Een blik op morgen
Cyberbeveiliging, dè uitdaging voor elk bedrijf. Wat zijn de antwoorden uit de verzekeringssector?
Dubbelinterview met Benoît-Laurent Yerna (Chief Risk Officer bij Ethias) en Tom Van Britsom
(Manager Business Development & Innovation bij Vanbreda) over cybercriminaliteit
Uit de meest recente Global Risk Management Survey van Aon blijkt dat het bedrijfsleven cybercriminaliteit vandaag als het gevaarlijkste risico beschouwt. Is de cybercriminaliteit explosief gestegen sinds de pandemie en is er een evolutie in de modus operandi?
Tom Van Britsom: Wij stellen sowieso vast dat er een stijging is van de types van cybercriminaliteit. Daarnaast zien we dat cybercriminelen steeds professioneler worden. Onze persoonlijke ervaring leert dat ze steeds inventiever en creatiever worden in hun aanpak. Daarnaast blijft de vaststelling dat 90 % van alle cyberincidenten eigenlijk altijd beginnen bij een menselijke handeling: iemand die klikt op een bepaald bestand, iemand die een document opent, iemand die doorklikt op een link. Het is voor bedrijven meer dan ooit noodzakelijk om heel hard in te zetten op het sensibiliseren, trainen en opleiden van hun medewerkers.
Benoît-Laurent Yerna: We zien inderdaad dat de dreiging van cybercriminaliteit van jaar tot jaar echt blijft toenemen. Zoals Tom al zei, gaan deze criminelen alsmaar creatiever en professioneler te werk. Je moet weten dat tal van aanvalsmethodes historisch gezien afkomstig zijn van cyberlegers zoals die uit Rusland en China. Vervolgens hebben maffiagroepen zich deze methodes eigen gemaakt om ze vooral voor afpersingsdoeleinden in te zetten. Anders gezegd, het gaat al lang niet meer om de Amerikaanse teenager in boxershort die het Pentagon of de NASA probeert te hacken.
De lockdown en het telewerken door de pandemie hebben ertoe bijgedragen dat er meer digitaal wordt geconsumeerd en gewerkt. Onvermijdelijk heeft dit de aantrekkingskracht vergroot van het kanaal waarlangs criminelen onze ondernemingen kunnen aanvallen.
De meest frequente cyberincidenten zijn ransomware-aanvallen en identiteitsdiefstallen. Identiteitsdiefstal is een voorwaarde voor een aanval met veel impact, zowel op het imago als financieel.
Het verzekeringsaanbod tegen cybercriminaliteit voor particulieren is vandaag beperkt. Hoe komt dit? Hoe zien jullie dit evolueren, zowel in aanbod als in dekking?
BLY Bij de beschikbare verzekeringspolissen tegen cyberrisico’s is het echt belangrijk een onderscheid te maken tussen de stille cyberverzekering en de actieve cyberverzekering. Met stille cyberverzekering bedoelen we de dekking van cyberrisico’s door de klassieke BOAR-verzekeringsovereenkomsten, iets waar de verzekeringsondernemingen niet altijd van op de hoogte zijn (en de verzekerde nog minder). Het is belangrijk om te beseffen dat wat niet uitgesloten is, soms gedekt wordt.
Volgens mij werken twee hoofdredenen de wat beperktere dekking voor particulieren in de hand: één reden situeert zich bij de consument, de andere bij de verzekeraars. Wat de consument betreft: particulieren zijn zich niet altijd bewust van het risico, in tegenstelling tot ondernemingen. De gevolgen zijn soms ook niet zo groot. Daarnaast moeten verzekeringnemers goed beseffen welke verzekering ze precies sluiten. De algemene voorwaarden zijn helaas nog niet altijd even duidelijk over de prestaties en/of financiële vergoedingen. Verder is een cyberverzekering voor de consument waarschijnlijk ook geen prioriteit in zijn globale verzekeringspakket, vergeleken met pakweg een brandpolis of autoverzekering. Wat de verzekeraars betreft, mag men niet vergeten dat het verzekeringsmechanisme berust op de beoordeling en onderlinge verdeling van het risico met het oog op het vaststellen van een premiebedrag. Een grondige kennis van de gegevens is daarbij onmisbaar. In dat kader stellen we vast dat het vaak moeilijk is om op betrouwbare wijze het financiële risico van de dekkingen voor particulieren in te schatten of te voorspellen. De bedreigingen evolueren namelijk snel en kunnen plots veel meer mensen treffen.
Dit soort verzekering is echter bijzonder populair aan de andere kant van de Atlantische Oceaan, waar het aantal verbonden apparaten zeer hoog ligt. Een trend die zich ook bij ons doorzet, zodat de behoefte aan een cyberverzekering zich steeds sterker zou kunnen laten voelen.
Er zijn verschillende pistes om dit product aantrekkelijker te maken. Eén oplossing zou kunnen zijn om het aan andere verzekeringen te koppelen - met duidelijke algemene voorwaarden - in plaats van standalone producten aan te bieden. Deze verzekering zou ten minste drie aspecten moeten dekken. Ten eerste preventie, dus hulp aan de particulier om zijn digitale omgeving maximaal te beveiligen. Ten tweede het verzekeringsaspect, met de betaling van de verschuldigde financiële vergoedingen. En ten derde bijstand, met voornamelijk hulp bij gegevensherstel, inspanningen op het vlak van e-reputatie, enz.
TVB: Het verzekeringsaanbod voor particulieren is vandaag inderdaad eerder beperkt, zeker in vergelijking met het aanbod dat ongeveer al tien jaar bestaat voor ondernemingen. Tijdens de voorbije tien jaar is het aanbod aan cyberverzekeringen overigens enorm geëvolueerd. Verschillende verzekeraars boden een product aan vanuit verschillende invalshoeken en zijn meer naar elkaar toe gegroeid. Waar een bepaalde strekking van verzekeraars een aanbod deed vooral vanuit eigen schade, benaderden anderen het product vanuit de aansprakelijkheidskant. Dat maakt dat er vandaag de dag een product op de markt is dat die uiteenlopende invalshoeken combineert.
Op de particuliere markt is de allereerste voorwaarde natuurlijk dat de potentiële klant het cyberrisico moet erkennen en zich ertegen wil verzekeren. Die bewustwording komt langzaam maar zeker op gang. Op die particuliere markt zijn vandaag ook minder spelers aanwezig. Bovendien vullen zij hun dekkingen elk op een andere manier in. De focus ligt daarbij nu op eigen schade. Gevoelsmatig verwacht ik op die markt wel een groei, met name via een uitbreiding van waarborgen, bijvoorbeeld in bijstand en aansprakelijkheid.
Die groei hangt vanzelfsprekend af van wat de klant wil afsluiten en wat hij daarvoor wil betalen. Het is met andere woorden een product dat ingeburgerd moet geraken bij de particulier. Anderzijds is het aan de verzekeringswereld om een product te creëren dat voldoet aan de verwachtingen van de particulier. Het is op dat vlak nog zoeken naar het juiste evenwicht.
De particulier lijkt zich nog altijd onvoldoende bewust van de gevaren van cybercriminaliteit? Heeft de verzekeringswereld een rol te spelen in preventie?
TVB: Ik denk wel dat particulieren zich meer en meer bewust zijn van de bestaande cyberrisico’s. Via verschillende kanalen worden zij er namelijk mee geconfronteerd. Via hun werkgever aan de hand van trainingssessies om hen cyberbewust te maken. Maar ook uit eigen ondervinding: iedereen heeft intussen in zijn privéleven wel al phishingberichten ontvangen of berichten van een fake adres die hem tot een of andere actie willen aanzetten en van zijn goedgelovigheid willen gebruikmaken.
BLY
Uiteraard hebben verzekeraars een rol te spelen op het vlak van preventie, sensibilisering en de bescherming van de consument. Maar hoe dan ook spreken de statistieken voor zich en kende het aantal berichten in de media over cyberincidenten de afgelopen maanden een vermenigvuldiging. Volgens mij is het essentieel dat de verzekeringssector voorziet in een behoefte bij de consument. Er zijn trouwens al sensibiliseringscampagnes over de risico’s van phishing gevoerd, met name door het Centrum for Cyber Security.
Tom Van Britsom
Manager Business Development & Innovation bij Vanbreda Risk & Benefits
Een onderneming moet niet alleen haar IT-niveau opkrikken en haar verdedigingslinie tegen cyberrisico's optimaliseren. Het is ook absoluut noodzakelijk dat zij haar digitale infrastructuur aan een externe blik onderwerpt. Zo kan ze de cruciale informatie die ethische hackers kunnen verstrekken in haar aanpak benutten.
Het aanbod voor ondernemingen is dus veel ruimer. Hebben zij hun risicoprofiel ten aanzien van cyberaanvallen moeten aanpassen tijdens de afgelopen jaren?
BLY Het verschil in aanbod voor particulieren versus ondernemingen valt te verklaren door het verschil in maturiteitsniveau en in risicoblootstelling, soms ook om regelgevingsredenen. Dat is bijvoorbeeld het geval voor de financiële sector en de verzekeringssector, waarvoor de Nationale Bank van België twee circulaires inzake IT-beveiliging heeft uitgegeven. De GDPR-beperkingen en het streven om naar de cloud te migreren hebben ondernemingen in bepaalde sectoren ertoe gebracht om zich beter tegen de risico’s te verzekeren. Het beheer van enorme databanken heeft in het algemeen een grote invloed gehad op het risico op gegevenslekken, en bijgevolg op reputatieschade, waartegen men zich moet wapenen. Het is dus duidelijk dat de ondernemingen hun risicoprofiel hebben bijgestuurd. Ze hebben veel meer ingezet op preventie en de analyse van hun potentiële zwakke plekken. Verzekeringsmaatschappijen houden in hun berekeningen van premies en aangeboden dekkingen voor ondernemingen meer en meer rekening met de risicoanalyse en met een doorgedreven screening om het maturiteitsniveau van de onderneming te bepalen, zowel qua preventie als qua reactievermogen. In dat kader is het bedrijfscontinuïteitsplan cruciaal. Verder mogen we niet vergeten dat ook de media een zeer belangrijke rol hebben gespeeld in de bewustmaking over het cyberrisico.
TVB: Qua risicoprofiel heeft Covid-19 zeker het een en ander veranderd voor bedrijven. Naast het feit dat bedrijven sowieso almaar digitaler worden, heeft de pandemie alles nog versneld. Nemen we het voorbeeld van een speelgoedwinkel met tien vestigingen en een onlineverkoop die goed is voor 50 % van de omzet. Terwijl enige tijd terug – zonder webshop - het wegvallen van één vestiging zou neerkomen op een omzetverlies van 10 %, zou nu de helft van de omzet wegvallen in geval van een cyberincident. Het risicoprofiel van die speelgoedwinkel is met andere woorden sterk veranderd. Daarnaast zijn sommige ondernemingen zich op andere activiteiten gaan toeleggen als een gevolg van corona. Ook dat draagt bij tot een gewijzigd risicoprofiel.
Heel wat werknemers werkten bij het begin van de pandemie tijdens hun telewerk op persoonlijke pc’s. Heeft dit een invloed gehad op het cybergevaar?
TVB: Zodra een werknemer is ingelogd via een beveiligde VPN-verbinding, is er op dat vlak weinig tot geen probleem. Anderzijds wordt de impact van telework zwaar onderschat. Collega’s delen op kantoor snel de boodschap wanneer een phishingmail de ronde doet. Bij telework is die deelreflex veel kleiner. De sociale controle is met andere woorden geringer bij telework dan in een bedrijfsomgeving. We kunnen niet genoeg blijven benadrukken hoe belangrijk het is om medewerkers bewust te maken van digitale criminaliteit. Hen handvatten aanreiken om continu te leren wat phishing is, hoe het fenomeen te herkennen en wat te doen wanneer zij mogelijke cybercriminaliteit ontdekken. De IT-organisatie en IT-structuur van een bedrijf mogen dan state of the art zijn, de menselijke factor is nog altijd de weakest link in het hele cyberverhaal.
BLY We moeten twee zaken onderscheiden. We verliezen het al eens uit het oog, maar in februari 2020 werden we haast van de ene op de andere dag verplicht om van thuis uit te werken. Tal van ondernemingen waren hier min of meer op voorbereid, met medewerkers die al deeltijds telewerkten en daar dus al enigszins vertrouwd mee waren. Maar dat neemt niet weg dat een groot deel van de economie plots moest overschakelen naar een totaal andere context. Die omschakeling moest samen met de IT-teams in goede banen worden geleid, zowel qua beveiliging als qua materiaal. De ondernemingen hadden dan ook niet altijd de tijd om hun mensen op te leiden met betrekking tot hun materiaal en de nieuwe tools die ze moesten hanteren. Bovendien ziet de indeling van een werkdag er sindsdien helemaal anders uit. De trend van non-stop digitale consumptie maakt preventie een stuk moeilijker dan in een omgeving waar informatie van mond tot mond binnen de onderneming circuleert. Zoals Tom al zei, is permanente vorming over preventie in het licht van het gevaar van cyberaanvallen absoluut noodzakelijk.
Hoeveel ondernemingen hebben vandaag een verzekering gesloten tegen cyberaanvallen? Zijn kmo’s een gemakkelijker doelwit? Is het voor een kmo wel interessant om zo’n verzekering te sluiten?
TVB: Binnen Vanbreda Risk & Benefits zijn we vandaag tien jaar bezig met cyber insurance. Ik meen te kunnen bevestigen dat bij ieder van onze klanten het cybergevaar en een verzekering tegen die dreiging al op de tafel heeft gelegen. In dat licht stellen we vast dat 25 % van onze klanten een cyberpolis heeft gesloten. Die hebben hun nut zeker al bewezen: op één vierde van de cyberpolissen is de voorbije tien jaar al schade genoteerd. Vanuit het oogpunt van de bedrijfscontinuïteit is het eigenlijk meer dan cruciaal dat iedere onderneming een cyberpolis sluit. Een cyberverzekering moet eigenlijk een basisbegrip worden voor elk bedrijf. We zien een enorme differentiatie naargelang van de sector waar men actief is. Zoals Benoît-Laurent al aanhaalde, denk ik dat vandaag nagenoeg alle ziekenhuizen al ingestapt zijn, puur qua preventie en puur qua noodzaak om de persoonsgegevens waarover ze beschikken te beschermen. Bedrijven die beschikken over kritieke privé-informatie en heel afhankelijk zijn van digitalisatie, hebben vandaag zo’n polis.
In de kmo-sector hebben we bedrijven tijdens de voorbije jaren langzaam maar zeker zien instappen, in verschillende fases. Zo had je eerst de kmo’s die kwamen aankloppen nadat ze te maken kregen met een schadegeval. Vervolgens deed de GDPR-wetgeving heel wat kleinere en middelgrote ondernemingen het nut inzien van de bescherming van gegevens. Vandaag zien we elke dag wel een nieuwe kmo in het cyberverzekeringsverhaal instappen.
Soms lees je wel eens dat cybercriminelen net die ondernemingen in het vizier nemen die een cyberverzekering hebben. Net omdat de kans op betaling van “losgeld” dan groter is. Weerhoudt die gedachtegang ondernemingen ervan om een cyberverzekering te sluiten?
TVB: Ik denk dat eigenlijk net het tegenovergestelde waar is. Het klopt inderdaad dat ransomware verzekerd kan zijn binnen een cyberpolis. Maar het zijn net de bedrijven met een cyberpolis die op het moment dat ze te maken krijgen met een cyberschadegeval een beroep kunnen doen op een hulplijn. Experten worden dan ingeschakeld die dagelijks bezig zijn met alles wat cybersecurity betreft, die weten welke decryptiesleutels er op de markt zijn, die weten welke vormen van hacking er op de markt zijn en die heel vaak ook al weten hoe ze een bepaalde hacking, een bepaalde encryptie moeten ontsleutelen. Bedrijven met een cyberpolis hebben dus net een enorme voorsprong op zowel het vlak van assistentie als reparatie ten opzichte van zij die geen polis hebben. Stel dat er uiteindelijk toch losgeld moet betaald worden, dan biedt de cyberpolis ook op dat vlak een professionele kennis en meerwaarde. Ook daar kan een bedrijf dan bogen op de kennis van mensen die dagelijks geconfronteerd worden met de criminelen aan de andere kant. Het betalen van een losgeld is overigens de allerlaatste stap.
BLY Volgens mij weten cybercriminelen niet noodzakelijk welke ondernemingen een dergelijke verzekering hebben. Ik geloof dan ook niet echt dat een onderneming door een cyberverzekering te nemen een doelwit voor misdadigers kan worden. Bovendien herinner ik er toch ook nog even aan dat losgeld betalen in veel landen in principe illegaal is. Er zou daarentegen wel een verband kunnen bestaan tussen de mate waarin ondernemingen in de media uitschreeuwen hoe fantastisch hun IT-beveiliging is en hun risico op cyberaanvallen. Het zijn namelijk dergelijke bedrijven waar criminelen hun pijlen op richten.
Een onderneming is in deze digitale wereld nooit een stand alone. Hoe houden verzekeraars bij hun riskmanagement rekening met de mate waarin leveranciers en/of klanten van een bepaalde onderneming zelf inzetten op cyberveiligheid?
BLY Het is belangrijk de onderneming grondig te analyseren, met aandacht voor haar activiteiten en omvang, de aard en het volume van de gegevens die ze verwerkt en haar IT-infrastructuur en -beveiliging. Daarnaast moet men goed nagaan of ze informaticagewijs het geheel van haar processen goed begrijpt, met inbegrip van haar verwerkers en leveranciers. Of ze de interactiviteit van de informaticasoftwares bij elke stap goed vat. Het gaat erom goed te begrijpen waar de potentieel zwakke schakels in de keten zitten. Eigenlijk komt dit neer op een soort uitgebreide vragenlijst die verzekeringsmaatschappijen kunnen hanteren waarin ze dan naargelang van de verkregen antwoorden een reeks vakjes aankruisen. Zo kunnen ze ook de premie bepalen.
TVB: Het riskmanagement van verzekeraars ten aanzien van het cybergevaar is de afgelopen tien jaar sowieso sterk gewijzigd. Hun kennis en ervaring in die materie heeft gemaakt dat de vragen die ze stellen alvorens een risico te onderschrijven enorm geëvolueerd zijn. Ze houden daarbij niet alleen rekening met het risicoprofiel van de te verzekeren onderneming maar ook met dat van haar leveranciers en van haar klanten. De mate waarin de bedrijfscontinuïteit van een onderneming afhangt van de digitale hygiëne van hetzij haar klant dan wel haar leveranciers is cruciaal bij de evaluatie van het te verzekeren risico. Verzekeraars geven met andere woorden ook meer en meer het advies om bij het opstellen van contracten rekening te houden met de mate waarin klanten en/of leveranciers zelf rekening houden met en opgewassen zijn tegen het cybergevaar.
BLY In dit kader is het essentieel dat verzekeringsmaatschappijen een beroep kunnen doen op een IT-bedrijf, intern (zoals bij Ethias) of extern, om deze voorafgaande inschatting van het risico en van de te verzekeren informaticastructuur te kunnen uitvoeren. We stellen op de markt trouwens vast dat maatschappijen steeds vaker partnerships sluiten of een beroep doen op consultancy voor die voorafgaande risico-inschatting en voor ondersteuning bij de opstelling van een risicocartografie. Betere preventie en een beter riskmanagement zullen uiteindelijk bijdragen tot een verzekering die vanuit financieel oogpunt steeds toegankelijker wordt. Onze dochteronderneming Ethias Services beschikt over de competenties en het netwerk om die preventie en cartografie te organiseren.
TVB: Zoals een brandverzekeraar vandaag gaat kijken in welke mate een onderneming of kmo bijvoorbeeld brandwerende deuren en materialen heeft om het risico op brand in te schatten, zal de cyberverzekeraar – met de hulp van IT-specialisten - de IT-security van een bedrijf volledig in kaart brengen.
Benoît-Laurent Yerna
Chief Risk Officer bij Ethias
Een cyberverzekering is voor de consument waarschijnlijk geen prioriteit in zijn globale verzekeringspakket, vergeleken met pakweg een brandpolis of autoverzekering. Wat de verzekeraars betreft, mag men niet vergeten dat het verzekeringsmechanisme berust op de beoordeling en onderlinge verdeling van het risico met het oog op het vaststellen van een premiebedrag. Een grondige kennis van de gegevens is daarbij onmisbaar. In dat kader stellen we vast dat het vaak moeilijk is om op betrouwbare wijze het financiële risico van de dekkingen voor particulieren in te schatten of te voorspellen. De bedreigingen evolueren namelijk snel en kunnen plots veel meer mensen treffen.
Zijn ondernemingen – en in het bijzonder de kleine en middelgrote - volgens jullie algemeen voldoende uitgerust op IT-vlak om het hoofd te bieden aan mogelijke cyberaanvallen? Is er een schaarste op de markt aan juiste IT-profielen?
BLY Het is duidelijk dat er een sterke vraag is naar experten in beveiliging en cyberverdediging. We stellen ook vast dat steeds meer hogescholen of universiteiten dergelijke opleidingen aanbieden. Een goede dialoog tussen de academische sector en de privésector is hierbij cruciaal om van elkaar te leren waar de noden zich situeren. De ondernemingen worden met een soort inflatie geconfronteerd voor deze niet altijd gemakkelijk te vinden profielen. In de praktijk betekent dit impliciet dat het voor kmo’s moeilijk is om zulke profielen in huis te halen. Bijgevolg zijn er een hele reeks consultants die zich tot kmo’s richten om hen op dat vlak te helpen.
TVB: Ik kan alleen maar bevestigen dat er meer en meer nood is aan dergelijke profielen. We merken dat bedrijven inspanningen doen op het vlak van cybersecurity. Anderzijds zitten de hackers ook niet stil. We kunnen spreken over een soort van continue wedloop. Ondernemingen moeten blijven investeren en continu oog blijven hebben voor hun zwakste factor, namelijk het menselijk aspect.
Het Centrum voor Cyber Security in België coördineert en waakt over de toepassing van de Belgische cyberveiligheidsstrategie? Is er een rol weggelegd voor verzekeraars, eventueel in de vorm van een publiek-private samenwerking?
TVB: Het is intussen duidelijk wat het nut is van een cyberverzekering voor een onderneming en welk voordeel bedrijven eruit halen wanneer ze met een schadegeval te maken krijgen. Misschien kan het nut en het belang van zo’n verzekering vandaag nog meer worden onderstreept door de overheid? Qua waarschuwing is er - terecht - meer en meer aandacht voor het cybergevaar. De informatie over cyberverzekering blijft daarbij nog achter. Nochtans heeft het recente verleden aangetoond dat een samenwerking tussen overheid en privé zeer belangrijk kan zijn. Ik denk maar aan de zware overstromingen tijdens de maand juli van 2021.
BLY Het Centrum voor Cyber Security België (CCB) heeft twee hoofdopdrachten: het publiek in het algemeen sensibiliseren en hulp verlenen aan wie door een aanval getroffen wordt. Het heeft een hele reeks tutorials over preventie opgesteld die iedereen mag gebruiken. Het CCB verschijnt trouwens steeds vaker in de media en krijgt hierdoor een mooie zichtbaarheid. Zijn rol vormt volgens mij een aanvulling op wat de verzekeraars doen. In die context moet ook de rol van de Cyber Security Coalition worden benadrukt, die onder meer als kennisdelingsplatform fungeert voor cybergevaren en waarbij trouwens ook veel verzekeringsmaatschappijen en Assuralia aangesloten zijn.
Is er een rol weggelegd voor ethische hackers in cyberveiligheid?
TVB: Hun rol is cruciaal. Naast het verbeteren van zijn IT-niveau en het optimaliseren van zijn defensiesystemen tegen het cybergevaar is het voor een bedrijf een absolute must om zijn digitale infrastructuren te laten checken door externen. Om vervolgens aan de slag te kunnen gaan met de cruciale informatie die deze ethische hackers verschaffen.
BLY Ik ben het 100 % eens met wat Tom zegt. Samenwerken met ethische hackers maakt je beter bewust van de risico’s die je loopt. Elke onderneming – groot of klein – zal op een dag het slachtoffer worden van een aanval, of die nu klein- of grootschalig is. Het is door zich voor te bereiden en in rustige tijden de eigen situatie en maturiteit op informaticavlak te analyseren dat een onderneming optimaal zal kunnen reageren als bij een aanval de storm losbarst.