital Trust Center. Dit onderdeel van het Ministerie van Economische Zaken helpt bedrijven met advies en tools om digitaal veiliger te ondernemen.
Klanten adviseren over cyberrisico's
Je kunt niet alle klanten tegelijk adviseren over cyberrisico’s. Cyber vraagt om een risicogerichte aanpak, waarbij de juiste beheersmaatregelen risico’s en schade aanzienlijk kunnen beperken. Preventie en incidentmanagement zijn daarom vaak verplichte onderdelen van een cyberverzekering.
Hieronder een handvat om in een aantal stappen klanten te adviseren over cyberrisico’s.
Stap 1: Analyseer je portefeuille
Je kunt niet alle klanten in één keer adviseren. Bepaal welke klanten in je portefeuille het
grootste risico lopen en open staan voor advies over cyberrisico’s. De praktijk leert dat het
daarbij niet in per se gaat om zaken als bedrijfsgrootte of de branche waarin een
bedrijf actief is. Belangrijke segmentatiecriteria zijn:
- Veiligheidsprofiel: heeft klant zaken technisch op orde?
- Risicoprofiel: hoe groot is kans op grote gevolgschade?
- Begripsvermogen: is de klant thuis in de materie?
- Risicobereidheid: welke risico’s is klant bereid te lopen?
Stap 2: Pitch je verhaal
Bepaal hoe je het onderwerp bij de klant wilt agenderen. Veel bedrijven onderschatten het risico en zijn niet goed voorbereid op cybercrime. Met kleine stappen is dan al vaak een eerste verbetering te realiseren. Benut dit in je verhaal.
- Kans op een incident is groter dan ondernemer denkt (zie ook stap 3)
- Impact/schade van een incident is groter dan ondernemer denkt (zie ook stap 4)
- Handelingsperspectief is groter dan verzekeren (zie ook stap 5 en 6)
- Bied een laagdrempelige eerste stap in vorm van een (gratis) risicoscan (veel verzekeraars faciliteren dit).
>> zie voor meer informatie ook recente onderzoeken van de Cyber Security Raad en ABNAMRO.
Hulpmiddelen bij stap 2
Tip
Gebruik de 5 basisprincipes van veilig digitaal ondernemen van het Digital Trust Center. Deze basisprincipes zijn opgesteld om ondernemers te helpen bij het instellen van een basisbeveiliging. Hiermee vergroten ze hun weerbaarheid tegen cyberrisico's die de bedrijfsvoering kunnen verstoren.
Stap 3: Inventariseer de risico’s
Bepaal waar de (belangrijkste) kwetsbaarheden zich bevinden en hoe die op dit moment beschermd worden.
- Welke bedrijfsactiviteiten zijn kwetsbaar voor welke risico’s?
Let op! Dit gaat niet alleen om informatie technologie (IT), ook het primaire proces is vaak ‘connected’. Ook de operationele technologie (OT) kan blootstaan aan cyberrisico’s. - Hoe is beveiliging geregeld?
- Identificatie. Risico: relevante dreigingen worden niet onderkend
- Bescherming. Risico: een aanvaller krijg voet aan de grond
- Detectie. Risico: incidenten worden niet tijdig opgemerkt
- Reactie. Risico: inadequate reactie vergroot impact/schade
- Herstel. Risico: inadequaat herstel vergroot impact/schade
Tip
Gebruik de Cybersecurity Health Check van de Cyber Security Raad om beveiliging in kaart te brengen. De Cybersecurity Health Check is een instrument voor middelgrote bedrijven om met cybersecurity aan de slag te gaan.
Stap 4: Breng mogelijke gevolgen in kaart
Bepaal hoe de kwetsbaarheden verschillende vormen van schade kunnen opleveren. In grote lijn zijn er twee categorieën:
- Aansprakelijkheid
- Eigen schade
Tip
Bekijk hier een checklist met rubrieken en voorbeelden van mogelijke schades.
Stap 5: Tref mogelijke beheersmaatregelen
Cyber leent zich bij uitstek voor een meer risicomanagement georiënteerde aanpak. De juiste beheersmaatregelen kunnen de mogelijke risico’s en schade flink beperken. Niet voor niets maken preventie en incident managementdiensten vaak (verplicht) onderdeel uit van een cyberverzekering. Beheersmaatregelen zullen zich toespitsen op:
- Preventie: het voorkomen van incidenten door technische en organisatorische (beschermings)maatregelen
- Detectie: het beperken van schade door incidenten snel te ontdekken
- Reactie & herstel: het beperken van schade door een goed incident response plan, herstelplan en continuïteitsplan
Stap 6: Dek de overblijvende risico’s af
Ook na getroffen beheersmaatregelen zijn cyberincidenten niet uit te sluiten. Zijn er andere manieren om risico’s te vermijden, te verminderen, over te dragen of te accepteren? (zie ook het kennisdossier Risicomanagement). Vaak zal er de wens blijven om bepaalde risico’s af te dekken. Hiervoor zijn steeds meer verzekeringsoplossingen.
Tip
- De eerder ingevulde Cyberscurity Health Check biedt hier een effectief startpunt
- Wil je samenwerken met een cybersecurity dienstverlener? Check dan de brancheorganisatie Cyberveilig Nederland
Ledenvoordeel
Poliskraker: Polisvoorwaardenvergelijking van 10 verzekeraars op 50 criteria
Stap 7: Beheer de klant actief
Cyberrisico’s en cyberverzekeringen zijn volop in ontwikkeling. Kijk hoe je actief klantbeheer hiervoor wilt inrichten.
- Blijft de klant voldoen aan (preventie-)voorwaarden van verzekeraar?
- Zijn er ontwikkelingen bij de klant die nieuwe risicobeoordeling wenselijk maken?
- Zijn er nieuwe verzekeringsoplossingen die nieuw klantcontact wenselijk maken?
Bij een incident
Bij een cyberincident is snel en adequaat handelen cruciaal. Een belangrijk onderdeel van de dekking bij een cyberverzekering zijn de incidentmanagementdiensten. Maak vooraf afspraken met je klant hoe je hem hier – en bij een eventuele claimbehandeling – kunt bijstaan. De ervaring leert dat het bijstaan van een klant na een cyberincident veel tijd en betrokkenheid vraagt, omdat de ondersteuning tijdkritisch is.
Als er als gevolg van een cyberincident persoonsgegevens verloren zijn gegaan, ongeoorloofd zijn gewijzigd, verstrekt, ingezien of toegankelijk gemaakt, moet dit worden gemeld bij de Autoriteit Persoonsgegevens. Deze melding moet zo snel mogelijk, maar uiterlijk binnen 72 worden gedaan. Meer informatie hierover vind je in ons kennisdossier Privacy en op de website van de Autoriteit Persoonsgegevens. Let op: het melden van een datalek kan alleen door middel van het formele Meldformulier datalekken.
Waar kan de klant terecht na een cyberincident?
- Politie: aangifte doen via 0900-8844 of online
- Autoriteit Persoonsgegevens: datalek melden via het meldformulier datalekken
- Fraudehelpdesk: meld fraude via 088-786 73 72 of online
Zelf aan de slag met cyberweerbaarheid
Wat voor je klanten geldt rondom cyberweerbaarheid geldt natuurlijk ook voor je eigen kantoor. Daarom kun je ook voor je eigen bedrijfsvoering de risicogerichte aanpak volgen met de stappen 3 tot en met 6.
Daarnaast kun je zelf snel aan de slag met de digitale veiligheid door in ieder geval een aantal praktische maatregelen te nemen:
- Zorg voor een back up van de belangrijkste bestanden (leer hier hoe je dat zelf doet, of vraag je IT beheerder)
- Stel zo veel mogelijk ‘inloggen in twee stappen’ in
- Zorg voor automatische updates van software
- Zorg voor actuele antivirussoftware
- Controleer de veiligheidsstandaarden van de mailserver
- Leer phishing herkennen (gebruik de phishing bingo kaart)
- Maak prints van een bellijst voor noodsituaties (zie voorbeeld) en andere relevante documenten zoals (indien van toepassing: het polis blad van de verzekering, de SLA afspraken met IT ondersteuning
Betrekken van je medewerkers
Het betrekken van medewerkers bij de cyberweerbaarheid van je kantoor is essentieel. Medewerkers zien meer dan je denkt. Maar wat doen zij als ze denken dat er iets niet klopt? Als ondernemer is het belangrijk om je medewerkers te laten weten bij wie ze terecht kunnen als ze denken dat er iets niet klopt. Moedig dit soort meldingen aan. Het Digital Trust Center biedt handvatten voor concrete instructies voor medewerkers.
Tip
Zorg dat je incident response plan in het team gedeeld is en geprint vindbaar is. Mocht je die nog niet hebben, kun je bijvoorbeeld het Cyber Noodplan van Samen Digitaal Veilig gebruiken.
AFM-eisen voor informatiebeveiliging
De AFM stelt eisen aan de wijze waarop jij omgaat met informatiebeveiliging en digitale weerbaarheid. Om zorgvuldig om te gaan met informatiebeveiligingsrisico’s heeft de AFM 11 principes voor informatiebeveiliging opgesteld. Daarbij is het belangrijk om te weten dat je de informatiebeveiliging proportioneel mag toepassen naar aard van de dienstverlening en omvang van de onderneming.
In ons kennisdossier Digitale weerbaarheid vind je meer informatie over:
- De eisen die worden gesteld vanuit wet-en regelgeving
- De eisen die DORA stelt aan het IT-risicomanagement, IT-incidenten, periodieke weerbaarheidstesten en de beheersing van risico’s bij uitbesteding.
- Praktische handvatten (informatiedocumenten, checklisten en hulpmiddelen) om je eigen digitale weerbaarheid en informatiebeveiliging op het goede niveau te brengen
Waar kun je terecht na een cyberincident?
- AM: wordt een ICT-incident geclassificeerd als ernstig (major), dan moet hiervan melding worden gedaan bij de toezichthouder
- Politie: aangifte doen via 0900-8844 of online
- Autoriteit Persoonsgegevens: datalek melden via het meldformulier datalekken
- Fraudehelpdesk: meld fraude via 088-786 73 72 of online
Ervaringen van leden
Binnen Adfiz wordt er al veel gedaan met Cyberweerbaarheid. Hieronder vind je ervaringen van leden en ook enkele praktijkvoorbeelden. Heb je relevante documenten of voorbeelden die je zou willen delen met andere leden, stuur deze dan naar info@adfiz.nl
Publicaties
- Reputatie en vertrouwen vervang je niet zo 1-2-3; dat moet je opbouwen en verdienen
- Adviesbureau slachtoffer van zakelijke identiteitsfraude | Digital Trust Center (Min. van EZ)
- Maandcolumn: Cyber, een schadeverhaal als elk ander
- Deel ervaringsverhalen van ondernemers die een cyberincident hebben meegemaakt
- Presentatie Cyber – door Marie-Louise de Smit (Aon) en Jan Ganzeveld (Bakker Ganzeveld Assurantiën) op Adfiz Najaarsevent 2023
- Themanummer Adfiz Magazine Cyber
Praktijkvoorbeelden van leden
Zicht, risico- en verzekeringsadviseurs (Den Bosch):
- Whitepaper Cybercrime
- Infographic gemaakt voor ICT ondernemers
- Online Cyberbewust test: Hoe cyber-bewust bent u - Zicht op Zaken
Naar aanleiding van een mailhack bij een van onze leden is een draaiboek opgesteld: Stappenplan mailhack
Ledenvoordeel
- Poliskraker: Polisvoorwaardenvergelijking van cyberverzekeringen