Beheer

Security

‘Verantwoordelijkheid IT-beveiliging kun je niet aan IT-afdeling overlaten’

16 december 2011
De verantwoordelijkheid voor IT-beveiliging ligt nu meestal bij de IT-afdeling. Erik van de Velde, vicepresident Technical Insurances bij Marsh Nederland, vindt dat geen goede zaak. “Die verantwoordelijkheid moet gedragen worden door de insurance­manager, de financieel manager en de IT-manager.Je kunt het niet alleen aan IT’ers overlaten.Die melden de schades vaak niet en hebben geen zicht op de financiële gevolgen ervan.”

Marsh is een onafhankelijke makelaar in verzekeringen en risicoadviseur. Dat houdt in dat het bedrijf bij klanten de risico’s analyseert om te bepalen wat hoe verzekerd moet worden en of het sowieso wel nodig is. Marsh creëert ‘op maat’ verzekeringen en advies die passend zijn bij het risico van de klant. Marsh Nederland is onderdeel van het Internationale Marsh&McLennan Companies en richt zich vooral op de grotere organisaties.

Van de Velde is al jaren gespecialiseerd in het verzekeren van technologie, maar als het om IT gaat, gaat het vaak anders dan bij brand- of inbraakverzekeringen. “Wij spreken altijd met de insurancemanager van een organisatie. Dan vragen we wat ze hebben staan, hoe belangrijk dat voor de organisatie is en hoe groot de schade zal zijn als het uitvalt. Weinigen weten dan hoe het zit. Terwijl ze het wél weten voor bijvoorbeeld brand en inbraak. De verantwoordelijkheid voor IT-beveiliging blijkt dan bij IT te liggen.”

Maar alleen in gesprek gaan met de IT-afdeling heeft ook weinig zin. “Die weten vaak weer niet wat de gevolgen voor de organisatie zijn als iets het niet doet en wat de financiële consequenties daarvan zijn. Over het algemeen is het nog zo dat de IT-afdeling weinig verbondenheid heeft met de bedrijfsvoering. Vaak zijn het eilandjes. Marsh Nederland biedt al sinds 1992 verzekeringen voor schade door computervirussen en dergelijke maar wil je hierover optimaal spreken met een klant, dan moet je een team voor je hebben met een insurancemanager, een IT-manager en een financieel manager. Alleen zo krijg je in kaart wat de risico’s zijn bij de uitval van IT. Want een verzekeringsman weet niet wat er staat en dus kan omvallen. En de IT-manager kent vaak de gevolgen niet voor de organisatie en de financiële man weet niet welke verzekeringen zijn en wat precies is gedekt.” Zij zouden ook gezamenlijk de verantwoordelijkheid voor de preventie en de afhandeling van de schade voor IT-beveiligingsincidenten moeten hebben.

Volgens Van de Velde melden ook veel IT-afdelingen beveiligingsincidenten niet. “Misschien dat ze zich ervoor schamen. Het is ook vaak een besloten clubje dat het daardoor ook achter kán houden. Dan gaat het eigen imago vóór het bedrijfsbelang. En als je het niet vertelt, word je er ook niet op afgerekend. Wat ook meespeelt is dat de IT-afdeling minder gewend is commercieel mee te denken met het bedrijfsbelang.”

Van de Velde ziet nu wel een toenemend aantal grote organisaties waarbij de diverse disciplines bij elkaar zijn gezet om precies te kunnen bepalen wat de risico’s zijn bij uitval. “Dat gebeurt deels op ons advies. Veel organisaties hebben er zelf nooit over nagedacht. IT-beveiliging moet iets van de board worden. Dán wordt het wel besproken in de juiste kringen.”

Wat meespeelt is dat de schade door digitale aanvallen vaak onzichtbaar is – de data die zijn gestolen zijn er immers nog en hackers en computervirussen laten niet altijd zichtbare schade achter. “Je ziet wel na een tijdje dat je balans vervormd is door de schade die hierdoor ontstaat. Dan moet jij je als bedrijf verantwoorden bij je aandeelhouders voor de risico’s die je loopt door computercriminaliteit en voor het feit dat jij je daar niet tegen hebt verzekerd terwijl dat wel had gekund.”

Dat ze zich er niet tegen verzekerd hebben, komt volgens Van de Velde onder meer doordat ze de risico’s niet kennen. “Het speelt ook mee dat het management vaak al wat ouder is en IT en zeker computercriminaliteit niet interessant vindt. Maar men is er ook nog van overtuigd dat het hen niet zal overkomen. Dat zij tot dat kleine percentage behoren dat niet aangevallen zal worden.” En zij worden gesterkt in die overtuiging doordat de IT-afdeling de aanvallen zelden meldt.

Maar het gaat langzaam de goede kant op. Meer bedrijven verzekeren zich tegen schade door bijvoorbeeld gegevensdiefstal. “Dat is een gevolg van de grote incidenten die bekend worden, zoals de hack van Sony. Ik zie ook dat de premies gedaald zijn de laatste jaren. Deels is dat te danken aan de grotere concurrentie; er zijn nu meer aanbieders dan een paar jaar geleden. Maar het komt ook doordat de verzekeraars minder schadevergoedingen hebben moeten uitkeren dan ze eerder hadden verwacht. En ze weten nu beter hoeveel een schade kan kosten, doordat er schades zijn geweest. Die waren nodig om dat te leren berekenen. De schade kan erg hoog zijn; je hebt naast eventuele materiële schade, kosten om de data te reconstrueren, extra kosten die je moet maken om door te kunnen werken met behulp van bijvoorbeeld een uitwijkcentra.”

Dekking en voorwaarden van verzekeringen tegen Cyberrisk

In verzekeringsland wordt onder Cyberrisk verstaan: de financiële schade, bestaande uit onder andere:

  • aankoop/herstel van gegevens die verloren/verminkt zijn
  • ontoegankelijkheid van netwerken/systemen/websites
  • extra kosten die gemaakt moeten worden om bedrijfsstagnatie te voorkomen
  • inkomstenderving / bedrijfsschade et cetera

waarbij er geen sprake is van materiële schade aan de apparatuur/hardware.SClB

Schadeoorzaken:

  • computervirussen en wormen;
  • hackers, trojan horses, (D)DOS, e.d.;
  • storingen in randapparatuur zoals koeling;
  • storing in de datacommunicatie;
  • elektromagnetische en elektrostatische storingen.

Deze schadeoorzaken zijn dus lang niet allemaal kwaadaardig/crimineel en het is dan ook onterecht dat cyberrisk en cybercrime als hetzelfde gezien worden. Cybercrime is een onderdeel van cyberrisk.

Verzekeringsmogelijkheden

Op dit moment kan het volgende verzekerd worden:

  • kosten voor verwijderen van virussen;
  • reconstructiekosten voor het herstellen van de gegevens;
  • extra kosten die gemaakt moeten worden om bedrijfsstagnatie te voorkomen;
  • derving van inkomsten;,
  • bedrijfsschade (= vermindering van bruto winst);
  • onderzoekskosten om de oorzaak van de schade vast te stellen;
  • aanschafkosten van nieuwe programmatuur en beveiligingssleutels;
  • pr-kosten;
  • kosten in verband met het onbedoeld in de openbaarheid komen van gegevens.

Preventiemaatregelen

De standaardpreventiemaatregelen die een verzekeringnemer gevraagd wordt te treffen, zijn:

  • Er dient permanent antivirussoftware geïnstalleerd te zijn, die minstens eenmaal per week wordt geüpdatet.
  • Er dient permanent een firewall (hard- en/of software) geïnstalleerd te zijn, die minstens eenmaal per week wordt geüpdatet.
  • Er dient ten minste eenmaal per week een back-up gemaakt te worden, volgens het driegeneratiesysteem, waarbij ten minste 1 back-up zich altijd op een ander adres moet bevinden dan waar het origineel is. Dit laatste is toegevoegd n.a.v. een schade waarbij men netjes back-ups maakte volgens het driegeneratiesysteem. De back-ups werden vervolgens overdag in een koffertje mee naar kantoor genomen. Bij een grote brand onder werktijd is toen het origineel en het koffertje met alle back-ups verloren gegaan, waardoor het bedrijf zo ongeveer alle informatie kwijt was.

Deze standaardmaatregelen staan ook in de polisvoorwaarden en afhankelijk van de bedrijfssituatie kunnen deze uitgebreid/verfijnd worden. Dit kan gebeuren omdat:

  • het een zwaar risico is, wat verzekeringsmaatschappijen alleen accepteren met die aanvullende maatregelen, of
  • het is een standaardrisico, wat vanwege de aanvullende maatregelen een lager risico wordt, waardoor verzekeraars een premiekorting geven.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.