“Hoewel veel MKB-bedrijven van mening zijn dat zij niet interessant zijn om gehackt te worden, denken criminelen daar anders over. Van alle cyberaanvallen op bedrijven betreft 64% SME’s, met als gevolg onder meer een bedrijfsonderbreking, reputatieverlies, economische kosten en/of een boete of een rechtszaak. Bovendien is 60% van de getroffen bedrijven die geen cyberverzekering hadden afgesloten binnen een half jaar na een cyberincident out of business.” Dat vertelde de Israëlische cybersecurityspecialist Avi Bartov, directeur van het gespecialiseerde cybersecuritybedrijf GamaSec, vorige week donderdag in een presentatie tijdens de jaarlijkse relatiedag die CNA Hardy organiseerde voor een 60-tal relaties uit de verzekeringsbranche.
Volgens Bartov zijn SME’s in de ogen van de gemiddelde hacker juist een dankbaar, ideaal en easy target. Niet in de laatste plaats omdat uit internationaal onderzoek blijkt dat een meerderheid van alle MKB-ers aangeeft dat onvoldoende personeel (74%) en te weinig budget/geld (55%) als reden wordt aangevoerd waarom de IT-beveiliging niet op orde is om cyberrisico’s adequaat te verminderen. Andere veel aangevoerde redenen hiervoor zijn geen idee te hebben hoe cyberaanvallen adequaat tegen te gaan (47%), ontoereikend gebruik van cyberbeveiligingstechnologie (38%), gebrek aan kennis en ervaring op dit gebied in eigen huis (37%) en dat cyberveiligheid geen prioriteit heeft (23%). Maar liefst 75% van de medewerkers die bij een bedrijf vertrekken laat hun computer onbeveiligd achter.
Toename cyberaanvallen en -kosten
En dat terwijl volgens Bartov vandaag de dag cybercriminaliteit niet meer weg te denken is uit de samenleving en dat het onwaarschijnlijk is dat daarin op korte termijn verandering in zal komen. “Het aantal cyberaanvallen neemt dan ook toe en inmiddels hebben 67% van de bedrijven al een cyberaanval meegemaakt in de afgelopen 12 maanden en 58% een datalek. Dat risico is dan ook beduidend hoger dan het aantal bedrijven dat in dezelfde periode met een brand is geconfronteerd (28% van alle SME’s), met een diefstalgeval (7%), een overstroming (5%) of een ingrijpende vervoersstaking of grootschalige wegafsluiting rond de vestigingsplaats (2%). Proactieve beveiligingsmaatregelen tegen cybercriminaliteit zijn dan ook belangrijker dan een goed slot op de voordeur van een bedrijf.”
De gevolgen van een hack of ander cyberincident kunnen volgens Bartov ingrijpend zijn. “Bijvoorbeeld in de vorm van een bedrijfsonderbreking, reputatieverlies, economische kosten en/of een boete of een rechtszaak.” Wat de financiële gevolgen betreft maakte hij een onderscheid tussen de direct zichtbare kosten en de zich ‘onder het wateroppervlak’ bevindende kosten. Tot de eerste categorie behoren volgens hem onder meer de directe kosten voor het oplossen van datalekken, PR- en communicatiekosten, boetes, advocaatkosten en noodzakelijke verbeteringen van de cyberbeveiliging van het bedrijf. Als ‘onzichtbare kosten’ noemt hij onder meer een verhoging van de verzekeringskosten, de hogere kosten om vreemd vermogen aan te trekken, verstoring operationele gang van zaken, verlies van klantrelaties, contractwaarde, verlies van reputatie en/of merkwaarde en/of verlies van intellectuele eigendommen (IP).
Andere uitkomsten
In zijn presentatie vertelde de Israëlische cybersecurityspecialist dat cybercriminaliteit in 81% van de gevallen ten grondslag aan een hack, gevolgd door (cyber)spionage (10,3%), cyberoorlog (5,2%) of (politiek) (h)activisme (3,4%). Onder de getroffen bedrijven zitten vooral de kleinere SME-bedrijven (omzet < $ 25 miljoen): 49% van alle ondernemingen, Op de tweede plaats volgen bedrijven met een omzet van meer dan $ 1 miljard (22%), gevolgd door bedrijven met een omzet van $ 25 tot $ 100 miljoen (15%), met een omzet tussen $ 100 en $ 250 miljoen (6%), tussen $ 250 en $ 500 miljoen (4%) en tussen $ 500 miljoen en $ 1 miljard (eveneeens 4%).
Ook constateerde Bartov een verschuiving bij cyberincidenten van interne naar externe veroorzakers. In 2014 waren 4.063 (55,2%) het gevolg van een interne veroorzaker; dit jaar was dat aantal met 1.266 nog maar 29,3% van alle incidenten. Het aandeel dat werd veroorzaakt door externe hackers en andere cybercriminelen nam toe van 44,8% in 2014 (3.291 incidenten) naar 70,7% (3.059) van het tontaal aantal incicenten.
Samenwerking CNA Hardy en GamaSec
Tijdens de genoemde marktbijeenkomst presenteerde CNA Hardy haar samenwerking met het Israëlische securitybedrijf GamaSec, die heeft geleid tot een uitbreiding van het cyberverzekeringsproduct van de verzekeraar met een preventiescan. Hiermee kan de website van verzekerde bedrijven worden doorgelicht op het risico van hacken of een andere cybercriminaliteit. Het cyberverzekeringsproduct van CNA Hardy kende reeds een incident response-service na een cyberincident, waarbij wordt samengewerkt met het Amsterdamse advocatenkantoor Dentons Boekel, data recovery bedrijf Kroll Ontrack en PR bedrijf Cohn & Wolfe.
