Bij brand bel je de brandweer, maar wat doe je bij een cyberschade?
Geschreven door Tom Dekker op 15 september 2023Cyberrisico's: we lezen er steeds meer over. En we weten dat cyberaanvallen op de loer liggen. Maar hoe krijgen we grip op het ongrijpbare? Tom Dekker, zakelijke verzekeringsexpert bij KRK, schijnt zijn licht op dit nieuwe en zeer reële risico.
Geen referentiekader: ransomware is als een tweede fietsslot
''Cyberrisico's zijn ontastbaar,'' zegt Tom Dekker, zakelijke verzekeringsexpert bij KRK. ''Autoschade, dáárvoor bestaat een referentiekader. Je kunt je er wat bij voorstellen en je kent meestal wel iemand die ermee te maken heeft gehad. Voor cyberaanvallen geldt dat niet. En de ondernemers die ermee te maken hebben gehad, hangen dat niet aan de grote klok. Want dat levert alleen maar reputatieschade op.''
Veel ondernemers denken daarom dat het wel goed zit, zeker wanneer ze werken met een IT-leverancier die alles in de cloud heeft staan. Maar volgens Tom wanen velen zich onterecht veilig: ''Een ransomwareaanval is net een tweede fietsslot: als jij je fiets op slot zet en een hacker doet er een tweede slot omheen, hoe kun jij dan nog je fiets gebruiken?''
Risico's in kaart: Eerst kijken naar de risico's, verzekeren komt pas op de laatste plaats.
De eerste stap richting een goede beveiliging is het in kaart brengen van de risico's. Tom werkt daarvoor met een externe expert die een cyberscan voor zijn klanten uitvoert. ''In zo'n geval gaan we met de ondernemer om de tafel om te bekijken hoe deze de cyberzaken momenteel geregeld heeft. Tijdens een sessie van twee uur komen veel zaken aan bod.''
Allereerst wordt het bewustzijn onder medewerkers onder de loep genomen. ''Dit kun je bijvoorbeeld verbeteren door multifactorauthenticatie of een wachtwoordbeleid in te voeren. Ook kijken we naar rollen en rechten. Kan iedereen bij alle documenten van het bedrijf? Dat moet meestal anders. Documenten als loonstroken moeten enkel toegankelijk zijn voor mensen die daar echt mee werken.''
Vervolgens is het tijd om de techniek onder de loep te nemen. Tom vertelt dat de focus hierbij vaak ligt op het beveiligen van de thuiswerkplek: ''Daarover dien je goede afspraken te maken met medewerkers. Je wilt dat zij privé en werk zoveel mogelijk scheiden op computers.'' Daarnaast komt de back-up aan bod, die vaak een schijnveiligheid creëert: ''Bedrijven denken vaak dat het goed zit wanneer zij middels een back-up een à twee weken terug in de tijd kunnen. Maar ik heb weleens gezien dat een hacker een jaar eerder al een zaadje had geplant in de software. Als je in zo'n geval alleen op de back-up vertrouwt, zit je alsnog met 50 weken aan problemen.''
Andere elementen die tijdens de scan besproken worden? ''We bespreken wetgeving, waarbij de Algemene Verordering Persoonsgegevens en bewaartermijnen veel aandacht krijgen. Ook bekijken we of de ondernemer een noodprocedure heeft bepaald. Bij brand bel je de brandweer, maar wat doe je bij een cyberaanval? Dat moet op papier staan. Ten slotte praten we over ketenveiligheid. Daarbij analyseren we de impact en risico's van leveranciers. Als zij bijvoorbeeld met een datalek te maken krijgen, heeft dit zijn weerslag op het bedrijf van de ondernemer. We moeten dus weten hoe het netwerk en de bedrijfsprocessen van leveranciers in elkaar steken.''
Van vragen naar maatregelen: goed voorbereid op een cybercalamiteit
Ter afsluiting zet Tom enkele vragen op een rij die ondernemers tijdens een scan kunnen verwachten:
- ''Hoe sterk is het wachtwoordbeleid?''
- ''Wat gebeurt er met de gegevens en rechten van mensen die uit dienst gaan?''
- ''Hoe zijn back-ups geregeld?''
- ''Is alle software up-to-date?''
- ''Wie is verantwoordelijk voor website-updates?''
- ''Wordt papier dat niet meer nodig is met regelmaat vernietigd?''
- ''Wat is het beleid omtrent vertrouwelijke documenten?''
- ''Vergrendelen medewerkers hun computers?''
Team van specialisten
De antwoorden op deze én meer vragen vormen de basis voor een helder rapport. Maar wat volgt er dan? ''Ik bespreek altijd eventuele vervolgstappen met de ondernemer,'' zegt Tom. ''Een goede maatwerkpolis kan bijvoorbeeld veel rust geven. Deze zorgt dat een team van specialisten uitrukt bij calamiteiten. Als de zaken uit de bocht vliegen, is het prettig om te weten dat experts je bedrijf snel op weer op koers brengen!''