94% van de bedrijven is niet verzekerd tegen cyberincidenten
Risicomanagers en verzekeraars zijn het er over eens dat cybercrime en datalekken bij de belangrijkste risico’s horen voor bedrijven. En dat risico wordt in de toekomst alleen maar groter. Veel ondernemers hebben cybercrime inmiddels aan den lijve ondervonden. Toch zijn ondernemers zich nog onvoldoende bewust van het cyberrisico en het belang om dit risico te verzekeren.
Onderzoek naar cyberverzekeringen
Onderzoeksresultaten van verzekeraar De Goudse bevestigen dit. Zo blijkt dat slechts 6% van de bedrijven een cyberverzekering heeft, 94% dus niet. In 2016 gaf 81% van de bedrijven aan een cyberverzekering niet eens te overwegen. In 2018 was dit percentage nog steeds erg hoog: 69%. Inmiddels geeft nog maar 7% aan in het geheel niet afhankelijk te zijn van ICT, dat was in 2016 nog 21%.
IT-adviseur is niet hetzelfde als een cybersecurity-specialist
IT-adviseurs zien vaak de noodzaak van een cyberverzekering niet in en ondernemers vertrouwen op dit oordeel. De IT-adviseur is van mening dat de beveiliging goed op orde is. Maar een IT-adviseur is geen cybersecurity-specialist. Dat is een heel apart specialisme, dat nodig is om de preventie op orde te hebben, maar ook achteraf, als zich onverhoopt toch een incident voordoet. Een cybersecurity-specialist is onder meer ervaren in rechercheonderzoek naar cybercrime.
Cyberverzekering doet meer dan alleen uitkeren bij schade
Veel ondernemers denken nog aan verzekeringen in de klassieke zin: het betalen van een vergoeding na schade. Maar de nadruk bij de cyberverzekering ligt op de voorfase: op het voorkomen van schade. En als het dan fout mocht gaan: op het herstel. Daarvoor zijn specialisten nodig, en die zijn schaars en niet goedkoop. Naast een cybersecurity-specialist heeft een ondernemer waarschijnlijk ook nog juridische en communicatieve ondersteuning nodig. Bovendien gaat het bij herstel niet alleen om geld, maar ook om het ontzorgen van de getroffen ondernemer. Professionele bijstand kan de ondernemer heel veel tijd en zorgen schelen.
Menselijke fouten vaak de oorzaak van een cyberincident
Adequate preventiemaatregelen zijn onmisbaar. Denk bijvoorbeeld aan firewalls, antivirusscanners, en een dagelijkse back-up. Maar hoe goed die beveiliging ook is, helemaal veilig ben je nooit. Zo is en blijft de menselijke factor een zwakke schakel in de beveiliging. Hoe vaak je je medewerkers ook vertelt dat ze niet moeten klikken op een link in verdachte mail, in de praktijk kan het toch gebeuren. Vooral doordat zo’n mail er vaak bedrieglijk echt uit ziet. Ook via ‘social hacking’ weten cybercriminelen binnen te dringen, bijvoorbeeld door te bellen met medewerkers en zo vertrouwelijke informatie, zoals inlogcodes en wachtwoorden, te ontfutselen.
Cybercrime neemt toe
In het onderzoek van De Goudse is ook gevraagd met welke vormen van cybercrime een bedrijf te maken heeft gehad. Inmiddels noemt 10% diefstal van een laptop of USB-stick (in 2016 was dit 1%). Identiteitsfraude groeide van 1% naar 15% en betalingsfraude van 1% naar 16%. 20% had met een cyberaanval te maken (4%) en van hacking heeft zelfs 28% last gehad (3%). Ransomware wordt door 33% genoemd (3%). Van malware of virussen had in 2016 al 22% last en dit nam verder toe tot liefst 47%. Phishing spant de kroon. Daarmee had 55% procent te maken terwijl dit in 2016 nog 29% was.