Op 3 november organiseerde Cyber Netwerk Drechtsteden een online rondetafelsessie, met als thema Cyber en Verzekeringen. Aan dit gesprek namen deel: Klaas Rijpsma (Rabobank), Jacob van der Vis (KvK), Wilbert van Veen (Diks Verzekeringen), Jan Dirk Baggerman (Lukassen en Boer). Wico van Helden en Pieter Kroon waren aanwezig namens Cyber Net Werk Drechtsteden. De techniek werd verzorgd door Edwin van der Lee. Deel 1 van het verslag is te lezen in onze vorige nieuwspost.
100% veiligheid bestaat niet
De ervaringen van de verschillende deelnemers lopen uiteen, maar alle sprekers waren het erover eens dat de kwaadwillenden zich sneller ontwikkelen dan de beschermers. Dit geldt gelukkig slechts voor een relatief kleine, professionele, groep. Jacob: Heel veel cybercriminaliteit vindt nog plaats op niveau 1.0. De beste bescherming hiertegen is zorgen dat je systemen en software up to date blijven. Deze groep maakt namelijk veelvuldig misbruik van bekende lekken in systeemsoftware waar vaak al een update of patch voor uitgebracht is. Jacob: Let op. Social engineering wordt steeds belangrijker. Alle deelnemers zijn het er ook over eens dat 100% veiligheid niet bestaat. Wat dus niet wegneemt dat je heel veel zelf kunt doen. Of, zoals een van de deelnemers zei: als ik bij iemand in een auto stap voel ik me veilig, maar ik doe toch mijn gordel om, wat natuurlijk geen garantie geeft dat er niets zou kunnen gebeuren
Cybercrime as a Service, het bestaat echt
Een relatief nieuw fenomeen is Cybercrime as a Service (CaaS). Ddos-aanvallen kunnen via het darkweb eenvoudig tegen een geringe vergoeding als dienst worden afgenomen. Ook ransomware programma’s zijn via het darkweb verkrijgbaar. Facilitering van cybercrime als verdienmodel. Het bestaat echt.
Wat mag je verwachten van een verzekering?
Zowel de eigen schade als de gevolgschade zijn te verzekeren. Ook bedrijfsschade (omzetverlies) is te verzekeren. Zelfs een eventuele boete aan de autoriteit persoonsgegevens als gevolg van uitgelekte data. De poliskosten zijn afhankelijk van de omzet en de aard van het bedrijf. Er worden op dit moment nog weinig tot geen eisen gesteld door de verzekeraars. Jan Dirk: Tot een omzet van 10 miljoen wordt de polis vaak platgeslagen en volstaat meestal een verklaring dat je over een antivirusprogramma beschikt. Klaas: Zo lang er geen sprake is van roekeloosheid, is het meestal wel ok. Jacob: Uitgangspunt voor uitkering kan zijn: “Zouden wij dit zelf ook zo gedaan hebben?” Er zijn verschillende pakketten beschikbaar. Wilbert: Ontwikkelaars let op. Verzekeren tegen cybercrime is wat anders dan een beroepsaansprakelijkheidsverzekering. Er is uiteraard verschil tussen schade a.g.v. een geprogrammeerde “fout” of cybercrime. Klaas: Regel je verzekering altijd op naam “boven in de organisatiekerstboom”; alle onderliggende entiteiten zijn dan meeverzekerd.
Meer tips
Wij vroegen de deelnemers of zij nog tips hadden. Naast de tips uit ons vorige artikel werden genoemd:
- voer altijd je updates uit
- hanteer een streng beveiligingsregime als werkgever
- zorg dat je een plan B hebt (wat als het je toch overkomt, wat doe je dan?)
- gebruik alleen beveiligde verbindingen / vermijdt openbare wifi netwerken
- zorg voor back-ups én test die regelmatig
- let op SLA’s (serviceovereenkomsten)
- zet je camera uit als je hem niet gebruikt
en tenslotte (hoe kan het anders?) - zorg voor een goede verzekering.