Meer dan 6 op de 10 ondernemers in Nederland heeft al eens te maken gehad met cybercrime. Deloitte heeft uitgerekend dat de jaarlijkse schadelast voor het bedrijfsleven en de overheid zo’n 10 miljard bedraagt. De praktijk leert dat elke onderneming op enig moment te maken kan krijgen met cybercrime of een datalek. Het cyberrisico verdient dus een plek in het gesprek dat jij met jouw klant voert over de risico’s die de onderneming loopt.
In dit dossier Cyberrisico’s vind je informatie, tips en tools om als adviseur aan de slag te gaan met cyberveiligheid. We bundelen alle kennis over dit onderwerp. Je vindt hier onder andere:
- Checklist Aan de slag met advies cyberrisico's
- Diverse hulpmiddelen om risico’s in kaart te brengen
- Diverse checklists t.a.v. risico’s en beheersmaatregelen
- Ledenvoordelen van diverse partners uit het Adfiz-netwerk voor tooling die kan helpen bij beheersmaatregelen en advies
- Modelbrief en infographic om onderwerp bij klanten op de agenda te zetten
- Module om gericht content te delen met (klant)groepen
- Verwijzingen naar relevante sites van derden
Stap 1 Analyseer je portefeuille
Je kunt niet alle klanten in één keer adviseren. Bepaal welke klanten in je portefeuille het
grootste risico lopen en open staan voor advies over cyberrisico’s. De praktijk leert dat het
daarbij niet in de eerste plaats gaat om zaken als bedrijfsgrootte of de branche waarin een
bedrijf actief is. Belangrijke segmentatiecriteria zijn:
- Veiligheidsprofiel: heeft klant zaken technisch op orde
- Risicoprofiel: hoe groot is kans op grote gevolgschade
- Begripsvermogen: is de klant thuis in de materie
- Risicobereidheid: welke risico’s is klant bereid te lopen
Stap 2: Pitch je verhaal
Bepaal hoe je het onderwerp bij de klant wilt agenderen. Veel bedrijven onderschatten het risico en zijn niet goed voorbereid op cybercrime. Met kleine stappen is dan al vaak een eerste verbetering te realiseren. Benut dit in je verhaal.
- Kans op een incident is groter dan ondernemer denkt (zie ook stap 3)
- Impact/schade van een incident is groter dan ondernemer denkt (zie ook stap 4)
- Handelingsperspectief is groter dan verzekeren (zie ook stap 5 en 6)
- Bied een laagdrempelige eerste stap in vorm van een (gratis) risicoscan (veel verzekeraars faciliteren dit).
Adfiz heeft diverse hulpmiddelen:
- Infographic cyberrisico’s voor ondernemers
- Modelbrief
- Artikelen om te delen op Finfin van Adfiz
- Overzicht online cyberscans
Stap 3: Inventariseer de risico’s
Bepaal waar de (belangrijkste) kwetsbaarheden zich bevinden en hoe die op dit moment beschermd worden.
- Welke bedrijfsactiviteiten zijn kwetsbaar voor welke risico’s?
Let op! Dit gaat niet alleen om informatie technologie (IT), ook het primaire proces is vaak ‘connected’. Ook de operationele technologie (OT) kan blootstaan aan cyberrisico’s. - Hoe is beveiliging geregeld?
- Identificatie. Risico: relevante dreigingen worden niet onderkend
- Bescherming. Risico: een aanvaller krijg voet aan de grond
- Detectie. Risico: incidenten worden niet tijdig opgemerkt
- Reactie. Risico: inadequate reactie vergroot impact/schade
- Herstel. Risico: inadequaat herstel vergroot impact/schade
Tip! Gebruik de Cybersecurity Health Check van de Cyber Security Raad om beveiliging in kaart te brengen.
Stap 4: Breng mogelijke gevolgen in kaart
Bepaal hoe de kwetsbaarheden verschillende vormen van schade kunnen opleveren. In grote lijn zijn er twee categorieën:
- Aansprakelijkheid
- Eigen schade
Bekijk hier een checklist met rubrieken en voorbeelden van mogelijke schades.
Stap 5: Tref mogelijke beheersmaatregelen
Cyber leent zich bij uitstek voor een meer risicomanagement georiënteerde aanpak. De juiste beheersmaatregelen kunnen de mogelijke risico’s en schade flink beperken. Niet voor niets maken preventie en incident managementdiensten vaak (verplicht) onderdeel uit van een cyberverzekering. Beheersmaatregelen zullen zich toespitsen op:
- Preventie: het voorkomen van incidenten door technische en organisatorische (beschermings)maatregelen
- Detectie: het beperken van schade door incidenten snel te ontdekken
- Reactie & herstel: het beperken van schade door een goed incident response plan, herstelplan en continuïteitsplan
Stap 6: Dek de overblijvende risico’s af
Ook na getroffen beheersmaatregelen zijn cyberincidenten niet uit te sluiten. Zijn er andere manieren om risico’s te vermijden, te verminderen, over te dragen of te accepteren? (zie ook het kennisdossier Risicomanagement). Vaak zal er de wens blijven om bepaalde risico’s af te dekken. Hiervoor zijn steeds meer verzekeringsoplossingen.
Ledenvoordeel
- Poliskraker: Polisvoorwaarden vergelijking van 10 verzekeraars op 50 criteria
Tips!
--> De eerder ingevulde Cyberscurity Health Check biedt hier een effectief startpunt
--> Begin met de 5 basisprincipes van veilig digitaal ondernemen, opgesteld door Digital Trust Center (onderdeel van ministerie van EZ)
--> Bekijk de checklist beheersmaatregelen uit onderzoek dat Haagse Hogeschool met onder andere Adfiz heeft uitgevoerd.
--> Kijk ook eens naar de Adfiz ledenvoordelen voor veilig communiceren van Safebay, SmartLockr en Zivver.
--> Wil je samenwerken met een cybersecurity dienstverlener? Check dan de brancheorganisatie Cyberveilig Nederland
Stap 7: Beheer de klant actief
Cyberrisico’s en cyberverzekeringen zijn volop in ontwikkeling. Kijk hoe je actief klantbeheer hiervoor wilt inrichten.
- Blijft klant voldoen aan (preventie-)voorwaarden van verzekeraar?
- Zijn er ontwikkelingen bij de klant die nieuwe risicobeoordeling wenselijk maken?
- Zijn er nieuwe verzekeringsoplossingen die nieuw klantcontact wenselijk maken?
Incident
Bij een cyberincident is snel en adequaat handelen cruciaal. Een belangrijk onderdeel van de dekking bij een cyberverzekering zijn de incidentmanagement diensten.
Kijk hoe je klant kunt bijstaan bij:
- Begeleiden Incident response plan
- Claimbehandeling