Adviesalerts! Cyber

Katern Cyber adviesalerts!

(Uit Katern Cyber in VVP 5-2021) Welke ontwikkelingen zijn er bij cyberrisicomanagement en cyberverzekering? VVP praat u bij middels een aantal adviesalerts!

Het kabinet wil niet langer dat verzekeraars losgeld vergoeden dat is betaald aan cybercriminelen. Dat wil zeggen, zo ging het verhaal op het moment van schrijven van dit artikel. De vraag is hoe realistisch een verbod is. Want je rekent niet per se af met losgeldbetalingen. Bovendien, zo werd ook aangegeven in de vorig jaar verschenen VVP-special Cyber, kan het betalen van losgeld soms echt het laatste redmiddel zijn bij belangrijke bestanden die zijn gegijzeld.

Inge Bryan, CEO van FOX-IT, zei onlangs bij BNR (in een programma dat overigens hoe dan ook de moeite van het beluisteren waard was): “De ontwikkeling die je nu ziet, met name in de Angelsaksische wereld, is een soort van criminalisering van losgeld betalen. Publieke actoren zou het verboden moeten worden losgeld te betalen, verzekeraars zou het verboden moeten worden losgeld te vergoeden. Daar ben ik het pertinent mee oneens. We moeten heel scherp in de gaten houden: wie is hier het slachtoffer? Ik vind niet dat je diens laatste strohalm mag wegnemen.”

Wordt ongetwijfeld vervolgd. Tot een eventueel verbod lijken adviseurs er verstandig aan te doen cyberverzekeringen te (blijven) kiezen die losgeld vergoeden. Niet alle polissen doen dit.

‘Hoe realistisch is verbod op vergoeden losgeldbetalingen?’

Bekijk als adviseur hoe dan ook goed de voorwaarden van de verschillende verzekeraars, want daar zitten – en heus niet alleen als het gaat om vergoeden van losgeld – soms belangrijke verschillen tussen. Een handig hulpmiddel hierbij zijn de verzekeringskaarten die verzekeraars verplicht zijn op te stellen. Verzekeraars moeten deze dan natuurlijk wel actueel houden en ze moeten een beetje makkelijk vindbaar zijn.

Kijkend naar polisvoorwaarden valt de bijzondere benadering op van De Goudse. Deze maatschappij hanteert bij haar cyberverzekering “geen dichtgetimmerde polisvoorwaarden, maar één A4’tje met spelregels. Hierin leest u wat u moet doen om cybercrime te voorkomen, hoe wij u daarbij helpen en wat wij voor u doen als het toch fout gaat”.

Minimaal acht tekens

Hoe ze het ook brengen, in de vorm van voorwaarden of spelregels, verzekeraars stellen nadrukkelijk eisen aan risico-inventarisatie en preventie. Zo is er een maatschappij die verlangt dat wachtwoorden bestaan uit minimaal acht tekens. Voorheen leken cyberverzekeraars in geval van schade niet altijd heel strikt te kijken of alle beveiligseisen waren nageleefd. Maar nu de schadelast oploopt, is dit veranderd. Maar juist het creëren van preventiebewustzijn is zo enorm lastig, niet alleen als het gaat om cyberbeveiliging trouwens.

Volgens Marie-Louise de Smit, Cyber Broking Director bij Aon’s Cyber Solutions, moet cybersecurity binnen organisaties fors verbeterd worden willen de verzekeringen betaalbaar blijven. De Smit eerder dit jaar op de website van de broker: “Of we verbeteren massaal, over de gehele breedte van het bedrijfsleven, onze cybersecurity. Verzekeraars blijven dan hoogstwaarschijnlijk geneigd om het restrisico te verzekeren, omdat er dan ook een brede basis is aan maatregelen waardoor de schade beperkter wordt. Wat echter ook kan, maar niet wenselijk is, is dat cyberverzekeringen enorm duur worden en alleen voor hele grote bedrijven nog betaalbaar zijn.”

Wat ons betreft nog steeds een goede tip: de Risicoklassenindeling Digitale Veiligheid, te vinden op de website van het Digital Trust Center.

Ondertussen is het te gek voor woorden dat de ontwikkeling van keurmerken cyberbeveiliging achterblijft. Keurmerken zijn nooit een garantie, maar kunnen natuurlijk toch wel helpen bij het kiezen van goede cyberbeveiliging en -beveiligers.

Dora

Adviseurs moeten natuurlijk zelf ook aan cyberbeveiliging doen. Een van de zaken die daarbij op ze afkomt is de Europese Digital Operational Resilience Act (DORA). De AFM noemt het “belangrijk voor financiële ondernemingen om zich op de invoering (voorzien over ruim een jaar, red.) tijdig voor te bereiden”. De vraag is ook hier weer of de impact voor kleine ondernemingen even groot zal zijn als voor grote.

DORA stelt eisen aan financiële organisaties ten aanzien van: IT-risicomanagement, IT-incidenten, periodieke testen van digitale weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden. Daarbij wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van individuele organisaties.

Met DORA heeft de Europese Commissie drie hoofddoelen voor ogen: de versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren, een basiskader scheppen voor financiële organisaties waarvoor nog geen regelgeving is, het beter mitigeren van risico’s van uitbesteding door de financiële sector aan kritieke digitale derde dienstverleners.

Leidraad

In Nederand is de aandacht voor uitbestedingsrisico’s al steeds groter geworden. Het Verbond van Verzekeraars en de NVGA introduceerden onlangs de nieuwe leidraad IT-risico’s Volmacht. De leidraad besteedt nadrukkelijk aandacht aan uitbesteding: “Het is voor gevolmachtigden van belang dat de prestaties van de dienstverlener overeenkomen met de eigen prestaties. In de contractvoorbereidingsfase wordt dan ook aandacht besteed aan de prestatie en monitoring hiervan. De maatregelen worden in een contract vastgelegd.”

De AFM onderzocht eerder dit jaar een aantal pakketten voor adviessoftware. In het onderzoeksrapport een aantal specifieke aandachtspunten voor opslag van data via cloudsoftware. De toezichthouder: “De leverancier van de adviessoftware zorgt doorgaans voor opslag van klantgegevens in de cloud. Verzeker u ervan dat de klantinformatie daar goed beveiligd is, bijvoorbeeld door naar certificeringen te vragen, zoals ISO 27001. En maak afspraken over bewaartermijnen en beschikbaarheid van data.”

Reactie toevoegen

Bedrijven doen nog te weinig aan digitale veiligheid

De Cyber Security Raad (CSR) constateert dat het Nederlandse bedrijfsleven nog te weinig doet aan digitale veiligheid, terwijl het wél verplicht is. De...

Nn start Nederlands Cyber Collectief

Nationale-Nederlanden is het Nederlands Cyber Collectief gestart. Het betreft een overkoepelend verbond dat gezamenlijke kennis en kracht inzet voor één...

Cyber

Zo graag als het Verbond het mag hebben over innovatie, de cyberpolis is voor Nederlandse verzekeraars duidelijk nog een brug te ver. Terwijl steeds meer adviseurs...

De Boer prijst Cyber Protect van VKG

Een mooie innovatie. Zo omschrijft Verbondsdirecteur Leo de Boer in een tweet Cyber Protect van VKG en AXA Assistance. VKG introduceerde onlangs onder haar volmachtovereenkomst...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

De groei in consumentenbankieren kwam vooral tot stand door hogere feeopbrengsten voor dagelijkse bankzaken en beleggingsproducten.

ING-ceo Steven van Rijswijk in het FD

Stelling

CFD adviseert terecht om niet te werken met een fijnmazig gemiddelde

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!