EXPERTISE VERZEKERD: Cybercriminaliteit en de gevolgen voor uw onderneming

Cybercriminaliteit is sinds enige tijd een steeds vaker voorkomend fenomeen, maar is de afgelopen jaren in een stroomversnelling terechtgekomen. Niet alleen overheidsinstanties zijn hier slachtoffer van. Ook heel wat ondernemingen, groot én klein, krijgen meer en meer te kampen met cyberincidenten in de brede zin van het woord. Dit heeft zowel op vlak van bedrijfsvoering als voor de continuïteit en de toekomst van de onderneming verstrekkende gevolgen. Bij aantasting van de server kunnen ondernemingen soms dagen of weken hun klanten niet bedienen en kunnen daaruit ook bijkomende schadeclaims volgen. Geen enkele sector wordt daarbij gespaard en de stress die dit met zich meebrengt is niet te onderschatten.

Soorten cyberincidenten en risico's

Elke dag proberen cybercriminelen toegang te krijgen tot waardevolle, vertrouwelijke bedrijfsdata. Daar hebben ze heel wat verschillende tactieken voor. Bij ondernemingen gaan cybercriminelen vaak te werk door middel van ‘ransomware’ of gijzelsoftware. Hiermee blokkeren de criminelen de belangrijkste systemen en data van een onderneming en vragen vervolgens losgeld in ruil voor het vrijgeven van dat systeem.

100 procent veiligheid bestaat niet. Ook al bent u omringd door goede IT-professionals, er is nog steeds een risico. U kan dit het beste vergelijken met een woning: zelfs al is uw woning door de beste architect ontworpen en met de beste aannemer gebouwd, ook dan kan die nog steeds afbranden.

In andere gevallen wordt de ransomware ingezet om van een nietsvermoedende onderneming gegevens te stelen en daarbij te dreigen om deze openbaar te maken. Hiermee wordt een bedrijf gechanteerd. In het kader van de plicht die rust op bedrijven om data te beschermen en de regelgeving rond GDPR kan dit grote gevolgen hebben.

Naast ransomware zijn er nog andere manieren waarmee cybercriminelen de onderneming kunnen raken. We spreken hier bijvoorbeeld over cyberdiefstal, hacking van telefoonsystemen, etc. Het meest voor de hand liggende is het onderscheppen van wachtwoorden. Vandaar ook het belang om met voldoende uiteenlopende, complexe paswoorden te werken en die op regelmatige basis ook aan te passen en medewerkers op alle niveaus binnen de onderneming hiervan bewust te maken.

Bovendien zijn niet alle cyberincidenten een gevolg van criminaliteit. Denk maar aan een menselijke fout: het openen van een besmette bijlage, het versturen van een mail naar een foute bestemmeling, etc. Ook het systeemfalen van de hardware kan zware gevolgen hebben voor de dagelijkse werking binnen de onderneming.

Cyberincidenten zullen niet snel verdwijnen. Sterker nog: ze zijn aan een opmars bezig.

Beschermen begint bij sensibiliseren

Meer dan 50 procent van de cyberaanvallen op ondernemingen is (on)rechtstreeks te wijten aan een menselijke fout. Cybercriminelen hebben ten slotte maar één verkeerde klik nodig om toegang te krijgen tot kostbare bedrijfsgegevens. Ondernemingen hebben volgens onze experten dan ook een sociale verantwoordelijkheid om hun medewerkers te sensibiliseren. Naast een goede verzekering tegen cyberincidenten, begint het volgens hen nog altijd bij het continu bewust maken en sensibiliseren van de medewerkers over de gevaren.

De eerste stap in dit hele sensibiliseringsproces is om u te informeren (stap 1). Dit kan aan de hand van artikels en blogs waar concrete tips in staan. Een volgende stap is dan om die kennis te delen binnen uw organisatie en om er voor te zorgen dat uw medewerkers zich bewust worden (stap 2) van de gevaren van cyberincidenten en hun eigen rol daarin. Dit kan aan de hand van testmails die u binnen uw onderneming zelf of samen met een dedicated IT-partner uitvoert. Natuurlijk moet dat bewustzijn hand in hand gaan met de beveiliging (stap 3) van het computersysteem van het bedrijf. Een goede firewall, virusscanner en updates zijn daarbij onder andere noodzakelijk. Belangrijk is ook om de toegang te beperken tot strikt noodzakelijke data en op te lijsten welke licenties er zijn evenals welke apparaten toegang hebben (stap 4). Als laatste belangrijke stap gaat u over tot het afsluiten van een cyberverzekering (stap 5) want 100 procent veilig bestaat immers niet. Zo’n verzekering is essentieel voor de bedrijfscontinuïteit na een cyberincident.

Een goede verzekering is het sluitstuk van uw cyberplan

Het belang van een goede cyberverzekering begint door te sijpelen in de brede bedrijfswereld. Sinds 2021 is er namelijk een kanteling te merken volgens onze experten. Er is een versnelling bezig in het aantal ondernemingen dat zich bewust wordt van het belang van een goede cyberverzekering vermits bestuurders binnen bedrijven en organisaties meer en meer begrijpen dat het niet hebben van een cyberverzekering kan aanzien worden als een bestuurdersfout. Dit gezien de enorme impact van cyberincidenten op de organisaties.

De gemiddelde verzekeringskost is vandaag voor het merendeel van de ondernemingen betaalbaar en te vergelijken met de kost van een omniumverzekering van de bedrijfswagen van de zaakvoerder. Dit is minimaal in vergelijking met de enorme schade die uw onderneming kan oplopen. Recente cijfers tonen aan dat een gemiddelde kost van een cyberaanval 441.000 euro bedraagt. Maar volgens onze experten kan de schade bij een grotere onderneming na een cyberincident oplopen tot boven een miljoen euro. Toch weerhoudt dat cybercriminelen er niet van om hun pijlen op de kmo’s te richten. 60 procent van alle cyberaanvallen zijn namelijk op hen gericht.

Volgens onze experten leeft er een verkeerd beeld dat cybercriminelen het meest te winnen hebben bij het hacken van een grote of internationale onderneming. Het is voor een kmo dus even belangrijk om zich te beschermen tegen potentiële hackers. De gedachte dat een klein of middelgroot bedrijf minder interessant is voor cybercriminelen, is verkeerd. Een hacker zal namelijk altijd eerst proberen het systeem van een kleine of middelgrote onderneming binnen te dringen. Dat doen ze met de gedachtegang dat deze ondernemingen een minder robuuste cyberbeveiliging hebben. Het succes zit hem voor cybercriminelen dan vooral in het groot aantal kmo’s met een zwakkere IT-beveiliging of lage bewustwordingsgraad van de medewerkers.

Een cyberverzekering is volgens onze experten te vergelijken met een omniumverzekering van een auto. “U kan dan wel zelf een heel goede chauffeur zijn, maar een ongeval kan ook veroorzaakt worden door derden”, klinkt het.

U bent als onderneming – groot of klein - dus het best verzekerd tegen zo’n cyberincident, maar bepalen welke verzekering u nodig heeft, is niet altijd even vanzelfsprekend. Daarvoor laat u zich dus best bijstaan door een verzekeringsmakelaar die gespecialiseerd is in dat type verzekeringen. De gevolgen van een cyberincident zijn immers niet verzekerd in de meeste verzekeringen die bedrijven hebben zoals een aansprakelijkheidsverzekering, brandpolis, bedrijfscontinuïteit of alle risico’s elektronica. Een aparte cyberverzekering is dus aan de orde.

Een geschikte verzekering verschilt natuurlijk van bedrijf tot bedrijf. Toch zijn er een aantal zaken die in een cyberverzekering zouden moeten terugkomen voor zowel grote als kleinere ondernemingen. Een volledig dekkende cyberverzekering dekt u tegen vier belangrijke pijlers: eigen schade en kosten, winstverlies, aansprakelijkheid en uiteraard cybercriminaliteit. Een bijkomende optie zou rechtsbijstand kunnen zijn. Pas wanneer al deze pijlers terug te vinden zijn in een verzekering, kan u ervan uitgaan dat u volledig gedekt bent.

Eens de verzekering moet tussenkomen, is een samenwerking op vele fronten van belang. Ervaring leert de experten dat eigen IT-diensten, externe IT-partners, legal partners en crisismanagement nauw met elkaar moeten samenwerken om tot een gewenst resultaat te komen.

Cyberincidenten zijn jammer genoeg een onomkeerbaar fenomeen geworden dat niet snel zal verdwijnen. In tegendeel, ondernemingen en organisaties zullen de cyberrealiteit in het bedrijfsbeleid moeten opnemen. Het is voor elke bedrijfsleider geen kwestie meer van ‘of’ zo’n aanval ooit zal gebeuren, maar ‘wanneer’.