“Een klant van mij heeft een architectenbureau, juist in een drukke periode werden ze gehackt. Omdat ze alles digitaal doen, konden ze dagenlang niet meer tekenen en niet meer rekenen. Ze zaten met tien man met de handen over elkaar, dan heb je het qua cybercrime schade alleen nog maar over manuren en herstelkosten. Als er ook nog gevoelige gegevens zouden zijn gelekt, was het probleem nog veel groter.”
Mike Reuser is Verzekeringsspecialist bij T&W in Tilburg, hij is gespecialiseerd in cybercrime. In dit interview vertelt hij alles wat je moet weten over de verzekering tegen cybercrime. Volgens onderzoek neemt het probleem al jaren toe, versneld tijdens COVID: “Criminelen blijven ook meer thuis, en ze vervelen zich natuurlijk ook.”
Waarom zou je je voor cybercrime verzekeren?
“Cybercrime is een probleem omdat het veel méér schade veroorzaakt voor een organisatie dan je in eerste instantie in de gaten hebt. Je organisatie kan lang stil blijven liggen, kijk maar naar de Universiteit van Maastricht die in eind 2019 werd getroffen door ransomware. Duizenden studenten en medewerkers konden wekenlang niets doen, uiteindelijk hebben ze bijna twee ton losgeld betaald. Later ontdekte men dat er nog veel meer schade was: bestanden die weg waren of niet meer waren gekoppeld.”
“Een bedrijf met veel fysieke processen heeft een enorm probleem als ze door cybercrime worden getroffen. Als de linkjes tussen alle producten en processen niet meer duidelijk zijn, wordt het een grote puzzel. Vaak ligt de focus bij een hack op het fysieke stuk, maar het ontbreken van data is een veel groter probleem, als artsen niet meer bij hun documenten kunnen bijvoorbeeld. De indirecte schade kan dus veel groter zijn, maar die is moeilijker te berekenen.”
“En dan hebben we het nog niet eens over de imagoschade, maar die is dan ook niet te verzekeren. Je wordt door je verzekeraar wel geholpen op het gebied van PR, om het probleem goed te communiceren en imagoschade te beperken.”
Welke soorten zakelijke cybercrime zijn er?
“We kennen natuurlijk allemaal phishing, waarbij criminelen hopen dat je op een linkje klikt. Maar je ziet ook grootschalige aanvallen, waarbij criminelen computers aan elkaar koppelen om je systeem aan te vallen. Zodra ze binnen zijn, gaan ze je afpersen of op jouw account verkeerde dingen doen: geld uitgeven of haat verspreiden.”
“In praktijk komt ransomware het meeste voor, zeker bedrijfsmatig. Dan is het fijn dat je een alarmnummer kunt bellen om je weer op pad te helpen. Overigens kan het heel goed zijn dat de verzekeraar het losgeld betaalt, afhankelijk van het bedrijfsbelang is dat een logische overweging.”
Wat eist de overheid bij cybercrime?
“Je bent verplicht om cybercrime bij de overheid te melden als er privacygevoelige gegevens in de openbaarheid zijn gekomen, zoals medische gegevens, BSN-nummers of de politieke voorkeur van mensen. Het maakt dan niet uit of het lek digitaal is, de gegevens kunnen ook van de achterbank zijn gestolen. Je moet dat actief communiceren en kenbaar maken aan de klanten of andere relaties.”
“Je kunt een boete opgelegd krijgen, maar die is veel hoger als je het niet meldt. Als je niet meldt en ze ontdekken het, dan zijn de boetes heel fors, bij grote bedrijven tot in de miljoenen. De boete is 4% van de wereldwijde jaaromzet, met een maximum van 20 miljoen euro. Het Haga ziekenhuis in Den Haag had bijvoorbeeld een boete van 460.000 euro gekregen omdat iemand in het dossier van soapster Barbie van Oh Oh Cherso had zitten snuffelen.”
“Straffen voor cybercriminaliteit zijn maximaal 2 jaar bij een digitale inbraak of het ontoegankelijk maken van systemen. Als de digitale activiteiten strafbaar zijn wordt het maximaal 3 tot 5 jaar, afhankelijk van de ernst. Cybercrime bij kritische infrastructuur, zoals energiecentrales en kerncentrales, worden natuurlijk het zwaarst bestraft.”
Wat valt er onder een cybercrime-verzekering?
“Je verzekert je bij een cybercrime-verzekering vooral voor het herstellen van het systeem. Dat zijn de meeste kosten bij een hack, afhankelijk van het type bedrijf. Daar heb je hele dure jongens voor nodig, die op de meest ongunstige momenten de boel weer op mogen starten.”
“De aansprakelijkheid kun je ook afdekken, bijvoorbeeld als je gevoelige data lekt en iemand daar echt financieel door wordt benadeeld. Je wordt niet alleen ondersteund op het gebied van communicatie en techniek, maar ook juridisch. Je moet bij de autoriteit persoonsgegevens aangifte doen, die procedure is ingewikkeld en daar word je dan bij geholpen.”
“Indien de onderneming stil komt te liggen na een hack is bedrijfsschade verzekerd. Afhankelijk van het soort bedrijf kunnen deze kosten ook aardig oplopen. Het is dus een hele brede verzekering, bij de meeste verzekeraars.”
Wat moet je doen bij een hack?
“Het belangrijkste is dat je eerst gaat onderzoeken wat er aan de hand is: is er data vermist of geblokkeerd? Liggen er gegevens op straat? Als het privacygevoelige informatie is, heb je te maken met de AVG. Vaak schiet je eigen ICT-leverancier daarin tekort, die schakelt meestal met de digitale alarmcentrale. Dan ga je met je verzekeraar een stappenplan bespreken.”
“Als je geen verzekering hebt, kan het een dure grap worden. Je krijgt ook geen voorrang als je zonder verzekering belt, de verzekerde klanten gaan voor. Ik zou het ook logisch vinden als het een basisverzekering wordt, zoals bij brandschade en aansprakelijkheid. De wereld verandert en cybercrime neemt toe.”
Hoe kun je cybercrime voorkomen?
“Je moet natuurlijk een recente virusscanner hebben, maar er zijn ook systemen die signaleren als je regelmatig in verbinding staat met een onbetrouwbaar contact. Je kunt cybercriminelen nooit 100% tegenhouden, maar signalering is wel handig. Een hacker zit gemiddeld 180 dagen in jouw systeem op onopvallende wijze, langzaam bouwt deze een dossier op.”
“Bij een klant van mij was er € 15.000 dollar ontvreemd via CEO-fraude, iemand doet zich dan voor als de CEO en vraagt om een betaling die vervolgens netjes wordt uitgevoerd. Vaak vallen dit soort acties door de mand, maar als je genoeg ijzers in het vuur hebt liggen gaat er heus wel eens een betaling door.”
“De mens is altijd de zwakste schakel bij cybercrime, dus het trainen van awareness levert de meeste winst op. Daar hameren we zelf ook op, we bieden die online trainingen zelfs gratis aan. Bij veel mensen staan de wachtwoorden keurig in een Excel op het bureaublad, het wordt tijd dat we leren om wat slimmer met onze digitale data om te gaan.”