Word abonnee

Risicoklassenindeling Digitale veiligheid gelanceerd

De coronacrisis heeft eens te meer duidelijk gemaakt dat verdere digitalisering van onze samenleving onvermijdelijk is. Ook is duidelijk dat het inschatten van cyberrisico’s ingewikkeld is en het verzekeren ervan voor veel bedrijven en burgers niet vanzelfsprekend. Met de ontwikkeling van een ‘risicomodel cyber’ willen publieke en private partijen hier gezamenlijk verandering in brengen. Begin 2021 heeft het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) daarom de Risicoklassenindeling Digitale Veiligheid gelanceerd1, gebaseerd op de bij verzekeraars ingeburgerde ‘VRKI-methodiek’. Naast een objectief oordeel over het niveau van cyberrisico van een (mkb-)onderneming, biedt het instrument inzicht in de bijpassende beheersmaatregelen. Dit artikel schetst het belang en de werking van het instrument.

Particulieren en bedrijven ondervinden steeds meer hinder van cyberincidenten, een verzamelnaam voor falende systemen, maar ook vandalisme en criminaliteit zoals diefstal of afpersing. Cyberincidenten kunnen op verschillende manieren tot schade leiden. Systemen kunnen onbruikbaar worden en criminelen kunnen gegevens misbruiken voor geld of om te frauderen. Bedrijven lopen het risico dat hun operationele continuïteit in gevaar komt of dat ze klanten kwijtraken. Doordat ze bijvoorbeeld niet bereikbaar zijn of omdat gegevens op straat zijn komen te liggen. Steeds vaker ook worden systemen gegijzeld voor losgeld. De toenemende digitalisering is ook zichtbaar in de criminaliteitscijfers; daar waar in algemene zin de offline criminaliteit gestaag daalt, neemt de online criminaliteit toe en is dit ook vast onderdeel geworden in de opsporing door de politie. De politie roept daarom bedrijven ook op om altijd aangifte te doen (zie kader Melding of aangifte van incidenten).

Verzekeren van cyberrisico’s niet vanzelfsprekend

Ook verzekeraars worstelen met cyberrisico’s en cyberveiligheid bij hun klanten. Het verzekeren van cyberrisico’s is nog altijd verre van vanzelfsprekend. Voor een deel komt dit doordat het bewustzijn van deze risico’s onder burgers en bedrijven wel toeneemt maar nog altijd laag is, overheidscampagnes ten spijt. Ook komt het voor dat mensen of organisaties denken dat schade door cybercrime wordt gedekt door bestaande verzekeringen, de zogenaamde ‘stille’ cyberdekking, terwijl dat meestal niet of hooguit zeer beperkt zo is. Tegelijkertijd is het aanbod van cyberverzekeringen nog relatief klein. De risico’s en modus operandi van criminelen veranderen zeer snel en net als bij terrorisme en natuurrampen zijn cyberrisico’s voor individuele verzekeraars en de verzekeringsbranche moeilijk in te schatten.

Certificatieschema’s van cybersecuritydiensten bieden houvast

De meeste ‘traditionele’ verzekeringsproducten bieden hooguit beperkte dekking voor de gevolgen van cyberrisico’s. Verzekeraars willen hun (zakelijke) klanten ook oplossingen bieden voor cyberrisico’s en bieden inmiddels cyberverzekeringen aan. Het betreft hier vrijwel zonder uitzondering zogenaamde ‘totaalpakketten’, waarin verzekeraars vooraf risico’s scannen, preventieve maatregelen adviseren, (technische, juridische, forensische) hulp bieden tijdens en na een incident en de financiële gevolgen van het restrisico verzekeren.

Het Centrum voor Verzekeringsstatistiek van het Verbond becijfert het totale premievolume van cyberverzekeringen in 2019 op ‘slechts’ 17 miljoen euro, tegen 2,3 miljard dollar in de Verenigde Staten. Hoewel het premievolume langzaam toeneemt en Nederland het in vergelijking met andere Europese landen zo slecht nog niet doet, blijven de absolute en relatieve aantallen klein. Zeker gezien de dichte IT-infrastructuur in ons land. Het Centraal Planbureau concludeert in het rapport Risicorapportage cyberveiligheid economie 20192 dat gebrek aan inzicht in kosten en baten van cyberveiligheid een belemmering is voor de ontwikkeling van een verzekeringsmarkt voor cyberrisico’s.

Risicoklassenindeling

‘Keurmerk voor een veilig internet is hard nodig’, kopte het Financieele Dagblad in de zomer van 2017. Volgens het FD werden er destijds wereldwijd per minuut tachtig apparaten aangesloten op het internet, maar komen deze onbeveiligd onze huiskamer of ons kantoor binnen. Nu, vier jaar later is dit nauwelijks verbeterd. Ook onder verzekeraars en IT-beveiligingsbedrijven bestaat de behoefte aan een instrument om eenduidig en objectief de cyberrisico’s van hun klanten te bepalen en te koppelen aan gepaste maatregelen.

De Risicoklassenindeling helpt bedrijven om cybersecurityrisico’s in te schatten en maatregelen te treffen. Het instrument richt zich in eerste instantie op het midden- en klein­bedrijf (mkb), maar is ook voor andere bedrijven bruikbaar. Vertrekpunt is de impact van een cyberincident op de bedrijfscontinuïteit. Het gaat vervolgens om het vergroten van het bewustzijn en het op orde brengen van de basis van digitale beveiliging van ondernemingen. Op basis van elf vragen, zoals vastgelegd in de Scorekaart risico’s digitale veiligheid, wordt het risico van de mkb-onderneming op een cyberincident bepaald. De scores vertalen zich in vier risicoklassen en per risicoklasse is een set van beveiligingsmaat­regelen opgesteld. Deze sluiten aan op de basisprincipes van het Digital Trust Center3.

De meeste ‘traditionele’ verzekeringsproducten bieden geen of hooguit beperkte dekking voor de gevolgen van cyberrisico’s

Naast technische maatregelen gaat het ook om organisatorische maatregelen, want veel risico’s ontstaan juist door menselijk handelen of falen. Net als in de fysieke wereld is een driesterrenslot immers alleen effectief als je dat bij het verlaten van het pand ook echt op slot doet. Datzelfde geldt voor de cyber­wereld. Computers, tablets, telefoons en alle andere apparaten die inmiddels op het internet zijn aangesloten, zijn alleen goed beschermd als er een deugdelijke firewall is ingeschakeld en wachtwoorden goed zijn en ook goed kunnen en worden beheerd.

Door cyberrisico’s objectief te koppelen aan beveiligingsmaat­regelen kunnen bedrijven gericht hun IT/security-beleid aanpassen, medewerkers instrueren en eventueel samen met hun leveranciers gepaste beschermingsmaatregelen treffen. Dat laatste is belangrijk, omdat een goed en objectief gevalideerd handelingsperspectief veelal nog ontbreekt. Ondernemers die hun cyberrisico’s willen beheersen moeten kunnen vertrouwen op bestaande (gecertificeerde) normen en procedures. Zij moeten hierin ten slotte tijd en geld investeren.

Certificeringsregelingen

Cybersecuritydiensten zorgen voor een goede beveiliging van digitale systemen, die aansluiten op het risico van een cyberincident. Een onderneming die zich wil beschermen tegen cybercriminaliteit, wil dat dit goed gebeurt, met veilige producten en geïnstalleerd of uitgevoerd door een vakman. Voor de ondernemer is dit vaak moeilijk om zelf goed in te schatten. Certificatieschema’s van cybersecuritydiensten bieden hiervoor een goede oplossing. In het kader van de Risicoklassenindeling is als eerste een certificatieschema ontwikkeld voor pentesten. De komende periode wordt onderzocht voor welke andere instrumenten het wenselijk en haalbaar is om een certificatieschema te ontwikkelen.

Publiek-private samenwerking

De Risicoklassenindeling Digitale Veiligheid en de bijgaande certificeringsregeling zijn via publiek-private samenwerking opgesteld, onder regie van het CCV. Gezien het maatschappelijk belang en de rol die met name het Digital Trust Center speelt, is de ontwikkeling van het instrumentarium door de overheid gefinancierd. De deelnemende organisaties en bedrijven (zie kader Publiek-private samenwerking) hebben belangrijke bijdrages geleverd. Samen vormden ze ook de stuurgroep van het project. Sinds 1 januari 2021 bemensen ze het College van Belanghebbenden, dat de uitvoering en de verdere ontwikkeling van het instrumentarium begeleidt. Naast het delen van kennis, biedt deze brede coalitie draagvlak en objectiviteit.

Publiek-private samenwerking
De ontwikkeling van de Risicoklassenindeling Digitale Veiligheid is een samenwerking tussen het CCV, het Verbond van Verzekeraars, VNO-NCW/MKB-Nederland, Cyberveilig Nederland, NLdigital, Politie, CIO Platform Nederland, Partnering Trust, het ministerie van Justitie en Veiligheid en het ministerie van Economische Zaken en Klimaat. Deze partijen vormen ook het college van belanghebbenden. Het project is mogelijk gemaakt door de belangeloze medewerking van genoemde partijen en financiering door de ministeries.
De Risicoklassenindeling Digitale Veiligheid is online beschikbaar op www.digitaltrustcenter.nl/risicoklasse.

Afsluiting

Met de Risicoklassenindeling Digitale Veiligheid is er voor verzekeraars, verzekeringsadviseurs, IT/security-specialisten en hun (mkb-)klanten een instrument beschikbaar gekomen om digitale risico’s objectief in kaart te brengen en te koppelen aan gepaste beveiligingsmaatregelen. Dit vergroot de verzekerbaarheid van cyberrisico’s. Het digitale landschap verandert snel, waardoor onderhoud en mogelijk ook de ontwikkeling van een nieuwe certificeringsregeling nodig zal zijn. Ook voorziet het instrument vooralsnog niet in een mechanisme voor het controleren en aantoonbaar maken van hetgeen klanten invullen via de Scorekaart. Verzekeraars kunnen hieraan in hun eigen voorwaarden eisen stellen, bijvoorbeeld door te vragen om het formulier te ondertekenen of anderszins van waarborgen te voorzien. 

Voetnoten

1.   Zie: https://hetccv.nl/nieuws/nieuw-instrument-gelanceerd-om-cyberweerbaarheid-ondernemers-te-vergroten/.

2.   Zie: https://www.cpb.nl/sites/default/files/omnidownload/cpb-notitie-risicorapportage-cyberveiligheid-2019.pdf.

3.   Zie: https://www.digitaltrustcenter.nl/de-5-basisprincipes-van-veilig-digitaal-ondernemen.

Melding of aangifte van incidenten
Net als bij andere vormen van criminaliteit is het wenselijk dat ondernemers incidenten niet alleen melden bij hun IT/security-adviseur en eventueel verzekeraar, maar ook aangifte doen. Hoewel opsporing bij cyberincidenten moeilijk is, ondersteunt het doen van aangifte het opsporingsproces meer in algemene zin. Minister Grapperhaus schrijft hierover (Tweede Kamer, vergaderjaar 2019–2020, 26 643, nr. 678): ‘door aangifte kunnen politie en justitie passende maatregelen nemen. Aangifte draagt daarnaast bij aan het brede inzicht in de aard en de omvang van deze vorm van criminaliteit waardoor ook op langere termijn een betere aanpak kan worden ontwikkeld en passende preventieve maatregelen kunnen worden genomen.’

Nog geen abonnement op FLINK?
Dit artikel maakt deel uit van het online kennisplatform FLINK. Op FLINK vind je niet alleen de artikelen uit de Beursbengel, maar ook andere informatie voor de verzekeringsprofessional, zoals whitepapers, blogs, webinars en video's. Nog geen abonnement op FLINK? Neem dan nu een (proef)abonnement.

 

 

 

 

 

 

 

 

WWW.VOOG.NL-107 Marko van Leeuwen 500x500

Drs. M. (Marko) van Leeuwen

De auteur is beleidsadviseur bij het Verbond van Verzekeraars te Den Haag.

W. (Wouter) Wissink Msc

Wouter Wissink is Senior Principal Cyber Engineer namens het Verbond van Verzekeraars.

Andere artikelen: Editie 902 - maart 2021

-->