Fraude en cyberrisico’s vragen om actie!
24 april 2017 15:54
“Er zijn twee soorten bedrijven: bedrijven die gehackt zijn en bedrijven die gehackt worden” aldus Robert Meuller, directeur FBI in 2012. In 2016 is maar liefst 82% van de bedrijven minstens een keer slachtoffer geweest van fraude. Het is een stijging van 7%. Daarnaast heeft 85% van de ondervraagden uit het Global Fraud and Risk rapport 2016 het afgelopen jaar te maken gehad met cyberaanvallen of andere veiligheidsrisico’s zoals diefstal van informatie. Schattingen van PwC en TNO wijzen op een schadebedrag van rond de € 10 miljard per jaar. Het zijn dus serieuze risico’s!
Waar hebben we het eigenlijk over?
De term cyberrisico is veelomvattend. Het is goed om dit type risico nauwkeuriger te omschrijven.
Als eerste wordt gedacht aan criminelen die op slinkse wijze informatie van u willen hebben. Voorbeelden zijn de mails die u krijgt, waarmee u wordt verleid om naar een bepaalde site te gaan en daar informatie af te staan. Bijvoorbeeld een mail die lijkt alsof deze door uw bank is verzonden. Maar u kunt ook denken aan virussen of zelfs het hacken van uw informatiesysteem.
Steeds meer bedrijven zijn in hoge mate afhankelijk van het goed functioneren van hun informatiesystemen. Een storing levert direct of indirect schade op. Het niet functioneren is ook een risico waar de onderneming mee te maken heeft. Dit niet-functioneren kan het gevolg zijn van een fout in het systeem, maar ook het gevolg zijn van menselijke handelingen.
Tot slot wordt onder cyberrisico het verlies van informatie verstaan. Informatie kan door een systeemstoring verloren gaan. Bekend zijn de gevallen waarbij een laptop is gestolen en de informatie in de krant komt. Reputatieschade is direct het gevolg. Naast de directe schade voor het bedrijf speelt ook nog de nieuwe wet meldplicht data lekken een rol. In deze wet is vastgelegd dat data lekken moeten worden gemeld aan de autoriteiten persoonsgegevens. Gebeurt dit niet dan zal een boete het gevolg zijn.
Bescherming is dus noodzakelijk
Met deze grote bedreigingen is preventie gewoonweg noodzakelijk. De maatregelen vallen uiteen in drie stappen:
1. Allereerst organisatorische maatregelen
2. Gecombineerd met technische maatregelen
3. En tot slot verzekeren
Daar waar mensen werken, worden fouten gemaakt. Een open en risicobewuste bedrijfscultuur is belangrijk. De organisatie in het algemeen en de individuele mensen moeten fouten bespreekbaar maken en ervan leren. Vooral het “bewust” met risico’s en dus ook met cyberrisico’s bezig zijn, is belangrijk voor een organisatie. En uiteraard moet dit ondersteund worden met een aantal organisatorische maatregelen. Ik denk hierbij aan pre-employment screening van het personeel. Check voordat u uw personeel in dienst neemt de volledige CV inclusief de Verklaring Omtrent Gedrag et cetera.
Maar ook hoe ga je om met bedrijfseigendommen. Mag je zonder enige vorm van controle de laptop van de zaak mee naar huis nemen? Wat gebeurt er als je uit dienst gaat? Wordt de mobiele telefoon ingeleverd? Krijgt de medewerker een nieuwe telefoon, wat gebeurt er dan met de oude telefoon? Idem dito voor papieren dossiers.
Het is prettig als de organisatie wordt ondersteund door de techniek. Heeft iedereen een eigen account op het systeem met een eigen password? Vraagt het systeem regelmatig om een nieuw password? En wordt dit vervolgens niet met elkaar gedeeld? Is het systeem zo goed mogelijk beveiligd tegen virusaanvallen en andere vormen van criminaliteit.
En voor calamiteiten (het restrisico) is verzekeren een optie. De eerste generatie cyberrisk-verzekeringen bestond vooral uit veel voorwaarden en nog meer uitsluitingen. De moderne generatie verzekeringen kent –naast een acceptabele premie- een veel betere dekking. Dit komt ook omdat niet alleen de kennis bij verzekeraars en adviseurs op een veel hoger niveau is gekomen, maar in geval van een calamiteit is er deskundige begeleiding.
De impact van cyberrisico’s op de continuïteit is net zo groot als bij een brand. Daarom verdient het de aandacht! «
George Hoogkamer is directeur van Hoogkamer Assurantiën en Hoogkamer Consultancy te Lisse. George is voorzitter Alverha en bestuurslid bij Bedrijfsleven Bollenstreek
Reacties op dit artikel
Reactie plaatsen? Log in met uw account.