Wanhoop niet, cyberrisico’s blijken toch wel beheersbaar
Auteur: Job Kuijpers, CEO en oprichter van Eye Security
Dát cybercriminaliteit enorme schade kan toebrengen is bekend. Bij een grote onderneming is de schade door een cyberaanval al gauw 3,5 miljoen euro, in het mkb 350.000 euro. Vergelijkbaar met de schade bij een brand, maar met als grote verschil dat de kans dat een bedrijf het slachtoffer wordt van cybercriminaliteit wel duizend keer zo groot is: tussen de één op de vijf en één op de acht bedrijven wordt het slachtoffer van cybercriminaliteit, terwijl slechts één op de 8.000 bedrijven brandschade oploopt. En – ook dat mag bekend worden verondersteld – cybercriminelen worden steeds gewiekster, terwijl veel bedrijven niet weten hoe ze aanvallen moeten weren, zodat het risico op schade maar blijft oplopen. Geen wonder dat steeds meer verzekeraars zich terugtrekken uit de markt voor cyberverzekeringen: het is voor hen geen doen zo.
Deze problemen spelen vooral in het midden- en kleinbedrijf. Grote bedrijven blijven uiteraard ook niet buiten schot van cybercriminelen – berichten over multinationals die het slachtoffer zijn geworden van aanvallen bereiken zelfs vrijwel dagelijks de media. Maar zij hebben door hun omvang nu eenmaal nog altijd betrekkelijk veel mogelijkheden tot hun beschikking om beveiligingsmaatregelen te nemen. Meer dan mkb-bedrijven in elk geval. Mkb-ondernemers lopen zodoende onevenredig veel cyberrisico's.
Cyberbrand
Eye Security is ruim twee jaar geleden opgezet om die risico's die het midden- en kleinbedrijf loopt tot een minimum te beperken. Anders dan de verzekeraars die deze markt de rug toekeren, wil Eye Security zich juist volop richten op het beheersbaar en verzekerbaar maken van cyberrisico’s. En wel met een zo laagdrempelig mogelijk aanbod, dat ook aantrekkelijk is voor bedrijven die niet de middelen hebben om de meest geavanceerde beveiligingssoftware te installeren en het geld om de schade tot een minimum te beperken als zich een cyberaanval voordoet moeilijk kunnen missen. Dus wanhoop niet, cyberrisico's blijken toch wel beheersbaar!
Eye Security biedt in essentie twee diensten: preventief (software en dienstverlening daaromheen) en curatief (de maatregelen die nodig zijn om schade te beperken). Om terug te komen op de vergelijking tussen brandschade en schade door cybercriminaliteit: we leveren niet alleen beveiligingscamera's en sprinklers, maar we helpen ook bij het blussen en bij het herstel van opgelopen brandschade.
Wat de beveiligingscamera's en sprinklers betreft: hieronder valt de installatie – binnen 24 uur – van zeer geavanceerde software waarmee je kantoornetwerk wordt gemonitord, cyberaanvallen worden gedetecteerd, direct wordt ingegrepen bij incidenten (‘incident response’) en de training van medewerkers. En mocht dan toch een 'cyberbrand' uitbreken, mag een bedrijf dat zich bij ons heeft verzekerd erop rekenen dat we hulp bieden bij het blussen en de wederopbouw. Bij het herstel van data, dus, en bij reparatie van software, bij maatregelen om de schade door verstoring van de bedrijfsvoering ongedaan te maken, om de reputatieschade te beperken, om de aanval bij de Autoriteit Persoonsgegevens aan te melden en om advocaten in te schakelen – om de belangrijkste schadeposten te noemen waartegen wij verzekeren.
CFO verantwoordelijk
Anders geformuleerd: wij bieden een verzekering en een pakket aan diensten waarmee de risico's op schade door cybercriminaliteit van de balans kunnen worden gehaald. Dat zou de financieel directeur of CFO moeten aanspreken. Tenslotte is hij degene die binnen zijn onderneming verantwoordelijk is voor risicomanagement, en dus de aangewezen persoon om te beslissen hoe het beste kan worden opgetreden tegen cyberschade – en niet het hoofd IT of de CIO, zoals nog wel eens wordt gedacht.
De urgentie om als CFO die sleutelrol in de strijd tegen criminaliteit te pakken, neemt bovendien met de dag toe. Niet alleen vanwege de steeds grotere risico's, maar ook omdat de wet- regelgeving die bedrijven aanzet om maatregelen te nemen tegen cybercriminaliteit steeds strenger wordt. Sinds de invoering van de Algemene verordening gegevensbescherming in 2018 (AVG oftewel GDPR) kan een bedrijf dat steken heeft laten vallen bij het aanleggen van een verdedigingslinie tegen cyberaanvallen al tegen een boete oplopen.
Straks kunnen daar nog extra boetes bijkomen In mei 2022 accordeerde het Europese parlement de nieuwe NIS2-richtlijn, die (bijna) alle bedrijven vanaf 2023 gaat verplichten om de nodige cybersecurity-maatregelen te nemen. Ook veel mkb-bedrijven: grootte speelt geen rol, de aard van de activiteiten wel. Het gaat om bedrijven die actief zijn in 'essentiële sectoren', te weten: transportsector, gezondheidszorg, bankensector, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. Daarnaast vallen bedrijven die zakendoen met deze bedrijven straks onder de nieuwe NIS2-richtlijn.
Houden de betreffende bedrijven zich daar niet aan, dan lopen ze het risico op een boete die kan oplopen tot 2 procent van hun omzet (met een maximum van 10 miljoen euro). Dat risico is voor een bedrijf dat in gebreke blijft, veel groter dan bij de AVG. Handhaving van de AVG vindt in de praktijk op basis van een ex post-sanctiebeleid plaats, wat inhoudt dat er pas controles volgen bij een bedrijf of instelling als er serieuze aanleiding is om te verwachten dat er inderdaad een datalek wordt aangetroffen. NIS2 wordt straks gehandhaafd op basis van een ex ante-sanctiebeleid: een proactief beleid waarbij controles steekproefsgewijs worden uitgevoerd en niet noodzakelijkerwijs als reactie op een klacht of incident. Een reden te meer om een cyberbrand te voorkomen.