VVP SPECIAL CYBER

75 JAAR HÉT PLATFORM VOOR DE FINANCIEEL ADVISEUR
VVPRUIM
JAARGANG 77 • EXTRA EDITIE • SEPTEMBER 2020
Pak je adviesrol!
Special Cyber

COLOFON
VVP, Kennis- en inspiratiemagazine
voor financieel adviseurs
Uitgave van VVP Nederland
Zevenenzeventigste jaargang
nhoud
uitgever en hoofdredacteur
Willem Vreeswijk 06-10630149,
willem@vvponline.nl
(eind)redacteur
Toon Berendsen 06-12907930,
toon@vvponline.nl
persberichten, reacties, ideeën
redactie@vvponline.nl
redactie-adres
Wapendragervlinder 29, 3544 DK Utrecht
7
Rondetafel Cyber
Pak je adviesrol!
16
Bram Grundmeijer
Kijk naar de inhoud
senior accountmanager/traffic
Arjan Cornelisse, 06-10628564,
arjan@vvponline.nl
ABONNEMENTENSERVICE
vvp@vvponline.nl
website www.vvponline.nl
SPECIAL CYBER
Deze special verschijnt in een oplagen van
6.000 exemplaren en is tot stand gekomen
in samenwerking met Allianz, Avéro
Achmea, De Goudse, HDI Global Specialty,
Hienfeld, Nationale-Nederlanden, Turien
& Co. en de Vereende en wordt tevens
uitgebracht als e-zine.
26
Maria Genova
Wapen je tegen hackers
32
Marie-Louise Smit
Cyberweerbaarheid
NABESTELLINGEN
Arjan Cornelisse, arjan@vvponline.nl
COPYRIGHT
VVP Nederland, 2020
vormgeving/prepress
Peter Beemsterboer, Beemsfoto
druk
Veldhuis Media BV, Raalte. Deze uitgave is
gedrukt op FSC-papier
ISSN: 1388-2724
44
Jan Berndsen
Dit gebeurt mij niet!
50
Jeroen Smit
Cyberdont’s
2 | VVP SPECIAL SEPTEMBER 2020

VOORWOORD CYBER
D é cyberadviseur
van Nederland
22
Liesbeth Holterman
Neem basismaatregelen
38
Adfiz
Checklist cyberrisico’s
56
Toon Berendsen
Cyber Alerts
Cybercriminaliteit en bedrijfsstilstand worden door ondernemers
gezien als belangrijkste ondernemersrisico, zo bleek uit een onderzoek
van Allianz Schade naar de belangrijkheid van diverse
risico’s. Daarmee laat cybercriminaliteit risico’s als natuurrampen,
wijziging in wet- en regelgeving en brand en explosies achter
zich. Het besef dat cybercriminaliteit een hoog risico is, is er. Het is dan ook
belangrijker dan ooit om hier oplossingen voor aan te bieden.
Deze VVP-special Cyber helpt het intermediair dé cyberadviseur van Nederland
te worden. Een special vol tips en tools van specialisten die onafhankelijk
adviseurs zelf in hun eigen kantoor in de praktijk kunnen brengen en die van
onschatbare waarde zijn voor hun klanten. Een echte bewaareditie met must
read artikelen over een uiterst relevant onderwerp.
Hoe relevant blijkt ook uit het boek ‘Het is oorlog, maar niemand die het ziet’
van onderzoeksjournalist Huib Modderkolk. “We bellen, delen en liken de hele
dag door. We ervaren de voordelen van de digitale tijd: de smartwatch controleert
de hartslag, de slimme meter houdt het energieverbruik bij en de smartphone
leidt ons soepel door het verkeer. De waarschuwingen horen we ook: pas
op, diezelfde apparaten leggen onze gedragspatronen minutieus vast. Let op, er
ontstaan nieuwe gevaren. Staten gebruiken internet steeds meer om te controleren
en te beïnvloeden. Spionage is makkelijker
dan ooit. Dat heeft gevolgen: anonimiteit
en privacy raken in de verdrukking,
nepnieuws voedt het wantrouwen,
aanvallen via internet ontwrichten de samenleving.”
Modderkolk schetst de schaduwkant
van internet, een kant die er onloochenbaar
is en waar ook voor wordt gewaarschuwd
en ondertussen blijven we bellen,
appen, kopen we een Apple Watch en delen
babyfotos op Facebook, etcetera.
Voor onafhankelijk adviseurs ligt hier een belangrijke maatschappelijke taak,
zowel naar particulieren toe als naar bedrijven. De adviseur is bij uitstek de vertrouwenspersoon
die mensen bewuster maakt van de gevaren, wijst op maatregelen
om cybercriminaliteit te voorkomen en helpt bij daadwerkelijke calamiteiten.
Wil een onafhankelijk adviseur deze taak goed op kunnen pakken, dan moet
hij zelf over de juiste kennis beschikken en inzicht hebben in de materie.
Deze bewaareditie is mede mogelijk gemaakt door Allianz, Avéro Achmea,
De Goudse, HDI Global Specialty, Hienfeld, Nationale-Nederlanden, Turien & Co.
en de Vereende.
Heel veel leesplezier! n
WILLEM VREESWIJK
HOOFDREDACTEUR / willem@vvponline.nl
‘Het begint
met inzicht
en kennis’
SPECIAL SEPTEMBER 2020 VVP | 3

PARTNER IN KENNIS
REGELMATIG HOREN ONZE ACCOUNTMANAGERS: ‘JA, DAAR MOE-
TEN WIJ BINNENKORT WEL WAT MEE DOEN’, ALS ZIJ BIJ FINAN-
CIEEL ADVISEURS OVER HET ONDERWERP CYBERRISICO’S BE-
GINNEN. WIJ BEGRIJPEN HEEL GOED DAT VEEL ADVISEURS HET
NOG LASTIG VINDEN OM ADVIES UIT TE BRENGEN OVER DE ONLI-
NE RISICO’S DIE HUN ZAKELIJKE KLANTEN LOPEN. IN 2013, TOEN
WIJ BELANGSTELLING KREGEN VOOR DEZE (TOEN NOG) ONBE-
KENDE VERZEKERINGSVORM, KOSTTE HET ONS OOK TIJD OM TE
WENNEN AAN DE VELE NIEUWE BEGRIPPEN, ZOALS HACKING EN
PHISHING. MAAR GELUKKIG HOEF JE OOK GEEN IT-SPECIALIST
TE ZIJN OM OVER CYBERRISICO’S TE KUNNEN ADVISEREN.
Koudwatervrees niet
nodig bij advisering over
cyberverzekeringen
TEKST SANDRA DEKKER, PRODUCTSPECIALIST CYBERVERZEKERINGEN TURIEN & CO. ASSURADEUREN
Elk bedrijf is een potentieel doelwit
van cybercriminelen, ik leg
u in dit artikel uit waarom. In
2018 had 94 procent van de Nederlandse
bedrijven een website
(bron: CBS, ICT kennis en economie,
2019). Veel bedrijven gebruiken daarnaast
e-mail, hebben een digitale agenda en/
of voorraadbeheer, factureren digitaal en
zijn in veel gevallen actief op social media.
Feitelijk is de administratie van een bedrijf
alleen nog via een internetverbinding
bereikbaar. Er zijn ook ondernemingen
waarvan productiemachines via een internetverbinding
worden aangestuurd, voor
dit soort bedrijven geldt een verhoogde
afhankelijkheid van het internet. Net als
voor andere bedrijven die uitsluitend online
(ICT-)diensten of producten aanbieden.
Elk bedrijf beschikt over data: persoonsgegevens
van klanten, leveranciers en/
of personeel en financiële gegevens. Een
bedrijf kan ook documenten met gevoelige
bedrijfsinformatie hebben opgeslagen
of privacygevoelige dossiers bezitten.
Nu we weten dat bedrijven bij de
uitvoering van hun werkzaamheden afhankelijk
zijn van internet en dat bedrijven
over data beschikken, kunnen we uitleggen
op welke manier cybercriminelen
hier misbruik van maken.
WAT WILLEN CYBERCRIMINELEN?
Criminelen willen snel geld verdienen.
Daar gebruiken zij internet voor. Op internet
zijn namelijk talloze kwetsbaarheden
in software te vinden. Er bestaan
scanners die deze zwakke plekken geautomatiseerd
opsporen. Als adviseur hoef
je deze kwetsbaarheden overigens niet
te kennen of te begrijpen, het zijn er veel
te veel én het is veel te technisch. Maar
je kunt je voorstellen dat bij het bouwen
van websites en het maken van programma’s
foutjes worden gemaakt; dat zijn de
digitale kwetsbaarheden waar criminelen
gebruik van maken. Via deze kwetsbaarheden
breken zij in, in de digitale
omgeving van een bedrijf. Ook via mensen
proberen zij toegang tot bedrijfsnetwerken
te krijgen. Een bekend voorbeeld
is het inzetten van phishing e-mails. In
een phishing e-mail wordt op geavanceerde
wijze ‘gevist’ naar toegang tot het
bedrijfsnetwerk. Een firewall of antivirussoftware
kan hiermee door criminelen
eenvoudig worden omzeild.
4 | VVP SPECIAL SEPTEMBER 2020

CYBER
BEDRIJF PLATGELEGD
Als een crimineel ingebroken heeft op
een bedrijfsnetwerk (hacking), kan hij
verschillende dingen doen. Meestal kijkt
hij eerst een poosje (soms dagen, soms
maanden) rond in de omgeving. Hij zoekt
naar bestanden met persoonsgegevens,
gevoelige bedrijfsinformatie, klantdossiers
en financiële informatie over het
bedrijf. Op afstand kijkt de crimineel mee
naar het reilen en zeilen van een bedrijf.
Hier merkt het bedrijf meestal niets van.
Na zijn inventarisatie slaat de crimineel
toe: hij kan bestanden ontoegankelijk
maken (versleutelen), documenten kopiëren,
wijzigen of verwijderen, de toegang
tot het netwerk afsluiten of (productie)
machines aansturen. Kortom: hij kan het
bedrijf platleggen.
U kunt zich voorstellen dat het heel
lastig werken is als de computers in een
bedrijf op een ochtend niet meer opstarten:
zowel een accountant als een garagebedrijf,
maar ook een tandarts, een
beddenspeciaalzaak, een elektricien en
een groothandel kunnen niet beginnen.
Het is eenvoudig voor te stellen met welke
narigheid een ondernemer wordt geconfronteerd
als zijn bedrijf door cybercriminelen
is gehackt. Je kunt niet meer
bij je administratie; facturen, planning
en klantgegevens zijn onbereikbaar. Je
wordt afgeperst en moet losgeld betalen
om weer bij je bestanden te kunnen.
Je weet niet wanneer een crimineel uit
je netwerk is vertrokken en welke schade
daar is toegebracht. Als gestolen data
in verkeerde handen valt, kun je worden
aangesproken door derden. En de bedrijfsvoering
ligt voor enkele dagen of
weken stil. De continuïteit van het bedrijf
loopt gevaar. Dat geeft een hoop stress
en onzekerheid. Een cyberverzekering is
in deze situatie een uitkomst.
OPLOSSING
Een cyberverzekering biedt standaard
dekking voor hulpverlening, aansprakelijkheid
en eigen schade. Er staat een
team cyber security specialisten klaar om
bij (een vermoeden van) een cyberincident
voor het bedrijf aan de slag te gaan.
Een geruststellende gedachte, want lang
Sandra Dekker:
‘Altijd het juiste
cyberadvies.’
niet alle IT-bedrijven zijn deskundig op
het gebied van IT-beveiliging. Daarnaast
zijn aanspraken van derden verzekerd en
is er dekking voor de eigen schade, zoals
het betaalde losgeld, de financiële schade
door bedrijfstilstand en de kosten van
het digitaal forensisch onderzoek.
ADVIESGESPREK
Het bovenstaande laat zien dat het bespreken
van cyberrisico’s met uw zakelijke
relaties van groot belang is. Hopelijk
geeft de tekst ook wat richting aan
een adviesgesprek over cyber. Cybercriminaliteit
is de snelst groeiende vorm
van misdaad. Iedereen die online actief
is, loopt een risico. Naast het verzekeren
van de fysieke bedrijfsmiddelen (opstal,
inventaris, wagenpark en de werknemers)
is het belangrijk om de klant te
wijzen op de risico’s op schade die verband
houdt met de digitale bedrijfsvoering.
Als uw klant interesse heeft in een
cyberverzekering, kunt u via ons nieuwe
Financial Lines Portaal binnen één
minuut de cyberverzekeringen van vier
verschillende aanbieders vergelijken, offreren
en een cyberverzekering afsluiten.
U hoeft dan niet vier polisvoorwaarden
te vergelijken, dat hebben wij al
voor u gedaan. Wilt u toch even sparren?
Neem dan contact op met onze deskundige
cyberacceptanten. Zo geeft ú altijd
het juiste advies. n
SPECIAL SEPTEMBER 2020 VVP | 5

CYBER
Pak als adviseur
rol bij beheersen
cyberrisico’s
CYBERRISICO’S ZIJN REËEL, ALS FINANCIEEL ADVISEUR BEN JE HET DAAROM AAN JE
STAND VERPLICHT OVER DEZE RISICO’S MET DE KLANT IN GESPREK TE GAAN. DUID
DE RISICO’S EN BEKIJK SAMEN MET DE KLANT HOE ZIJ HET BESTE KUNNEN WORDEN
BEHEERST. WAARVOOR JE ALS ADVISEUR HEUS GEEN SUPERSPECIALIST HOEFT TE
ZIJN DAT STELLEN DE KENNISPARTNERS VAN DEZE VVP-SPECIAL CYBER (ALLIANZ
NEDERLAND, AVÉRO ACHMEA, DE GOUDSE, HIENFELD, PERFECT DAY EN TURIEN & CO.).
TEKST TOON BERENDSEN
SPECIAL SEPTEMBER 2020 VVP | 7

CYBER
Björn Jalving (Turien & Co.):
‘Vertel als adviseur het
verhaal van cyberschade.’
Nog vaak is de eerste gedachte aan buitenlandse
verzekeraars als het gaat om
cyberverzekeringen en in ruimere zin
cyberrisicomanagement. Maar ook Nederlandse
partijen blazen inmiddels een
flinke deun mee, dat is mooi te zien aan
de kennispartners van deze VVP-special Cyber. Natuurlijk,
Allianz Nederland is onderdeel van een wereldwijd
werkend concern. Maar de Nederlandse tak heeft internationale
kennis over cyber specifiek vertaald naar een
eigen propositie in Nederland. Hienfeld en Turien & Co.
werken als assuradeuren met overigens ook in Nederland
gevestigde buitenlandse risicodragers, maar hebben
wel degelijk ook zelf ontzettend veel cyberexpertise
in huis. Avéro Achmea, De Goudse en Perfect Day
zijn zo Nederlands als het maar kan. Overigens is Perfect
Day, onafhankelijk opererende dochter van Nationale-Nederlanden
en vier grote volmachtbedrijven,
de enige van het zestal dat niet in verzekeringen doet.
Perfect Day richt zich op cyber en data security voor het
MKB. Gaandeweg de rondetafel wordt duidelijk dat het
bij het managen van cyberrisico’s inderdaad niet alleen
om verzekeren gaat. Sterker, juist preventie en tijdige
detectie is van eminent belang. De verzekeraars en assuradeuren
weten dat ook heel goed; hun aanbod bestaat
ook nadrukkelijk uit meer dan cyberverzekeringen
alleen.
CYBERRISICO’S REËEL
Om te beginnen vragen we de kennispartners hoe reëel
cyberrisico’s eigenlijk zijn. Aan de hand van hun voorbeelden
wordt direct duidelijk dat de risico’s zeer reëel
zijn en dat het om grote bedragen kan gaan.
Rob Zijl (Manager Products & Markets Schade bij
Allianz Nederland): “Een medewerker van een autobedrijf
had op de link geklikt in een phishing mail. Data
en backup werden versleuteld, het bedrijf kwam enkele
weken stil te liggen. De reconstructie van data en backup
kostte 30.000 euro. Daarnaast moest nog eens vijftien
mille worden uitgegeven aan IT-ondersteuning en
nieuwe systemen. Verder moest hardware worden vervangen,
iets dat overigens niet onder de verzekeringsdekking
viel.”
Mijntje van Paridon, Branche Manager Financial
Lines bij Hienfeld: “Een bedrijf bestelde ieder half jaar
voor zo’n 50.000 tot 100.000 euro aan goederen in Taiwan.
Op een gegeven moment ontving het bedrijf een
factuur van 70.000 euro voor te leveren goederen, die
keurig werd betaald. Maar de goederen kwamen maar
niet. Het bleek dat iemand zich al een half jaar eerder
toegang tot de systemen had verschaft. Zo kon hij meekijken
en op het gebruikelijke moment van bestellen
een nepfactuur sturen.”
René Walstra, commercieel manager intermediair
bij Avéro Achmea: “We hebben nog geen noemenswaardige
praktijkcasussen waaruit een claim is voortgekomen.
De afgelopen jaren hebben we wel veel kennis
opgedaan op het gebied van cyber. Uit onderzoek
(CBS) blijkt dat vijftig procent van de bedrijven met
meer dan tien medewerkers in het MKB vroeg of laat
te maken krijgt met een cyberincident. Dan kun je toch
wel spreken van een reëel gevaar.”
STEEDS GEHAAIDER
Cyberrisico’s bestaan dus! Reijer van Woudenbergh,
Perfect Day: “Als je niks aan cyberbeveiliging doet, is de
kans op een incident inderdaad groot. Toch denken veel
mensen nog steeds dat het hen niet zal overkomen. Criminelen
worden steeds gehaaider. Als je bijvoorbeeld
8 | VVP SPECIAL SEPTEMBER 2020

CYBER
naar phishing mails kijkt: die zijn soms zó professioneel
dat zelfs mensen die echt alert zijn, er in trappen.”
Van Woudenbergh noemt het zaak om ‘aan de voorkant’
zoveel mogelijk maatregelen te nemen om cyberincidenten
te voorkomen. “Heb de basishygiëne
op orde én: houd haar op orde. Dat zit ‘m niet alleen in
technische maatregelen, maar ook in het zorgen dat
je op de juiste manier met data en persoonsgegevens
omgaat, dat je mensen weten wat ze doen en dat je
een noodplan hebt. Om een paar voorbeelden te noemen:
zorg voor een firewall en goede antivirussoftware.
Installeer áltijd updates. Leer je medewerkers hoe ze
phishing mails kunnen herkennen én zorg dat ze zich
ook vrij voelen om het te melden als ze toch op een foute
link hebben geklikt. Met een goed noodplan beperk
je altijd schade. Als de basis op orde is, kun je overwegen
het ‘restrisico’ af te dekken.”
Volgens de kennispartners kan het al mis gaan als
de deur ook maar een heel klein beetje open wordt gelaten.
Björn Jalving, Teamleider Markt & Product bij Turien
& Co.: “Net zoals inbrekers hun kans schoon zien
als je de achterdeur van je huis niet op slot doet. Daarbij
kun je digitaal op afstand zien of de deur wel of niet
op slot zit.”
Mensen, aldus de kennispartners, zijn nog te veel
geneigd te denken: wat valt er bij mij nou te halen? Alsof
cybercriminelen hun doel altijd precies uitzoeken. In
de realiteit wordt vaak met hagel geschoten en zijn de
slachtoffers willekeurig. En een paar honderd euro losgeld
van een particulier of een paar duizend euro van
een MKB-bedrijf is ook geld; het ‘massa is kassa’-principe
gaat ook hier op.
De kennispartners benadrukken dat cybercriminelen
wel degelijk ook steeds gerichter te werk gaan
en dat de diversiteit aan cyberincidenten steeds groter
wordt. Denk ook aan bijvoorbeeld schending van de
privacywetgeving. Bovendien, aldus Zijl: “Een cyberincident
kan ook de reputatie van je organisatie schaden.
Gedupeerde klanten kunnen je aansprakelijk stellen.
Daarnaast is goed crisismanagement een cruciale factor,
waarmee aanzienlijke kosten gemoeid kunnen zijn.”
THUISWERKEN
De kennispartners constateren dat particulieren en organisaties
zich gelukkig wel steeds bewuster zijn van
cyberrisico’s. Niet in de laatste plaats trouwens juist
door cyberincidenten. En ook algemene ontwikkelingen.
Een voorbeeld van zo’n ontwikkeling is het thuiswerken,
dat onder invloed van corona explosief is gegroeid.
Jalving: “Ons premie-inkomen uit cyberverzekeringen
ontwikkelt zich gestaag. Maar toen de AVG werd
ingevoerd, ontstond duidelijk extra vraag. Ook het toegenomen
thuiswerken zien wij duidelijk terug in meer
aanvragen dan anders.”
Adviseurs nemen cyberrisico’s ook steeds meer mee
in hun advisering, zien de kennispartners. Zijl: “Zeker de
grote kantoren maken cyberrisico’s al standaard onderdeel
van hun adviesgesprekken. Bij de middelgrote en
kleinere kantoren is het beeld meer divers.”
Walstra: “Wij zien vooral veel verschillen. Er is een
groep adviseurs die al jarenlang bezig is met cybermanagement,
maar waarvan niet alle klanten al zover zijn.
En er is een groep adviseurs die afwachtend is.”
Van Woudenbergh constateert “een behoefte aan
handvatten om het gesprek te kunnen voeren. Wat wij
tegenkomen, is dat adviseurs de materie wel bij klanten
Mijntje van Paridon
(Hienfeld): ‘Adviseren
cyberrisico’s hoeft geen
technisch verhaal te zijn.’
SPECIAL SEPTEMBER 2020 VVP | 9

CYBER
Reijer van Woudenbergh
(Perfect Day): ‘Heb de
basishygiëne op orde én:
houd haar op orde.’
voor het voetlicht weten te brengen, maar niet altijd
kunnen ‘doordrukken’ als het gesprek de diepte in gaat.
Door ze te helpen met een paar praktische tips en weetjes,
zien we een enorm verschil in effectiviteit.”
ADVISEUR OVERZIET SPEELVELD
Walstra: “Als adviseur kun je je onderscheiden door cyber
actief mee te nemen in adviesgesprekken. Veel ondernemers
in het MKB vertrouwen op hun ICT-leverancier.
Maar het speelveld bij informatiebeveiliging en cybersecurity
is breed en complex. De adviseur kan zijn rol
pakken doordat hij het gehele speelveld overziet. In onze
visie begint het gesprek over cyber bij de adviseur. Wij
denken dat iedere adviseur dat gesprek kan voeren. Van
preventie tot een goede verzekering. Hiervoor bieden
wij ondersteuning op maat: opleidingen, bijeenkomsten,
checklists. In samenwerking met ons kan de adviseur
specialistische kennis inzetten daar waar nodig.”
Van Paridon: “Wij zien dat cyberrisico’s vooral worden
opgepakt door adviseurs die het onderwerp zelf
interessant vinden. Adviseurs laten zich tegen houden
door het idee dat er gespecialiseerde technische of juridische
kennis nodig is, terwijl het juist gaat om het duiden
van de risico’s. Wat gebeurt er als er een laptop met
gevoelige data wordt gestolen? Wat gebeurt er op het
moment dat essentiële machines worden gehackt en
een bedrijf geen productie meer kan draaien?”
“Belangrijk om te beseffen als adviseur”, vervolgt
Van Paridon, “is dat cyberrisicomanagement vooral
draait om weten wat de gevolgen voor de ondernemer
zijn op het moment dat er een datalek is of een cyberincident.
Deze gevolgen kunnen ondervangen worden
door een cyberverzekering te sluiten, maar ook door
maatregelen vooraf te treffen zodat de kans op een incident
kleiner wordt. Bedenk verder dat een ondernemer
met een cyberverzekering veel expertise in huis haalt
op juridisch, ICT- en PR-vlak, en dat de dekking uit een
totaalpakket bestaat van vergoeding van eigen schade,
dekking bij aansprakelijkheid bijvoorbeeld door een
datalek en crisismanagement. Ik denk dat dat nog niet
voldoende leeft.”
Philip van Gangelen, manager Verkoop bij De Goudse:
“Het beeld van wat adviseurs doen is heel verschillend,
maar we zien absoluut erkenning van dit risico en
bereidheid om erover in gesprek te gaan met klanten.
Het probleem is dat zowel de adviseur als de eindklant
meestal niet over de juiste expertise beschikt. Daarnaast
is de ICT-dienstverlener een zeer gewaardeerde kennispartner
voor de eindklant. Hier kom je als adviseur niet
makkelijk tussen. Wij kunnen als verzekeraar beter ons
best doen om deze essentiële spelers op gebied van het
cyberrisico op de juiste manier bij elkaar te brengen.
“Wij vinden dat cyberrisicomanagement voor ieder
kantoor is weggelegd. Op dit moment nemen klanten
over de hele linie gewoon te weinig maatregelen,
terwijl die maatregelen eigenlijk heel simpel te implementeren
zijn. Het CBS meldde in 2018 dat circa 45 procent
slechts nul tot drie maatregelen neemt. Uit eigen
onderzoek van De Goudse komt eenzelfde beeld. We
hebben het dan bijvoorbeeld over slechts 52 procent
van de klanten die doen aan dagelijkse backups en 34
procent van de klanten die aan bewustwording bij hun
medewerkers doen. En dat terwijl dit vrij eenvoudige
10 | VVP SPECIAL SEPTEMBER 2020

CYBER
manieren zijn om bijvoorbeeld je risico’s op het gebied
van ransomware te verminderen.”
Zijl noemt het belangrijk om de juiste persoon aan
te spreken. “Als het gaat om zaken als Brand en Aansprakelijkheid
vinden bedrijven de (financieel) directeur
vaak het logische aanspreekpunt. Bij cyber redeneren
ze dat de IT-manager dat moet zijn. Maar als je inzet
op cyberrisicomanagement – of beter nog: volledig
risicobeheer – kun je als adviseur beter de risk manager
aanspreken. Inzicht in de Decision Making Unit bij een
bedrijf is dus van groot belang.”
VERHALEN VERTELLEN
Jalving: “Ik verbaas me er wel eens over dat adviseurs
bij cyberrisico’s al snel denken dat ze veel ICT-kennis
moeten hebben. Terwijl ze dat bij andere branches niet
of veel minder vinden. Het is echt niet zo dat alle adviseurs
alles afweten van bijvoorbeeld constructies van
gebouwen. Als adviseur ben je prima in staat om samen
met de klant cyberrisico’s te duiden. En als je er een specialisme
van wilt maken, is dat natuurlijk prima. Het is
een mooie marktkans. Maar het hoeft niet.”
Volgens Jalving is ‘verhalen vertellen’ een goede
manier om “cyberrisico’s bij de klant over de bühne te
krijgen. Als je concrete schadegevallen gebruikt, maak
je het veel persoonlijker. Veel ondernemers kennen een
ondernemer die het slachtoffer is geworden”.
CYBERSCHADE
De ‘cybermarkt’ voor adviseurs en verzekeraars ontwikkelt
zich, zoveel is duidelijk. Ze zal alleen nog maar verder
groeien naarmate het bewustzijn verder groeit en
meer adviseurs cyberrisico’s oppakken.
Het schadeverloop in Nederland ontwikkelt zich,
aldus Zijl, langs de lijnen die internationaal onderzoek
door Allianz te zien geeft. De belangrijkste schade-oorzaken
die in de Allianz Risk Barometer worden
genoemd, zijn: 1. gebrekkige cybersecurity; 2. spionage,
hacks, malware, DDoS-aanvallen; 3. slordigheid en fouten
van medewerkers.
Van Paridon: “Die ontwikkeling is ook terug te zien
in het schadebeeld. MKB-bedrijven gaan soms failliet
door de gevolgen van een cyberaanval en de schades
kunnen flink oplopen.“ Kijkend naar de eigen portefeuille,
denkt Zijl dat er voor de verzekeraars momenteel
geen directe aanleiding is om de premie aan te passen.
Van Gangelen: “Van schades hebben we door de
kleine volumes nog geen eigen beeld. In die zin is het
ook heel moeilijk om iets te zeggen over hoe reëel de
huidige premies zijn. In de VS is een forse stijging van
het aantal claims de oorzaak van de eerste premieverhogingen
en voorwaardenwijzigingen.”
Rob Zijl (Allianz Nederland):
‘Cyberrisicomanagement
onderdeel maken van het
totale risicobeheer.’
Jalving: “Wij krijgen wel signalen dat sommige verzekeraars
op de grootzakelijke markt de premie aan het verhogen
zijn. Ook worden verzekerde bedragen verlaagd.
Maar in de MKB-markt is de premie wel stabiel.” Mogelijk
hebben de aanpassingen op de grootzakelijke markt
te maken met juist de elementen die Zijl noemde: reputatieschade
en aansprakelijkheidsstellingen na cyberincidenten.
Ook Avéro Achmea blijft zich ontwikkelen op het
gebied van cyber. Walstra: “Op basis van de ervaringen
die wij sinds de introductie hebben opgedaan, pas-
SPECIAL SEPTEMBER 2020 VVP | 11

CYBER
Philip van Gangelen
(De Goudse): ‘Cyberrisicomanagement
voor ieder
kantoor weggelegd.’
René Walstra (Avéro
Achmea): ‘Gesprek
overcyber begint bij
adviseur.’
sen wij onze propositie aan zowel qua voorwaarden als
prijs. Nieuw is ook tooling om snel tot een premie-indicatie
en een offerte te komen. We merken dat daar behoefte
aan is in de markt.”
GRAPPERHAUS
Naar aanleiding van de twee ton losgeld waarmee
de Universiteit Maastricht haar gegijzelde bestanden
vrijkocht, zei minister Grapperhaus: “Het heeft mijn
voorkeur dat de verzekeraar niet het losgeld vergoedt
dat in handen van criminelen terecht komt, maar juist
de geleden schade door het niet betalen van dit losgeld.”
De kennispartners vinden deze uitspraak op z’n minst
ongenuanceerd: “De werkelijkheid is niet zo zwartwit.
Het is sowieso niet bij alle verzekeraars in de dekking
opgenomen. In alle gevallen staat eerst een ICT-oplossing
centraal. Hiervoor worden diverse specialisten ingezet,
zodat de kans op herhaling minimaal wordt. En
dus ook betalen van losgeld niet nodig is. Dat het soms
toch gebeurt, is omdat tijdens de afhandeling van de
schade blijkt dat dit de enig werkbare manier is om de
getroffen ondernemer weer aan de slag te krijgen. Bijvoorbeeld
omdat het de expert niet lukt de getroffen
bestanden te herstellen. Maar het is nooit het uitgangspunt,
het is een laatste redmiddel.” n
12 | VVP SPECIAL SEPTEMBER 2020

Met de
VVP Nieuws App
dagelijks op de
hoogte van al
het nieuws in de
financiële sector
De VVP Nieuws App voorziet u van al het verzekerings-,
hypotheek- en ander financieel nieuws!
De VVP Nieuws App maakt gebruik van informatie uit
alle betrouwbare en toonaangevende media zoals het FD,
de Telegraaf, Adfiz, AFM, Kifid, New Finacial Forum,
AM en VVP.
Naast het laatste nieuws biedt de VVP Nieuws App
onder meer:
● maximale hypotheek berekenen;
● boete berekenen;
● hypotheekcheck;
● VVP Vacatures Service;
● vakevents;
● actuele hypotheekrentes;
● VVP Ondernemerspanel.
Download hem nu
www.vvpapp.nl

PARTNER IN KENNIS
HET MKB LEUNT WAT ACHTEROVER ALS HET OM CYBERDREI-
GING GAAT. NOG GEEN KWART VAN DE ONDERNEMERS MAAKT
ZICH ZORGEN OVER HACKING, PHISHING, RANSOMWARE EN
DATALEKKEN, ZO BLIJKT UIT ONDERZOEK*, TERWIJL TOCH DE
HELFT AL EENS TEGEN CYBERINCIDENT AANLIEP. EEN MOOIE
KANS VOOR ADVISEURS OM ‘CYBER’ IN HET RISICOMANAGE-
MENT VOOR KLANTEN MEE TE NEMEN. “DE WAARDE VAN ADVIES
STAAT HIERBIJ VOOROP.”
Ondernemers
beschermen met
drietrapsraket
TEKST MARTIN NEYT
Het aantal cyberaanvallen en
datalekken steeg de afgelopen
jaren al aanzienlijk, de
coronacrisis zorgt voor extra
dreiging. Het Nationaal Cyber
Security Center (NCSC)* bracht onlangs
zijn jaarlijkse Cybersecuritybeeld Nederland
uit en wijst daarin op het dominoeffect
dat het uitvallen van systemen
na cyberattacks kan veroorzaken. Alles
is immers met elkaar verbonden en we
leunen steeds zwaarder op digitale technologie.
Het MKB blijft natuurlijk niet
gevrijwaard van cyberincidenten, al verschijnen
de berichten over deze schade
heel wat minder in de media.
“Er zijn genoeg gevallen van cyberincidenten
in het MKB bekend,” zegt Ronald
Blom, key accountmanager Schade
Zakelijk & Inkomen bij Avéro Achmea.
“Het gaat in veel gevallen om het gijzelen
van data. Criminelen schieten nep e-
mails als hagel op kleinere ondernemingen
af en er is altijd wel iemand die op de
links klikt. Het MKB beschikt niet over de
IT-budgetten die het grootbedrijf heeft,
dat maakt de sector kwetsbaarder.”
KANS VOOR ADVISEURS
De nonchalance van het MKB met betrekking
tot cyberincidenten kan deels worden
verklaard door onwetendheid, maar
ondernemers verschuilen zich ook achter
schijnveiligheid. Men denkt onterecht
dat antivirussoftware en een ICT-partner
afdoende zijn, stelt Blom. “Antivirussoftware
voorkomt niet dat medewerkers
zwakke wachtwoorden aanmaken of op
links klikken. En de rol van ICT’ers is afhankelijk
van de afspraken die zijn gemaakt.
Overigens verschillen de inzichten
van ondernemers en ICT’ers. Uit onderzoek
van Ipsos en GFK* blijkt dat 58 procent
van de IT-beheerders vindt dat hun
MKB-klanten onvoldoende beschermd
zijn, terwijl bijna hetzelfde percentage
van de ondernemers juist vindt dat de
veiligheid voldoende is gewaarborgd.”
Het MKB beschikt niet over een realistisch
beeld van de cyberdreiging en de
adviseur kan daar verandering in brengen.
Er zit toekomstmuziek in cyber, aangezien
we steeds meer ‘connected’ zijn.
Maar de techniek kan volgens Ronald
Blom tegelijkertijd een obstakel vormen
voor adviseurs. “Ik kan me voorstellen
dat men denkt: ik weet niet zoveel van
ICT, dus laat maar zitten. Het gaat echter
met name om het creëren van bewustwording
bij de klant. Adviseurs hoeven
niet het IT-beheer van een bedrijf door te
lichten of technische adviezen te bieden.
Het inzicht geven in de risico’s en mogelijke
oplossingen voor een specifiek bedrijf
is de eerste stap en van grote toegevoegde
waarde voor de ondernemer.”
WAKE-UP-CALL
Het is volgens Blom raadzaam om bedreigingen
voor ondernemers concreet te
maken. Te denken valt aan voorbeelden
uit de media, maar ook aan praktijkverha-
14 | VVP SPECIAL SEPTEMBER 2020

CYBER
len van IT’ers. “Er zijn advieskantoren die
lokale IT-bedrijven uitnodigen bij cyberbijeenkomsten
voor ondernemers. Deze specialisten
kunnen beeldend vertellen over
alle digitale gevaren die op loer liggen en
over het gedrag van medewerkers.”
Zelf toont hij vaak een cyberrisicotest
bij presentaties. De lijst bevat stellingen
als ‘u heeft duidelijk vastgelegd welke
collega’s toegang hebben tot gevoelige
informatie’ en ‘uw medewerkers wisselen
elke maand van wachtwoord’. “Het is een
wake-up-call, de zaal valt soms een beetje
stil. ‘Oei, dat doen wij nog niet’. Ook
lang niet alle advieskantoren hebben de
basale cyberveiligheid op orde. Dat is wél
een vereiste als ze ondernemers over dit
thema willen adviseren.”
Bedrijven kunnen naar zijn inzicht de
risico’s al met eenvoudige preventieve
maatregelen indammen, zoals het
regelmatig trainen van medewerkers,
een protocol voor thuiswerken, een
strikt wachtwoord- en toegangsbeleid,
back-ups en continue updates van
antivirusprogramma’s en firewalls.
“We stellen de laatstgenoemde drie
maatregelen als minimale vereisten voor
het afsluiten van een cyberverzekering.”
CYBERINCIDENT? INTERMEDIAIR
BELLEN
Preventie is, na bewustzijn, de tweede
trede van de drietrapsraket waarmee
Avéro Achmea ondernemers bescherming
tegen cyberincidenten biedt. Adviseurs
kunnen de online checklist van de
verzekeraar - via de website - gebruiken
om de elementaire cyberrisico’s van een
bedrijf in kaart te brengen. Voor ondernemers
die een uitgebreid onderzoek wensen,
biedt Avéro Achmea in samenwerking
met Capgemini een assessment aan.
De derde fase bestaat uit het afdekken
van het restrisico. Een bedrijf dat
schade oploopt door een cyberattack of
door een datalek, kan op bijstand van een
professioneel team rekenen. “We willen
dat een onderneming weer snel vooruit
kan, dus na de eerste inventarisatie, gaan
securityspecialisten van onze partner
Fox-IT op locatie aan de slag. Er staat 24/7
een cyberclaimteam klaar. Ondernemers
‘Het gaat met
name om het
creëren van
bewustwording
bij de klant’
kunnen gewoon hun intermediair bellen
als er zich een cyberincident voordoet. Of
als ze het vermoeden hebben. De adviseurs
weten vervolgens de weg.”
MINDER DREMPELS CYBERZEKER
Nu kende het CyberZeker van Avéro
Achmea nog wat drempels, iets waar
sommige adviseurs bij het aanbieden
van verzekeringen tegenaan liepen. Zo
moest er een lange lijst met vragen worden
beantwoord om een premievoorstel
te krijgen. En het product was alleen geschikt
voor bedrijven met een omzet tot
en met 10 miljoen Euro. Naar aanleiding
van feedback van adviseurs, past Avéro
Achmea dit aan. De verzekeraar vervangt
de vragenlijst dit najaar door een online
tool om offertes te maken met veel minder
vragen, en verruimt de omzetgrens
naar 30 miljoen Euro. De maximale verzekerde
som wordt 3 miljoen Euro, de premie
is concurrerender geworden en bestuurlijke
boetes vallen onder de dekking.
“Met een toegankelijker productpallet
anticiperen we op alle ontwikkelingen.
Een intermediair moet een klant ook
daadwerkelijk iets te bieden hebben en
niet een uur bezig zijn met een vragenlijst.
Cyberincidenten komen inmiddels
zo vaak voor en zijn zo schadelijk, dat ze
niet kunnen ontbreken bij goed risicomanagement
voor een ondernemer. De
waarde van advies staat voorop.”
CYBERTRAINING OP MAAT
Om adviseurs op weg te helpen, heeft
Avéro Achmea samen met Fox-IT een training
Cyberrisico’s ontwikkeld. In de training
komt een stukje techniek aan bod,
maar de nadruk ligt op adviesvaardigheden.
“Zo geven we tips om het gesprek
aan te gaan en bieden we handige tools.”
Avéro Achmea biedt de training op
maat aan. Voor zowel kleine als grote
groepen. “We vernemen het graag als
adviseurs deze training willen volgen. Ze
kunnen zich bij mij aanmelden”, aldus
Ronald Blom. n
Meer informatie over cyberrisico’s
en tips om het gesprek aan te gaan:
averoachmea.nl/cyber: Ronald.Blom@
achmea.nl
* Bronnen: ncsc.nl, Avéro Achmea – Infographic
risicomanagement – oktober 2019, Alianz/ Ipsos
– Onderzoek cybercriminaliteit – december 2019.
SPECIAL SEPTEMBER 2020 VVP | 15

CYBER
KLAP VERWACHT DAT CYBER TOT DE KERN GAAT HOREN VAN HET
VERZEKERINGSLANDSCHAP. NU WORDT CYBER VAAK NOG ALS
CROSSSELL MOGELIJKHEID GEZIEN. HOE MOOI ZOU HET ZIJN
ALS DIT NET ZO’N BELANGRIJKE POSITIE GAAT INNEMEN ALS
BRAND OF AANSPRAKELIJKHEID. DIT DOMEIN VERDIENT HET!
Kijk naar de inhoud
in plaats van de prijs
TEKST BRAM GRUNDMEIJER, COMMERCIEEL DIRECTEUR KLAP
Waaruit bestaat jullie cyberaanbod precies?
Ons aanbod beslaat grofweg drie domeinen, te weten:
bewustwording, preventie en verzekeren. Het aanbod
doen we online. Hier kan direct worden afgesloten. Daarnaast
bieden we de gehele propositie ook op de traditionele
manier aan. Dit naar de wens van klant of prospect.
Op de drie domeinen werken wij nauw samen met
diverse verzekeraars en Perfect Day. Perfect Day is een
initiatief van onder andere Klap en Nationale-Nederlanden
om cybersecurity op een eenvoudige manier onder
de aandacht te brengen bij het bedrijfsleven. Dan volgt
laagdrempelig advies. Vaak zijn bepaalde risico’s met
eenvoudige ingrepen te voorkomen. Na deze bewustwording
en preventieve aanpak blijft er een (rest)risico over
waarbij de ondernemer al dan niet kan besluiten om dit
tegen een aantrekkelijk tarief bij ons te verzekeren.
Waarop ligt in jullie aanbod het accent?
‘Voorkomen is beter dan genezen’. Dat is iets wat we
vaak horen in de markt en terecht. Je klant wil maar
een ding: kunnen doorgaan met zijn bedrijfsactiviteiten
en zo min mogelijk rompslomp om de bijbehorende
risico’s adequaat af te dekken. Dan zou je dus zeggen:
preventie is de oplossing! Echter zit er nog een cruciale
stap vóór; de stap van bewustwording. Daar ligt onze
focus. Als de klant zich bewust is van cyberrisico’s kan
hij pas een gewogen besluit nemen. Wat wil hij doen
aan preventiemaatregelen en wat wil hij verzekeren?
Mocht het onverhoopt toch zover komen dat er schade
optreedt, dan focussen we ons vooral op het snelle herstel
van de bedrijfsactiviteiten van de ondernemer. Dit
doen we met een vaste leveranciersschil van hulpverleners
met vergaande expertise in de verschillende domeinen.
WEES RELEVANT
Hoe zetten jullie het aanbod in de markt?
Dit doen we op verschillende manieren. We werken
nauw samen met een aantal brancheorganisaties die
wij voorzien van content. Met die content creëren zij
bewustwording bij de leden. Deze content verspreiden
we door middel van webinars, seminars, nieuwsitems
en specifieke landingspagina’s voor de branche.
Hiermee vergroten we de toegevoegde waarde van de
brancheorganisatie naar haar leden en maken wij de
kans op conversie ook groter waardoor een lid ook klant
wordt van Klap. Wees dus relevant!
Daarnaast hebben we een eigen online portaal ontwikkeld
(cyberrisicoverzekering.nl). Zowel particulieren
als ondernemers kunnen hun verzekeringen eenvoudig
online samenstellen en afsluiten.
Last but not least: dit domein leent zich zeer goed
om je toegevoegde waarde als adviseur te laten zien.
Alle collega’s van Klap bespreken cyber dan ook als vast
onderdeel bij hun relaties en prospects.
16 | VVP SPECIAL SEPTEMBER 2020

CYBER
Met welke risicodragers werken jullie?
Wij werken met diverse Nederlandse verzekeraars voor
zakelijke cyberrisico’s en met een buitenlandse partij
voor particulier. Het aanbod is breed en iedere verzekeraar
legt eigen accenten, de één zet vol in op preventie,
de ander juist op de verzekering en de schade. Het
is belangrijk voor de adviseurs om goed te weten wie
welk aanbod heeft, want tussen de verzekeraars zitten
nogal wat verschillen. Ook de uitvoering als er schade
is, is verschillend. Het aanbod moet dan ook echt goed
passen bij de behoefte van de klant. De adviseur is daarin
echt relevant, die moet de vertaling maken van de
wensen van de klant naar welk aanbod van welke verzekeraar
het beste past. Prijs moet daarbij van minder
belang zijn dan inhoud en soort. Cyber is geen verzekering
die iedere verzekeraar moet willen ontwikkelen. Er
is veel specifieke kennis voor nodig om het echt goed te
doen. Dus als verzekeraars deze markt willen opzoeken,
is het van groot belang dat ze goed kijken naar welke
waarde zij nog kunnen toevoegen in het concurrentieveld
en of ze daarvoor genoeg expertise in huis hebben.
NOG ONVOLDOENDE BEWUST
Wat zijn jullie ervaringen tot nu toe? Wordt er veel beroep
gedaan op (onderdelen van) jullie cyberpropositie?
Gaat het om forse schades? Een praktijkvoorbeeld mag!
Onze ervaring leert dat ondernemers nog onvoldoende
‘bewust’ zijn van de cybergevaren die op de loer liggen.
Een brand of aansprakelijkheidspolis? Uiteraard!
Je goed wapenen tegen cyberincidenten? Daar moeten
de meesten over nadenken. Dit terwijl wereldwijd de
schatting is dat er een verlies wordt geleden door cyberincidenten
van circa zes miljard dollar in 2021. Bizar!
Minder dan 20 procent van ondernemend Nederland
heeft een dergelijke dekking afgesloten. Er is dus nog een
hele weg af te leggen. Ondanks dat het aantal cyberincidenten
in de wereld afneemt, zien we de hoogte van
de individuele schadeclaims oplopen waarbij het MKB
vaker doelwit is. Ook zien we een verschuiving van aandacht
naar medewerkersbewustzijn en identity & access
management omdat er steeds nieuwe manieren worden
gezocht om gebruik te maken van menselijke zwaktes.
Overigens, vaak draait het niet alleen om geldelijk
verlies. Schade kan namelijk ook indirect optreden. Een
mooi voorbeeld uit de praktijk. Als de grootste makelaar
op het gebied van evenementen hebben we te maken
gehad met een ticketingbureau dat gehackt was,
waardoor veel persoonsgegevens op straat kwamen te
liggen. Los van een mogelijke schadeclaim van de gedupeerden
was de kans op imagoschade nog vele malen
groter. Wat het einde van dit bedrijf kon betekenen. Per
slot van rekening: wie wil er nou zakendoen met een
SPECIAL SEPTEMBER 2020 VVP | 17

CYBER
‘Laat je niet het bos insturen
omdat iemand zegt dat
alles goed geregeld is.’
partij die persoonsgegevens niet goed beschermt. Wat
zeg je dan tegen de pers bijvoorbeeld? Maar er lag al
een keurig draaiboek klaar voor het geval zo’n gebeurtenis
zich voor zou doen. Ook hebben de ondernemers
zich laten bijstaan door een imago deskundige om het
hele communicatietraject te begeleiden. Wat communiceer
je wel, wat niet, via welk medium en hoe doe je
dat? Een mooi voorbeeld hoe je jezelf toch kunt beschermen
bij een cyberaanval. Dat kan als je bewust, preventief
en adequaat deze risico’s omgaat. En het bedrijf?
Dat is er uiteindelijk goed uitgekomen!
WAT IS EXACT GEDEKT?
Waar moet men nou ontzettend goed op letten als men
een cyberpropositie adviseert of sluit?
Wat is exact gedekt? We zien in de markt spotgoedkope
dekkingen, maar die zijn veelal uitgekleed. Je koopt een
‘kat in de zak’. Mede gezien het feit dat men niet precies
weet wat belangrijk in een dekking is. Bij een gebouw
dat afbrandt, heeft iedereen beeld. Een cyberincident is
daarentegen nog steeds erg abstract.
Daarnaast en nog belangrijker: welke additionele
diensten zijn gedekt onder de verzekering die per direct
kunnen worden ingezet om de bedrijfsactiviteiten
zo snel mogelijk op gewenst niveau te brengen? Werkt
de risicodrager bijvoorbeeld met een vaste groep aan
dienstverleners die kunnen bijstaan op specifieke aandachtsgebieden?
Kortom: kijk naar de inhoud in plaats
van de prijs. Als dit ergens goed is uit te leggen, dan is
het wel bij een cyberpolis.
Wat kan er beter aan cyberverzekeringen?
Differentiatie. De markt is nog relatief jong, waardoor er
nog beperkt ervaring is op het gebied van branchespecifieke
cyberincidenten. Ik denk dat het goed is om specifieker
in te zoomen op de activiteiten van een bedrijf,
waardoor er meer aandacht is voor specifieke dekkingen
als het gaat om de cyberrisico’s. Ook als een bedrijf
zaken zeer goed op orde heeft: haal deze dan uit de dekking
waardoor datgene overblijft waar écht behoefte
aan is. Als deze differentiatie ook in prijs wordt doorgevoerd,
dan zullen mogelijk meer bedrijven (die in mindere
mate tot de risicogroep horen) toch een passende
dekking afsluiten voor het geval het toch mis gaat.
PHISHING MAILS
Hoe gaan jullie zelf om met cyberrisico’s?
Wij voeren binnen Klap een actief beleid voor wat betreft
cybercriminaliteit. Er liggen draaiboeken op de plank
voor als het toch mis gaat en we besteden veel aandacht
aan het morele risico. Je kunt de zaken nog zo goed hebben
afgedicht, de kans dat een collega op een foute e-
mail klikt blijft bestaan. Zo sturen wij naar alle medewerkers,
periodiek, phishingmails. We kunnen precies zien
wie klikt en wie niet. Deze resultaten delen we binnen de
organisatie om, daar is ie weer, bewustwording te creëren.
Tijdens corona is er voor ons niet veel veranderd. We
werkten al virtueel via een beveiligde omgeving thuis. Er
zijn echter nu meer collega’s die vaker thuiswerken.
De AVG: hoe groot is de impact hiervan uiteindelijk
gebleken?
De hele markt viel over AVG. Het leek ontzettend impactvol
vol te zijn, zo ook voor ons. Nu het stof is neergedaald,
zien we dat het zeer goed te overzien is. Zeker
in de dagelijkse operatie. Het werken met standaard
verwerkersovereenkomsten of via een beveiligde lijn
privacygevoelige informatie verzenden, is binnen ons
bedrijf het nieuwe normaal geworden. Ook als we kijken
naar de toegang tot onze systemen hebben we iedere
functie rechten gegeven voor specifieke applicaties
waar deze persoon gebruik van kan maken. De overige
applicaties kan deze persoon dan niet in. Zijn er vragen
op dit gebied, dan hebben we een speciaal contactpersoon
die deze vragen behandelt.
PRAKTIJKTIPS
Geef drie praktijktips voor collega-adviseurs bij het beheersen
van cyberrisico’s en/of het verzekeren daarvan.
– Focus op bewustwording. Praat niet over verzekeren,
maar inventariseer bij je prospect het kennisniveau.
Vraag door. Laat je niet het bos insturen omdat
iemand zegt dat alles goed geregeld is. Dit rust
vaak op onvoldoende kennis van zaken. Wij zijn als
branche moreel verplicht om deze kennis (bewustwording)
toe te voegen. Een belangrijke randvoorwaarde
is dat je de stof en actualiteiten rondom dit
thema up-to-date houdt gezien alle ontwikkelingen
op dit toch wat abstracte domein.
– Prijs mag geen issue zijn. Voorwaarden wel. Als het
voor een prospect duidelijk is wat zijn of haar risico’s
zijn, bepaal dan samen wat acceptabel is voor
de ondernemers en wat niet. Het restrisico dat overblijft,
zal verzekerd moeten worden. Logisch gevolg.
Prijs is dan veelal ondergeschikt.
– De derde tip: dat is het geheim van de smid… n
18 | VVP SPECIAL SEPTEMBER 2020

PARTNER IN KENNIS
HET SCHILDERWERK BIJ EEN SCHILDER THUIS LAAT VAAK TE
WENSEN OVER. EEN DOKTER NEGEERT VAAK DE EIGEN GE-
ZONDHEIDSKLACHTEN. HET IS EEN BEKEND GEGEVEN DAT EEN
SPECIALIST EN EXPERT KLANTEN OF PATIËNTEN GOED ADVI-
SEERT, MAAR DE EIGEN ADVIEZEN ZELF NIET ALTIJD OPVOLGT.
ZORG – ALS FINANCIEEL ADVISEUR DIE ZIJN OF HAAR KLAN-
TEN GOED ADVISEERT OVER CYBERVERZEKERINGEN – OOK ZELF
VOOR EEN GOEDE CYBERVERZEKERING, WANT CYBERAANVAL-
LEN KOMEN REGELMATIG VOOR EN DE IMPACT IS GROOT.
Wees geen dokter: is
uw eigen bedrijf wel
goed verzekerd tegen
cyberrisico’s?
TEKST DE VEREENDE
De Vereende is een bekende
speler als het gaat om onverzekerbare
risico’s. Maar
dat de verzekeraar ook de
beroepsaansprakelijkheid
dekt van onder andere financieel adviseurs
is wellicht minder bekend. Ook
daar speelt de Vereende met de BAVAMpolis
een belangrijke rol in verzekeringsland.
En nu voegt de Vereende een aanvullende
cyberdekking toe aan de BA-
VAM-polis.
Manager Marketing en Acceptatie
Bert Sonneveld: “Financieel adviseurs zijn
vanuit de Autoriteit Financieel Markten
verplicht om een beroepsaansprakelijkheidsverzekering
te hebben. Echter, wij
vinden het belangrijk dat u als financieel
adviseur niet alleen kijkt naar wie de
laagste premie heeft voor een dergelijke
verzekering, maar ook naar wie u het
beste helpt als u aansprakelijk wordt gesteld
voor een beroepsfout. U wilt toch
zelf ook geholpen worden op de manier
waarop u uw klanten helpt?”
“We houden continu onze producten
tegen het licht. Uit onderzoek bij onze
klanten distilleren we wat zij belangrijk
vinden en dat vertalen we weer in aanpassingen
en veranderingen. Zo wordt er
nu hard gewerkt aan het aanbieden van
een cyberdekking voor de verzekeringsnemers
van de BAVAM-polis”.
BAVAM IS BETROUWBAAR
De Vereende deed in juni onderzoek onder
financieel adviseurs op basis van de
Net Promotor Score. Daaruit blijkt dat 86
procent van de financieel adviseurs een
acht of hoger aan de Vereende geeft voor
haar Beroepsaansprakelijkheidsverzekering
voor Assurantietussenpersonen en
Makelaars & taxateurs (BAVAM-polis).
Een kwart van de ondervraagden geeft
de verzekeraar zelfs het cijfer tien. In het
bijbehorende rapport staan reacties van
zeer tevreden financieel adviseurs. “BA-
VAM is betrouwbaar. Ik heb uit ervaring
geleerd dat als er een situatie is, er direct
actie ondernomen wordt.” Een andere
adviseur: “Ik ben enthousiast omdat
ik recent een zaak had met BAVAM-polis.
Ik vind dat ik erg goed ben behandeld en
het contact was zeer prettig.”
VERSCHIL MAKEN
Sonneveld: “Ik ben blij dat we in dit soort
gevallen het verschil kunnen maken. Fouten
maken is menselijk. Als financieel
adviseur kun je danig in de put zitten als
gevolg van een aansprakelijkheidsclaim.
Het levert soms slapeloze nachten op en
het kan zelfs de voortgang van uw be-
20 | VVP SPECIAL SEPTEMBER 2020

CYBER
drijf in gevaar brengen. Dan wilt u kunnen
rekenen op betrouwbare hulp. Wij
bieden die. Het liefst laten we het helemaal
niet komen tot een claim. We roepen
financieel adviseurs dan ook op om
niet te wachten tot het escaleert, maar
eerder contact met ons op te nemen. Ons
vroeg inschakelen heeft ook als voordeel
dat we kunnen meedenken en het dossier
al vroeg kennen. Schroom dus niet
om contact op te nemen.”
“Onze klanten beamen dat u met
een BAVAM-polis gewoon goed zit en
weet waar u aan toe bent. We geven dan
ook korting aan ambassadeurs. Als u als
tevreden klant een nieuwe klant aandraagt,
krijgen u en de nieuwe klant een
jaar lang een korting van 10 procent op
de jaarpremie. U steekt dan uw nek uit
voor ons. Dat waarderen we en we willen
die waardering dan ook laten zien.”
CYBERVERZEKERING
Binnen het Nederlandse bedrijfsleven is
er veel gedigitaliseerd. Er werd al veel gebruik
gemaakt van mobiele apparatuur
zoals laptops, tablets of telefoons en in de
afgelopen maanden is dit gebruik, door
veelvuldig thuiswerken, alleen maar toegenomen.
Het is volgens Sonneveld dus
van groot belang dat de data die via deze
apparatuur wordt uitgewisseld en verwerkt,
goed beschermd wordt tegen hackers.
“Ook moet u er niet aan denken dat
computersystemen worden vergrendeld
en de dader losgeld eist. Naast het losgeld
dat betaald moet worden kan de bedrijfsschade
door het stil liggen van het
bedrijf aardig oplopen. En dit overkomt
niet alleen grote bedrijven. Juist ook kleine
bedrijven zijn vaak het slachtoffer omdat
zij op dit gebied vaak net iets minder
geregeld hebben dan grote bedrijven.”
Sonneveld: “Het belang van een goede
cyberverzekering begint ook steeds
meer door te dringen bij onze verzekerden
van de BAVAM-polis. Steeds vaker
krijgen wij de vraag of wij iets kunnen
betekenen op het gebied van cyberverzekeringen.
Naar aanleiding hiervan hielden
wij een enquête onder de lezers van
onze nieuwsbrief. Hieruit bleek dat 70
procent van de respondenten niets of
Bert Sonneveld: ‘Geen
ingewikkelde keuzes.’
nauwelijks iets voor het afdekken van
cyberrisico’s heeft geregeld. Ook kwam
naar voren dat 90 procent wel interesse
heeft in het aanvullend afsluiten van een
cyberverzekering.”
Naar aanleiding hiervan heeft de Vereende
de samenwerking gezocht met
een gerenommeerd bedrijf op het gebied
van cyberverzekeringen dat met zorgvuldig
geselecteerde partners samenwerkt.
“Mocht het dan onverhoopt toch tot een
cyberaanval komen, dan moeten klanten
er immers op kunnen vertrouwen dat deze
partners de begeleiding, het advies en het
nemen van maatregelen verder oppakken.
Regelmatig zorgt menselijk handelen
voor het slagen van een cyberaanval. Het
per ongeluk openen van een phishing
e-mail is immers zo gedaan. Het bieden
van een verzekeringsoplossing is dan
cruciaal, maar het zorgen voor een stukje
preventie en bewustwording is net zo
belangrijk. Ook op dit vlak biedt de cyberverzekering
van de Vereende ondersteuning.
Want ook op dit vlak is voorkomen
beter dan genezen.”
Het is vaak lastige materie en klanten
vinden het moeilijk om een dekking te
vinden die bij hen past. De Vereende kiest
er daarom voor om geen ingewikkelde
keuzes voor te leggen. “We willen een
uitgebreide dekking gaan bieden met
één verzekerd bedrag, één eigen risico en
dit tegen een goede premie. Kort gezegd;
binnenkort komen wij met een complete
dekking die ruimschoots volstaat bij de
cyberaanvallen waar onze klanten mee
te maken kunnen krijgen.” n
CONTACT
Bent u geïnteresseerd en wilt u op de
hoogte blijven van de mogelijkheid
van de cyberdekking via de BAVAMpolis?
Neem dan contact op met de
Vereende via verzekeren.bavampolis@vereende.nl
of 070 - 319 53 10
want cyberaanvallen komen regelmatig
voor en de impact is groot.
SPECIAL SEPTEMBER 2020 VVP | 21

CYBER
Cybersecurity:
een kwestie van
basismaatregelen
CYBERCRIMINALITEIT IS EEN WERELDWIJD VERDIENMODEL GEWORDEN. OP HET DARK
WEB KUN JE KANT-EN-KLARE PROGRAMMA’S AANSCHAFFEN OM EEN WEBSITE PLAT
TE LEGGEN. VOLGENS DE FBI WORDT ER MOMENTEEL MEER GELD VERDIEND MET
CYBERCRIMINALITEIT DAN IN DE WERELDWIJD GEORGANISEERDE DRUGSHANDEL. HET
CBS MELDT IN HAAR VEILIGHEIDSMONITOR 2019 DAT IN NEDERLAND CYBERCRIME DE
TRADITIONELE VORMEN VAN CRIMINALITEIT HEEFT INGEHAALD. CYBERINCIDENTEN
VORMEN HET GROOTSTE BEDRIJFSRISICO (39 PROCENT), ALDUS DE ALLIANZ RISK
BAROMETER 2020. KORTOM, CYBERCRIMINALITEIT IS EEN INDUSTRIE GEWORDEN MET
DIEPE ZAKKEN, EIGEN R&D-ACTIVITEITEN EN VERREGAANDE PROFESSIONALITEIT.
TEKST LIESBETH HOLTERMAN, BELEIDSADVISEUR CYBERVEILIG NEDERLAND
22 | VVP SPECIAL SEPTEMBER 2020

CYBER
De financiële sector in Nederland is al jarenlang
een interessant doelwit voor cybercriminelen.
Waar in eerste instantie
vooral de banken een interessant doelwit
waren (denk aan internetbankieren),
zijn dat nu ook steeds meer kleine(re) bedrijven
in de sector. Het is de data die deze bedrijven tot
een aantrekkelijk doelwit maakt, en niet de bedrijfsomvang.
En door de hoeveelheid aan persoons- en bankgegevens
is de sector een interessant doelwit. Tel daarbij
op dat de meeste ondernemingen een geringe bedrijfsomvang
hebben, met weinig eigen cybersecurity expertise,
maar wel erg afhankelijk zijn van IT-systemen. Volgens
verzekeraar Hiscox staat de financiële dienstverlening
dan ook op de tweede plaats van meest getroffen
sectoren als het om cybercriminaliteit gaat. Gemiddelde
schade: 149.000 euro. Het is dus belangrijk om minder
kwetsbaar te zijn voor cybercriminelen. En cybercriminelen
werken net zoals inbrekers. Ze kiezen het liefst
een bedrijf waar ze de deur niet hoeven forceren en snel
weer weg zijn met de buit. Postbus 51 zei het jaren geleden
al: ‘Voorkomen is beter dan genezen.’ Zo geldt het
ook voor cybersecurity. Wanneer je de juiste voorzorgsmaatregelen
(preventie) neemt, ben je uiteindelijk beter
uit dan wanneer je als organisatie de gevolgen van
een cyberincident moet oplossen. Als organisatie, groot
of klein, zijn er een aantal basismaatregelen die je al
snel minder kwetsbaar maakt. Een aantal van de belangrijkste
maatregelen zijn:
• INVENTARISEER DE RISICO’S IN RELATIE TOT JE
BUSINESS
Bij het beschermen van data en informatiesystemen
is het belangrijk dat je nadenkt over de risico’s in relatie
tot je business. Om deze goed in te kunnen schatten
zijn drie aspecten van belang. Vertrouwelijkheid, je
moet bijvoorbeeld persoonsgegevens afschermen. Integriteit,
kun je erop vertrouwen dat de gegevens correct
zijn? Denk bijvoorbeeld aan bankrekeningnummers
waarvan je niet wilt dat deze worden veranderd. En als
derde beschikbaarheid. Hoe erg is het als je systeem uitvalt?
Kun je dan nog doorwerken?
• MAAK MEDEWERKERS BEWUST VAN DE DO’S EN
DONT’S OP HET INTERNET
Bewustwording is heel belangrijk. Je hoeft niet heel
veel te weten over cyberrisico’s, maar je moet je er wel
van bewust zijn dat er risico’s zijn en hoe deze te voorkomen.
Is het bijvoorbeeld zo dat werknemers op hun
werktelefoon of tablet van alles mogen downloaden?
Hierdoor ontstaat het risico op een datalek omdat er regelmatig
apps tussen zitten, waarvan in de voorwaarden
staat dat ze toegang hebben tot je adressenlijst en
andere informatie op je apparaat. Herkennen je medewerkers
een phishing-mail? Controleren zij bijvoorbeeld
de links in e-mails, of de afzender? Is meerfactoridentificatie
ingesteld om te voorkomen dat CXO-fraude
mogelijk is? Zorg voor permanente training van je
medewerkers om het bewustzijn hoog te houden en oefen
dit regelmatig.
• ZORG VOOR GOEDE BACK-UPS
Financieel dienstverleners hebben veel data waar ze
mee werken. Hierdoor zijn financiële dienstverleners
extra kwetsbaar voor bijvoorbeeld een ransomwareaanval.
Ransomware (‘gijzelsoftware’) is kwaadaardige
software waarbij een slachtoffer afgeperst wordt, nadat
de digitale systemen of bestanden met een code op slot
zijn gezet. De aanvaller biedt de code tegen losgeld aan,
zodat het slachtoffer er weer bij kan. Door een goede, recente
(offline) back-up wordt de schade die een ransomware
kan aanrichten minimaal. Zorg er dus voor dat
van je belangrijkste gegevens en documenten back-ups
gemaakt worden. Mochten er toch persoonsgegevens
verloren gaan, dan heb je mogelijk een datalek. Dat
moet je melden bij de Autoriteit Persoonsgegevens.
• VOER UPDATES UIT
Producenten van software zijn doorlopend bezig om
hun producten veiliger te maken. Ontdekte kwetsbaarheden
of een betere beveiliging worden via updates
aangeboden. Dit zijn security patches. Cybercriminelen
maken vaak gebruik van al bekende kwetsbaarheden
om binnen te komen. Installeer dus in elk geval altijd
direct de meest recente patches zodat je organisatie zo
goed als mogelijk beveiligd is.
• KIES VEILIGE INSTELLINGEN
De software die systemen aanstuurt (zoals bijvoorbeeld
voor Windows10) wordt met standaard instellingen geleverd.
Sommige van deze instellingen zijn niet veilig.
Controleer dus altijd de instellingen van je apparatuur,
software en netwerk- en internetverbindingen. Pas altijd
de standaardinstellingen aan en kijk kritisch naar
functies en diensten die automatisch ‘aan’ staan, want
misschien heb je ze niet nodig en kun je ze ‘uit’ zetten.
• GEBRUIK ANTIVIRUS
Malware is kwaadaardige software die computersystemen
verstoort, informatie verzamelt of versleutelt. Er
zijn verschillende manieren waarop malware toegang
krijgt tot een computer, smartphone of netwerk. Een
gebruiker kan een geïnfecteerde e-mail (of bijlage) openen,
een foute website bezoeken of een besmet bestand
via bijvoorbeeld een USB-stick openen. Zodra de malware
binnen is, verspreidt het zichzelf daarna als een
SPECIAL SEPTEMBER 2020 VVP | 23

CYBER
olievlek naar andere apparaten en/of gebruikers. Om je
netwerk en je systemen veilig te houden is het belangrijk
om antivirussoftware te hebben. Antivirus kan virussen
identificeren, tegenhouden en bestaande virussen
verwijderen.
• BEPERK AUTORISATIES
Bepaalde medewerkers binnen de organisatie, zoals de
administrator, hebben vaak zeer uitgebreide bevoegdheden
om veranderingen aan te brengen op systemen
en binnen applicaties. Voor cybercriminelen is het dus
zeer interessant om toegang te krijgen tot dit type gebruiker.
Zorg daarom dat je zo min mogelijk administrator
rechten geeft aan gebruikers en dat je dit account
zeer goed beschermt.
• MAAK HELDERE AFSPRAKEN MET TOELEVERAN-
CIERS, ZOALS JE CLOUD LEVERANCIER
Welke afspraken heb je gemaakt met anderen over digitale
veiligheid? Wat betekent het voor jou als een ander
een dienst niet kan leveren waar jij afhankelijk van
bent? Hoe kwetsbaar ben jij dan? Voor financiële adviseurs
geldt dit in toenemende mate voor cloud leveranciers.
Denk vooraf na over welke informatie je in de
cloud wilt zetten, wie daarbij mag en onder welke voorwaarden.
Maak ook duidelijke afspraken en leg verantwoordelijkheden
vast. Vragen die in ieder geval beantwoord
moeten worden door de cloud leverancier zijn:
wordt mijn informatie versleuteld? Wie kan er bij mijn
informatie? Welke maatregelen worden getroffen om
CYBERVEILIG NEDERLAND
Cyberveilig Nederland is dé belangenorganisatie voor cybersecurity
bedrijven in Nederland. We brengen transparantie
aan in de sector door de ontwikkeling van een gedragscode
en keurmerk. We nemen actief deel aan het publieke debat en
zien cybersecurity niet alleen als een risico, maar juist ook als
een kans om Nederland te positioneren als een land dat veilige
producten en diensten voortbrengt. We gaan het gesprek aan
met de overheid en andere strategische partners om onze kennis
en kunde van het cybersecurity werkveld voor het grotere
belang in te zetten. We brengen verbindingen tot stand, tussen
cybersecurity bedrijven onderling, maar ook brengen we vragers
en aanbieders samen. We praten met de overheid en politiek
om (toekomstige) knelpunten weg te nemen die de digitale
weerbaarheid van Nederland in de weg staan. Maar vooral:
we doen! We zijn initiatiefnemer en uitvoerder van het Cybersecurity
Woordenboek, waarbij ruim 600 cybersecurity termen
door professionals verzameld zijn en in begrijpelijk Nederlands
zijn opgeschreven (download gratis via www.cyberveilignederland.nl/woordenboek).
Liesbeth Holterman:
‘Voorkomen is beter
dan genezen.’
die veiligheid te garanderen en wie controleert dat? Al
deze vragen zijn relevant omdat jij altijd controle moet
houden over de informatie. Niet alleen omdat je die nodig
hebt om te ondernemen, maar ook omdat je je hebt
te houden aan wet en regelgeving (bijvoorbeeld de Algemene
Verordening Gegevensbescherming).
• DEEL ERVARINGEN MET ELKAAR
De eenvoudigste maatregel is het belang van het delen
van ervaringen met elkaar. Daarom mijn oproep
aan iedereen die zelf slachtoffer is geworden of slachtoffers
kent: praat er over. Nog steeds durven maar weinig
organisaties openlijk te praten over hetgeen hun
is overkomen. Terwijl anderen juist kunnen leren van
je incident. Alleen op deze manier voorkomen we dat
slachtoffers zich slachtoffer blijven voelen. Wanneer
we er een aantal kunnen voorkomen door open te zijn
verspreid zich dit als een olievlek en daar worden we allemaal
beter van. Zolang de slachtoffers niet openlijk
durven te praten over hun ervaringen over de impact
van een cybersecurity incident is de financiële sector
onaanvaardbaar kwetsbaar. En daar wordt niemand beter
van. n
24 | VVP SPECIAL SEPTEMBER 2020

CYBER
Maria Genova:
‘Kennis testen.’
MARIA GENOVA
Maria Genova is onderzoeksjournalist en schrijfster
van het boek ‘Komt een vrouw bij de h@cker’ (voor
volwassenen) en ‘What the h@ck!’ (voor jongeren
tussen de 10 en 16 jaar).
26 | VVP SPECIAL SEPTEMBER 2020

CYBER
BEDRIJVEN KUNNEN OP VEEL MANIEREN GEHACKT WORDEN
EN DAT GEBEURT OOK DAGELIJKS. VOLGENS HACKERS ZIJN ER
SLECHTS TWEE SOORTEN BEDRIJVEN: BEDRIJVEN DIE AL GEHACKT
ZIJN EN BEDRIJVEN DIE GEHACKT GAAN WORDEN. KLOPT DAT?
Goede manieren om je
organisatie te wapenen
tegen hackers
TEKST MARIA GENOVA
Bedrijven en organisaties denken vaak dat ze
niet interessant genoeg zijn om gehackt te
worden. Maar zo kieskeurig zijn de hackers
niet. Vaak komen ze ergens per toeval binnen,
bijvoorbeeld omdat Marike van de administratie
of accountmanager Pieter op een
phishingmail hebben geklikt. Of omdat collega Marc
een website heeft bezocht die besmet bleek te zijn met
een virus, of omdat directeur Jan Verkerk Winter2020
als wachtwoord heeft gebruikt of gewoon Welkom123.
SLACHTOFFERS
Inmiddels is meer dan 60 procent van de kleine en middelgrote
bedrijven in Nederland slachtoffer geworden
van cybercrime. Vorig jaar werd ook een recordaantal
particulieren slachtoffer: meer dan vier miljoen mensen.
Nederland is vanwege de goede digitale infrastructuur
een doelwit voor cybercriminelen uit de hele wereld.
Omdat we veel zaken digitaal regelen, valt er hier
ook heel veel te halen. Ook bij bedrijven en organisaties
die denken dat ze niet interessant zijn. Een voorbeeld is
het Interprovinciaal Overleg (IPO) dat een datalek bij de
Autoriteit Persoonsgegevens meldde: een medewerker
had op een phishinglink geklikt, accountgegevens ingevoerd
en vervolgens werden vanaf haar mailadres valse
mails verzonden. Zo’n hack is niet opmerkelijk, wel de
reactie van hun woordvoerder. Hij zei desgevraagd dat
IPO-medewerkers niet worden getraind om phishingmails
te herkennen. De reden? “Wij zijn slechts een
kleine organisatie met ongeveer dertig medewerkers.
Vooral de ICT-afdeling houdt zich bezig met dit soort zaken.”
Deze woordvoerder snapt blijkbaar niet dat de ICTafdeling
niet kan voorkomen dat de medewerkers op
phishingmails klikken en hun wachtwoorden invoeren.
En dat als de ICT-afdeling dat niet kan voorkomen, hun
computers gehackt worden.
SLAP EXCUUS
Een kleine organisatie is een slap excuus om de medewerkers
niet op te leiden op digitaal gebied. Want bij
elke organisatie valt wat te halen. Bij IPO is vooral het
netwerk van hun partners interessant. Als je zo’n kleine
organisatie hackt en namens haar een phishingmail
stuurt naar de partners, dan trappen die er waarschijnlijk
wel in. Wie de partners zijn, staat op hun website.
Het Interprovinciaal Overleg behartigt de gezamenlijke
belangen van de provincies en deelt veel kennis met
‘Een kleine organisatie is
een slap excuus om de
medewerkers niet op te
leiden op digitaal gebied’
SPECIAL SEPTEMBER 2020 VVP | 27

CYBER
andere organisaties. “Het IPO beschikt hiertoe over een
uitgebreid netwerk en onderhoudt contact met onder
andere het kabinet, het parlement, de ministeries, de
Europese Unie en maatschappelijke organisaties.”
Nou, dat zijn nogal wat interessante doelen.
IDENTITEITSFRAUDE
Veel medewerkers denken dat de ICT-afdeling in staat
is om te voorkomen dat een hacker via bijvoorbeeld
een kwaadaardige mail het computernetwerk binnendringt.
Dat is vaak niet het geval. De ICT-afdelingen van
veel bedrijven weten dat er kwetsbaarheden zijn in de
gebruikte software, maar voeren de updates niet op tijd
uit. Thuis werken updates meestal zonder problemen,
maar niet op de ingewikkelde computersystemen van
bedrijven. Daar moet eerst alles uitgebreid getest worden
zodat systemen niet uitvallen. Dat duurt vaak veel
langer dan nodig. De ene keer is het gebrek aan tijd door
onderbezetting, een andere keer slordigheid. Een mooi
voorbeeld is de grote hack van kredietbureau Equifax.
De persoonlijke gegevens van zo’n 143 miljoen klanten
werden daarbij gestolen. Katie van Fleet kreeg na de
hack vijftien verschillende kredietaanvragen op haar
naam en was maandenlang bezig met het herstellen
van haar kredietreputatie. Equifax werd gehackt door
het niet oplossen van een kwetsbaarheid die volgens
het interne beleid binnen 48 uur gedicht moest worden.
Soms is het gebrek aan capaciteit, maar de ICT-afdeling
was best ruim bezet met 255 IT-specialisten in dienst.
‘A fool with a tool is still
a fool’
LOSGELD
Veel bedrijven denken dat ze na een hack gewoon de
back-up terug kunnen zetten om verder te werken, maar
heel vaak blijkt de back-up ook besmet of gewoon vergrendeld.
Dat was recentelijk het geval bij de Universiteit
Maastricht. Omdat niemand meer kon werken, besloot
de organisatie 197.000 euro aan de hackers te betalen om
weer toegang te kunnen krijgen tot haar eigen computers.
Hoeveel weken kan jullie bedrijf zonder computers
werken? En stel dat de back-up besmet is en je bent alles
kwijt, ga je wel of niet de cybercriminelen betalen?
Bedrijven die niet voor dat soort dilemma’s willen
komen te staan, proberen het risico op hacks en datalekken
te verkleinen. Omdat technische maatregelen
niet alles kunnen oplossen, is het handig om bij de bron
te beginnen. Toen ik research deed voor mijn boek Komt
een vrouw bij de h@cker vroeg ik aan diverse hackers
wat de makkelijkste manier was om binnen te komen.
“De medewerkers,” zeiden ze. “Bedrijven verzinnen allerlei
tools om het computersysteem veilig te houden,
maar a fool with a tool is still a fool.”
FOOLS
Hoe komt het dat de medewerkers volgens de hackers
zulke ‘fools’ zijn? Vaak heeft niemand de moeite genomen
om ze op een simpele manier en door middel van
voorbeelden uit te leggen hoe ze zichzelf en het bedrijf
tegen hackers kunnen wapenen. Tijdens mijn lezingen
Komt een vrouw bij de h@cker en interactieve webinars
over privacy en cybercrime, merk ik aan de reacties dat
het voor de meeste mensen allemaal vrij nieuw is: hoe
werken de hackers precies, waarom zijn ze zo succesvol,
hoe herken je de betere phishingmails, waarom is
een berichtje in Whatsapp net zo gevaarlijk, hoe werkt
factuurfraude precies, hoe onthoud je honderd verschillende
wachtwoorden, wat is de simpelste manier om je
computer en mobiel tegen hackers te beschermen, wat
valt er precies onder een datalek, waar moet je als thuiswerker
op letten…? Online veiligheid is een van de meest
boeiende onderwerpen, omdat iedereen van ons vroeg
of laat ermee te maken krijgt. Investeren in awareness
hoeft helemaal niet duur te zijn, terwijl het een miljoenenschade
en ook veel reputatieschade kan voorkomen.
Op basis van de meest gestelde vragen tijdens honderden
lezingen heb ik een e-learning in quiz-vorm gemaakt,
met elke maand een nieuw thema op het gebied
van privacy en cybersecurity. Een aantal tests stel
ik gratis beschikbaar. Hackers gebruikten bijvoorbeeld
veel phishingmails over corona en kwaadaardige corona-wereldkaarten
en apps om binnen te komen. Wil je
je kennis testen? Stuur een mail naar genova@casema.
nl, dan mail ik je de corona cyberquiz. Slechts vijf van
de tien vragen worden gemiddeld goed beantwoord,
terwijl alle voorbeelden uit de praktijk komen. De quiz
mag kosteloos door bedrijven gebruikt worden om de
medewerkers te trainen de toenemende digitale gevaren
te herkennen. n
28 | VVP SPECIAL SEPTEMBER 2020

Ruim 75 jaar hét platform voor onafhankelijk adviseurs.
Word abonnee en profiteer mee!
Speciaal
aanbod
voor adviseurs!
VVP is het enige platform in Nederland puur gericht op onafhankelijke financieel adviseurs. Missie van VVP is
adviseurs praktisch ondersteunen in hun dagelijkse adviespraktijk, het onderstrepen van het maatschappelijk
belang van onafhankelijk advies én de versterking van de trots op het eigen adviesvak. Dit doen we met
relevante kennis, praktijkgerichte tools, inspiratie, het praktijkgerichte katern Ken je vak!, een dagelijkse
nieuwsbrief, een kennissite, vakevents, etc, etc.
Voor nog geen zes tientjes per jaar biedt VVP u als adviseur:
· Zes inspirerende en ondernemende bewaaredities
· Het kenniskatern ‘Ken je vak!’ met onder meer de vertaling van Kifid-uitspraken naar de adviespraktijk en
de rubriek Permanent Actueel
· Exclusieve specials met verdieping op een adviesonderwerp
· Netwerk- en kennisbijeenkomsten met korting voor abonnees, zoals de Events Inkomen, Bijzondere Risico’s,
Duurzaamheid, Innovatie en de Dag van het Topadvies met de uitreiking van de Advies Award voor het
meest klantvriendelijke kantoor
· Dagelijkse e-mail nieuwsbrief met op vrijdag de nieuwsbrief Ken je vak! op vrijdag
· De kennissite www.vvponline.nl
· Webinars
· Het VVP Ondernemerspanel, de gratis vraagbaak voor abonnees van VVP. Zes vakexperts delen met u hun
kennis en geven raad over uw eigen ondernemersvraagstukken.
· De VVP Nieuws App verzamelt al het actuele verzekerings-, hypotheek- en ander financieel nieuws:
www.vvpapp.nl
Word nu abonnee
Word voor nog geen zes tientjes per jaar (56 euro) abonnee van het meest complete platform voor financieel
adviseurs. Schrijf u in op: https://www.vvponline.nl/abonnementaanvragen en u maakt deel uit van het enige
platform puur gericht op onafhankelijk adviseurs. Een kleine investering die zich dubbel en dwars terugverdient!

PARTNER IN KENNIS
HDI GLOBAL SPECIALTY SE IS EEN NIEUWE VERZEKERAAR MET
EEN “START-UP-MENTALITEIT” DIE ZICH FOCUST OP GROEI IN
HET MIDDEN- EN KLEINBEDRIJF. DE NADRUK LIGT OP PART-
NERSCHAPPEN, DUURZAME RELATIES MET HET INTERMEDIAIR
EN OP KENNISDELING.
Waardevolle
cyberoplossingen
voor het MKB
TEKST MARTIN NEYT
Startup klinkt wellicht wat eigenaardig
voor een verzekeraar
die al meer dan een eeuw
bestaat, maar HDI Global Specialty
SE vertoont alle kenmerken
van een frisse nieuwkomer. Het bedrijf
zag vorig jaar het levenslicht, werkt
met agile multidisciplinaire expertteams,
vertrekt binnenkort naar een hip bankgebouw
nabij station Rotterdam Blaak (zie
kader) en maakt in no-time een enorme
digitaliseringsslag. Het laatstgenoemde
is een positief neveneffect van de coronacrisis.
Het vele thuiswerken levert een gedroomde
testcase voor medewerkers op.
“Thuiswerken houden we er sowieso
in”, vertelt Richard Qaiser, business owner
Niche Markets. “Het biedt extra flexibiliteit.
Digitalisering gaat hand in hand met
de compacte multidisciplinaire teams, die
we begin dit jaar hebben ingevoerd. Voorheen
waren de kennisvelden wat meer
gescheiden, nu werken we – ondanks dat
we niet op kantoor zitten – nauwer samen
en zijn dus beter op de hoogte van
wat een ieder doet. Geen eilandjes meer.
We horen het ook terug van financieel
adviseurs. Jullie zijn sneller en beter bereikbaar!
Een mooi compliment en het is
precies ons streven. Wij willen de nummer
één Specialty verzekeraar van Nederland
zijn, maar dan wel een verzekeraar
met wie je makkelijk kunt praten.”
STEEDS GERAFFINEERDER
Het voordeel van een grote organisatie
met een legacy - HDI is onderdeel van de
Duitse Talanx Group - is de aanwezige
hoeveelheid kennis en ervaring. ‘Specialty’
maakt van die kracht gebruik voor expertises
als beroeps- en bestuurdersaansprakelijkheid,
product contaminatie verzekeringen,
crisismanagement (bijvoorbeeld
kidnapping, afpersing & losgeld)
en niches, zoals kunstgras, kunst- en juweliersverzekeringen.
De deskundigheid
wordt nu doorgetrokken naar een relatief
nieuw fenomeen als cybercrime.
Zorgvuldig crisismanagement is eveneens
noodzakelijk bij gegijzelde data en
afpersing met ransomware, stelt Janine
Hendriks (product owner Crisis Management).
“De impact is natuurlijk anders,
maar in de kern gaat het om een misdrijf
dat een bedrijf stil legt. De methoden
van cybercriminelen worden steeds
geraffineerder. Fake e-mails uit naam van
instanties en banken zijn bijna niet van
echt te onderscheiden en ook de voorheen
veilig geachte Apple-producten bieden
inmiddels geen garantie meer tegen
hacks. Menselijk handelen ligt vaak ten
grondslag aan een cybermisdrijf. We eisen
dan ook dat bedrijven de nodige preventiemaatregelen
nemen, maar als de nood
aan de man is kunnen bedrijven op advies
van een consultant rekenen. Deze expert
trekt alle lijnen samen en zorgt ervoor dat
een onderneming weer snel in lucht is.”
CYBER EN BEROEPS-
AANSPRAKELIJKHEID
Valerie van Voorthuysen (product owner
Professional Indemnity): “De cyberschades
die wij nu zien zijn vaak gerelateerd
30 | VVP SPECIAL SEPTEMBER 2020

CYBER
Janine Hendriks Richard Qaiser Valerie van Voorthuysen
aan beroepsfouten. De toenemende dreiging
van cybercrime, de AVG en de continu
groeiende afhankelijkheid van data
en IT-systemen brengen dit met zich
mee. Aangezien beroepsaansprakelijkheid
en cyberaansprakelijkheid niet altijd
goed te scheiden zijn en in veel van
de gevallen toch als beroepsfout kunnen
worden gekwalificeerd en binnen de verzekerde
hoedanigheid zullen vallen, denk
ik dat BAV-verzekeraars er niet aan gaan
ontkomen om duidelijk te zijn over wat
er precies onder de dekking valt.”
“Voor de eigen schade van onze verzekerden
hebben we de Cyber eigen
schade dekking (Cyber add-on) ontwikkeld.
Deze bieden wij momenteel aan
‘Niet elke
cyberpolis is
hetzelfde.’
in volmacht, makelaarsopmaak en voor
collectieven. Ons systeem is bijna zover
om het ook zelf aan te bieden voor eigen
opmaak. Cyber add-on is ontwikkeld
als aanvulling op de beroepsaansprakelijkheidsverzekering,
om bescherming
te bieden voor eigen schade als gevolg
HDI verhuist naar Blaak House
De medewerkers van HDI verhuizen begin januari 2021 naar het gerenoveerde
Blaak House in Rotterdam. Dit rijksmonument vormde in de jaren vijftig samen
met de aanpalende gebouwen van de Twentsche Bank en de Amsterdamsche
Bank het financiële district van de Maasstad. Het nieuwe onderkomen ligt op vijf
minuten lopen van de huidige HDI-vestiging aan de Westblaak. HDI betrekt drie
verdiepingen in Blaak House. Kenmerkend element is het lichte atrium in het
hart van het monument, dat bij de renovatie in 2018 nadrukkelijk de functie van
ontmoetingsplek kreeg. “Openheid en transparantie passen bij onze hernieuwde
visie”, zeggen Janine Hendriks en Richard Qaiser. “We werken met korte lijnen en
collega’s ontmoeten elkaar makkelijker in het gebouw. Er zijn flexplekken en mooi
ingerichte ruimtes om onze agile werkwijze te versterken.”
van een cyberincident. Hieronder wordt
verstaan een privacy-, vertrouwelijkheids-
en netwerkbeveiligingsincident.
Of de informatie dan op de computer,
een USB-stick of in de cloud staat maakt
voor ons niet uit. Meerdere verzekeraars
hebben een beperking of uitsluitingen
opgenomen met betrekking tot data die
in de cloud is opgeslagen. Echter: in deze
tijd werkt bijna elke onderneming met
cloudoplossingen. Klanten en adviseurs
dienen daarom goed te letten op de verschillen
tussen de losse cyberproducten
en de aanvullende producten in de
markt. Niet elke cyberpolis is hetzelfde.”
WORKSHOPS VOOR ADVISEURS
HDI Global Specialty gaat in elk geval
door met de ontwikkeling van praktische
oplossingen voor MKB’ers. Kennisdeling
speelt daarbij een belangrijke rol en niet
in de laatste plaats met en voor financieel
adviseurs. Het liefst wil de verzekeraar
workshops voor het intermediair op
locatie gaan houden, al is dit afhankelijk
van de coronamaatregelen. Richard Qaiser:
“Desnoods worden het digitale sessies,
maar we gaan zeker iets voor adviseurs
organiseren. We hechten veel waarde
aan interactie met onze partners.” n
www.hdi-specialty.com
SPECIAL SEPTEMBER 2020 VVP | 31

CYBER
BIJ ALLES WAT WIJ COMMUNICEREN RICHTING DE MARKT,
MAKEN WIJ DUIDELIJK WAT DE TOEGEVOEGDE WAARDE IS
VAN CYBERWEERBAARHEID, HOE JE DE CYBERRISICO’S (EN
AANVERWANTE RISICO’S) IN KAART BRENGT EN BESCHERMT EN
WAT AON’S ROL DAARIN IS.
Cyberweerbaarheid
vereist totaalaanpak
TEKST MARIE-LOUISE DE SMIT EN MAARTEN VAN WIEREN, CYBEREXPERTS AON
Waaruit bestaat jullie cyberaanbod precies?
Wij zien cyberweerwaarheid als een combinatie van beveiliging,
monitoring, beleid, incident response, crisismanagement
en verzekeren. Aon hanteert daarom een
benadering die wij de Cyber Loop noemen. Dit stelt dat
elke organisatie op een ander moment kan beginnen
met het versterken van haar cyberweerbaarheid: met
assessment, kwantificering, verzekeren of incident response/crisismanagement.
Deze vier instapmomenten
zijn circulair met elkaar verbonden en versterken elkaar
onderling. Het is als het ware een ecosysteem voor
cyberweerbaarheid, continu bezig met evaluatie, verbeteringen
en investeringen in cyberrisicobeheer. Dat is
ook hoe wij ons aanbod in de markt zetten.
Afhankelijk van de klant en zijn wens starten wij het
gesprek bij een van deze vier instapmomenten. Wij adviseren
preventief over het crisismanagement bij een
cyberincident, maar ondersteunen ook op het moment
dat een cyberincident zich daadwerkelijk voordoet. Wij
kwantificeren de risico’s, kijken naar de huidige verzekeringen,
wat er eventueel ontbreekt en welke limieten
het beste passen bij de organisatie. Daarnaast gebruiken
wij (scenario)analyses en crisisoefeningen om organisaties
te leren om te reageren op cyberincidenten.
Bij grotere organisaties voeren we penetratietesten uit
of zelfs red-teaming-opdrachten, waarbij wij een realistische
cyberaanval simuleren. Uiteindelijk adviseren
wij altijd om naar het gehele plaatje te kijken en cyber
te benaderen vanuit de Cyber Loop-aanpak.
Waarop ligt in jullie aanbod het accent: de preventie,
de verzekering of de hulpverlening bij een onverhoopt
cyberincident? Is het hoe dan ook mogelijk deze onderdelen
los van elkaar te zien?
Het accent ligt bij ons dus op het totale plaatje, de Cyber
Loop. In onze optiek is het niet mogelijk om de vier
onderdelen los van elkaar te zien. Stel je doet niet aan
preventie, dan is het vrijwel onmogelijk om een cyberverzekering
af te sluiten. Gelukkig zijn we nog geen organisatie
tegengekomen die niks aan preventie doet.
Het is alleen wel de vraag of de genomen maatregelen
adequaat zijn en passen bij het risicoprofiel van de organisatie.
Wij helpen bedrijven om die maatregelen te
nemen die daadwerkelijk bijdragen aan de cyberweerbaarheid
van een organisatie.
VERSCHILLENDE ZAKEN
Hoe zetten jullie het aanbod in de markt?
Veel organisaties stellen een cyberverzekering nog
steeds gelijk aan cyberveiligheid. Onze communicatie
en de accountmanagers die bij de klant zitten, maken
heel goed duidelijk dat dit twee verschillende dingen
zijn. De accountmanagers zijn goed opgeleid zodat zij
de meeste vragen kunnen beantwoorden. Wanneer de
vragen technischer worden, halen zij de specialisten erbij.
Er staat op de achtergrond een heel team klaar voor
de klant.
32 | VVP SPECIAL SEPTEMBER 2020

CYBER
Marie-Louise de Smit.
Met welke risicodragers werken jullie? Is het buitenlandse
aanbod voldoende toegesneden op de Nederlandse
markt? Zouden meer Nederlandse verzekeraars
een aanbod moeten ontwikkelen?
Wij werken vooral samen met AIG, Chubb, AXA en in
sommige situaties ook met een kleine groep andere
verzekeraars. Een aantal Nederlandse verzekeraars, zoals
Achmea en De Goudse, heeft al een aanbod, maar
worstelt nog met het goed neerzetten in de markt. Het
kost ook veel tijd voordat klanten de toegevoegde waarde
van cyberverzekeringen kunnen waarderen. Wanneer
wij als Aon met buitenlandse verzekeraars werken,
is dat meestal via Nederlandse underwriters. Wij
sturen bij de ontwikkeling van producten en dekkingen
specifiek aan op de behoefte van Nederlandse organisaties.
Daardoor zorgen we ervoor dat het aanbod geschikt
is voor de Nederlandse markt.
CORONACRISIS
Wat zijn jullie ervaringen tot nu toe? Wordt er veel beroep
gedaan op (onderdelen van) jullie cyberpropositie?
Klanten begrijpen de filosofie van onze Cyber Loop over
het algemeen heel goed. Ons team van specialisten,
ondersteund door de rest van de organisatie, is sinds
de start van de coronacrisis zeer druk omdat klanten
steeds meer kiezen voor onze integrale aanpak. Zo hebben
we onlangs een klant geholpen met een assessment
en kwantificatie waardoor zij zich nog meer bewust
zijn geworden van het belang van een goede verzekering,
inclusief de capaciteit om snel en adequaat te
kunnen reageren als zich een incident voor zou doen.
Waar moet men nou ontzettend goed op letten als men
een cyberpropositie adviseert of sluit?
Een cyberpolis is de kroon op een gezond bedrijf, maar
geen alternatief voor cyberveiligheid. Dat gaat vooral
om preventie, assessments en het (cyber)risicoprofiel
en de risicobereidheid kwantificeren; dit alles samengebracht
in goed cyberrisicomanagement. Idealiter gebaseerd
op de Cyber Loop-aanpak. Door te snappen welke
cyberrisico’s jouw organisatie loopt, weet je welke dekkingen
van de cyberpolis aansluiten op jouw organisatie.
Verzekeraars accepteren het daarnaast niet als je
niet je stinkende best doet om cyberrisico’s het hoofd te
bieden.
ZORG VOOR GOEDE AANSLUITING
Wat kan er beter aan cyberverzekeringen?
De beperkende factor voor verzekeraars is dat niet alle
risico’s even tastbaar zijn. Zo zijn bijvoorbeeld reputatieschade
en diefstal van intellectueel eigendom lastig te
kwantificeren. Toch zijn deze schadeposten vaak direct
het gevolg van een cyberincident. Maar hoe kun je dat
verzekeren? Voor intellectueel eigendom hebben wij inmiddels
goede producten ontwikkeld waarmee we de
kwaliteit van cyberverzekeringen gaan verbeteren.
Ook is de taal bij sommige voorwaarden niet in alle ge-
‘Veel organisaties stellen
een cyberverzekering
nog steeds gelijk aan
cyberveiligheid’
SPECIAL SEPTEMBER 2020 VVP | 33

CYBER
Maarten van Wieren.
vallen voldoende duidelijk en eenduidig, hetgeen problemen
kan opleveren bij eventuele schade. Daarnaast
sluiten verschillende verzekeringen niet altijd goed op
elkaar aan, zoals de bedrijfsschade-, ongevallen-, aansprakelijkheids-
en cyberverzekeringen. De scheidslijnen
en eventuele overlap moeten duidelijk zijn. Een
goede broker kan dat toelichten en gaten in de dekking
voorkomen.
Welke toekomst dichten jullie cyberverzekeringen toe?
Alle risico’s hebben in de toekomst op een of andere
manier een cybercomponent. Silent cyber is daarbij
een grote uitdaging. Uitgangspunt van de silent cyberclausule
is dat er wordt uitgesloten wat doorgaans op
een cyberverzekering wordt ingesloten. Wat daar echter
kan ontstaan, is dat hetgeen wordt uitgesloten, niet
altijd verzekerd kan worden op een cyberverzekering
waardoor onverzekerbaarheid dreigt. Je krijgt dan bijvoorbeeld
de situatie dat er een brand door een cyberincident
ontstaat die nergens onder gedekt wordt als de
cybertrigger uit de brandpolis wordt gehaald.
Als verzekeraar moet je op lange termijn een bijdrage
leveren. De digitalisering zet door en het spectrum
van het cyberrisico niet goed begrijpen kan je je
niet veroorloven. Niet als bedrijf en niet als verzekeraar.
Daarnaast zullen de traditionele risico’s minder verrassingen
meebrengen dankzij Big Data, waardoor er
meer op maat gesneden standaardoplossingen komen.
Het autonoom rijden, met minder onverwachte schadeclaims,
is daar een goed voorbeeld van
Hoe gaan jullie zelf om met cyberrisico’s? Zijn jullie als
gevolg van corona ook meer thuis gaan werken en hoe
beheersen jullie de risico’s hiervan?
Simpel gezegd: wat wij adviseren, voeren wij zelf ook
uit. Het thuiswerken was al flink ingebed in Aon’s way
of working, dus de vervolgstap was relatief klein. We
zijn eigenlijk zonder problemen overgeschakeld. Omdat
het zwaartepunt nu wel wat verschoven is van kantoor
naar thuis hebben wij wat aanvullende maatregelen
genomen.
De AVG: hoe groot is de impact hiervan uiteindelijk op
jullie bedrijfsvoering gebleken? En waar moeten adviseurs
volgens jullie speciaal op letten in AVG-verband?
Naleving van de AVG valt natuurlijk onder de cyberrisico’s
en is daarmee onderdeel van ons cyberweerbaarheidsaanpak.
Adviseurs moeten in hun risicoanalyse
het niet-compliant zijn meenemen in hun risicoanalyses
en de klant erop attent maken. Er is nog wel af en
toe onduidelijkheid over of het wettelijk is toegestaan
om een AVG-boete te claimen. Dus die onzekerheid
moet benoemd worden.
PRAKTIJKTIPS
Geef drie praktijktips voor collega-adviseurs bij beheersen
cyberrisico’s en/of verzekeren daarvan.
– Zorg dat je niet alleen met een risicomanager of verzekeringsmanager
aan tafel zit, maar ook met de ITmanager,
CISO of CFO.
– Wees volledig voorbereid en ga met het totale spectrum
van cyberrisico’s een gesprek in. Maak duidelijk
dat het een enterprise (bedrijfsbreed) risk is, niet
‘slechts’ een van de risico’s.
– Aangaande verzekering: weet wat er gedekt is en
ook wat niet. Cyberverzekering is geen cyberveiligheid.
Schep volledige duidelijkheid zodat er achteraf
geen teleurstellingen zijn met eventuele vervelende
bijkomstigheden zoals negatieve persaandacht. n
34 | VVP SPECIAL SEPTEMBER 2020

PARTNER IN KENNIS
OVER EEN AANTAL JAREN IS EEN CYBERPOLIS EVEN INGEBUR-
GERD ALS EEN VERZEKERING VOOR BEROEPS- EN BESTUURDERS-
AANSPRAKELIJKHEID, ZEGT MIJNTJE VAN PARIDON, BRANCHEMA-
NAGER FINANCIAL LINES BIJ HIENFELD. NU AL STELLEN GROOT-
BEDRIJF EN OVERHEID EISEN AAN CYBERVEILIGHEID BIJ AANBE-
STEDINGEN, DAT WORDT VOLGENS HAAR DE NORM. HIENFELD
WIL ADVISEURS DAN OOK ACTIEF ONDERSTEUNEN OM HET THE-
MA HELDER BIJ ONDERNEMERS IN BEELD TE BRENGEN. “CYBER
HOORT BIJ DE EXPERTISE VAN DE ADVISEUR.”
“Cyber is een nieuw
risico dat we samen
moeten oppakken”
TEKST MARTIN NEYT
Hienfeld was er relatief vroeg
bij. Toen het grote publiek cybersecurity
nog min of meer
als sciencefiction beschouwde,
iets wat vooral een probleem
van de overheid en multinationals
was, bood de assuradeur al cyberpolissen
voor ondernemers aan. Inmiddels kost
het weinig moeite om ook voorbeelden
van hacks, ransomware-aanvallen en datalekken
in het MKB te vinden. Onlangs
werd bekend dat de gegevens van honderden
Nederlandse bedrijven na een
massale hack online stonden. Het ministerie
van Justitie en Veiligheid wist ervan,
maar bezit naar eigen zeggen geen mandaat
om ‘niet vitale’ bedrijven te waarschuwen.
Mijntje van Paridon vindt het kenmerkend
voor het stadium waarin cybercrime
zich bevindt. “Het is zo nieuw,
dat zelfs de wetgever zich even achter de
oren krabt. Landelijke coördinatie ter bescherming
van bedrijven ontbreekt nog.
Veel ondernemers hebben er ook nauwelijks
een beeld bij. Een brand is concreet,
maar wie of wat zit er achter een cyberaanval?
Daarnaast rust er een taboe op
het onderwerp. In ons acceptatietraject
zien we dat een verrassend groot aantal
ondernemers al een cyberincident heeft
meegemaakt, maar daar uit schaamte
liever niet over praat. Het is absoluut
geen schande. Cybercriminelen gooien
een sleepnet uit, daar kun je als MKB’er
eenvoudig in verstrikt raken.”
TEST LEIDT TOT HACK
Tijdens de coronacrisis is het aantal
hacks en ransomware-aanvallen verder
toegenomen. Hienfeld ziet dat in de dagelijkse
praktijk terug. Een bedrijf dat
een cyberpolis heeft via de assuradeur,
testte zijn remote desktop om het thuiswerken
voor medewerkers te optimaliseren.
De desktop was beveiligd met een
enkel wachtwoord. Terwijl het systeem
gedurende het weekend draaide, brak
een hacker in. Hij eiste losgeld om de
data vrij te geven. Achteraf bleek dat de
hacker zich ook toegang tot de back-up
had verschaft.
“Gelukkig kon de forensische ondersteuning
vanuit de verzekering het
grootste deel van de bedrijfsgegevens
herstellen”, vertelt Mijntje van Paridon,
“maar er ging toch het één en ander verloren.
Het bedrijf had tweestapsverificatie
moeten instellen in plaats van inloggen
met een enkel wachtwoord. Er ontstond
een panieksituatie in het bedrijf,
gelukkig kon ons team door snel handelen
erger voorkomen. Daarom is het naturagedeelte
van de polis zo belangrijk.
De uitkering dekt omzetverlies en andere
kosten, maar onze 24/7-bereikbaarheid,
36 | VVP SPECIAL SEPTEMBER 2020

CYBER
Mijntje van Paridon:
‘Cyberveiligheid
maakt deel uit van
de expertise van
de adviseur’
coördinator en technische, juridische en
PR-ondersteuning beperken de schade
en zorgen ervoor dat een bedrijf weer
vooruit kan.”
DOORDRINGEN VAN NOODZAAK
De vraag na een cyberattack is tevens
hoeveel en welke data er zijn gelekt. Dat
kan een vervelend staartje krijgen. Een
datalek vereist sowieso een melding bij
de Autoriteit Persoongegevens, het niet
tijdig melden kan een forse boete opleveren.
Afhankelijk van het soort gegevens,
hangt ondernemers ook claims van
klanten en reputatieschade boven het
hoofd. Een bedrijf dat de financiële gegevens
van gefortuneerde klanten beheert,
loopt wat dat betreft een groter risico
dan pakweg een groothandel.
“Cyberveiligheid is maatwerk, het
maakt deel uit van de expertise van de
adviseur. Maar het kan lastig zijn om ondernemers
te doordringen van de noodzaak.
Het is een abstract onderwerp en
klanten zitten niet te springen om extra
premies. Het helder illustreren van de
gevolgen is dan ook essentieel. Als gegevens
in de cloud verloren gaan, weet een
ondernemer dan wie hij of zij moet benaderen?
Wat zijn de gevolgen voor klanten?
Hoe worden gegevens hersteld? En
hoe lang zou het bedrijf stilliggen? Het
gaat niet om de technische kant van cybersecurity,
maar om de risico’s. Als ondernemers
de gevaren onderkennen, zijn
we goed op weg.”
INHOUDELIJKE KENNIS
Hienfeld is ervan overtuigd, dat de beste
resultaten worden geboekt als financieel
adviseurs en verzekeraars een nieuw thema
als cyberrisk samen oppakken. Het
advies is het domein van het intermediair,
de assuradeur biedt de polissen aan
én ondersteunt de adviseur desgewenst
met inhoudelijke kennis. Zo geeft Hienfeld
jaarlijks vijftig trainingen aan adviseurs.
Accountmanagers verzorgen deze
cursussen op locatie, eventueel samen
met acceptanten.
Adviseurs kunnen de nichespeler
ook rechtstreeks benaderen met inhoudelijke
vragen. “Wat is een goed verzekerd
bedrag?”, zo geeft Mijntje van Paridon
als voorbeeld. “Is er voorraad aanwezig
en kan een bedrijf in geval van nood
daarmee vooruit? Wil de ondernemer
het hele risico dekken of een deel? Het
zijn vraagstukken waarover een adviseur
wellicht even wat meer wil weten.
Wij doorlopen dan samen met het intermediair
het risico. Desgewenst gaan we
mee naar de ondernemer om het één en
ander te verduidelijken. We willen adviseurs
op alle mogelijke manieren bijstaan.
Cyber vergt ook snel handelen.
Onze acceptanten zijn rechtstreeks bereikbaar
en we bieden doorgaans binnen
een dag een offerte aan.”
STEVIG VANGNET
Cyber is volgens Mijntje van Paridon een
snelle beweging die constante aanpassing
vereist. Zoals de technologie voortschrijdt
en cybercriminelen daarin meegroeien,
zo moet ook cyberrisicomanagement
zich ontwikkelen. Ze schat in
dat een cyberpolis over vijf jaar net zo
gebruikelijk is als een beroeps- en bestuurdersaansprakelijkheidsverzekering.
“Ook daar werd aanvankelijk met enige
scepsis tegenaan gekeken, nu wordt zo’n
verzekering niet zelden als voorwaarde
gesteld. Hetzelfde gaat met cyber gebeuren.
Bedrijven die zaken met elkaar willen
doen, leggen cybersecurity onder de
loep. Hoe heb jij dat geregeld? Een cyberverzekering
is dan een garantie. Het
biedt uiteraard geen honderd procent
veiligheid, maar het is een stevig vangnet
voor als het mis gaat.” n
The Best in Niches – www.hienfeld.nl
SPECIAL SEPTEMBER 2020 VVP | 37

CYBER
38 | VVP SPECIAL SEPTEMBER 2020

CYBER
SPECIAL SEPTEMBER 2020 VVP | 39

CYBER
Aan de slag
met cyberrisico
advies
Koppen waarin gewag wordt gemaakt van
een gehackt bedrijf, een universiteit die
geconfronteerd wordt met ransomware of
een ziekenhuis dat te maken krijgt met een
datalek, (ont)sieren steeds vaker de krantenpagina’s.
Bijna zeven op tien ondernemers in
Nederland heeft al eens te maken gehad met een
cybersecurityincident en de gemiddelde schadelast
voor Nederlandse bedrijven en overheden wordt geschat
op ongeveer 300.000 per incident.
Gezien de grote kans en impact van een cybersecurityincident
heeft cybersecurity
een volwaardige plek ingenomen in de adviesgesprekken
die je als adviseur met je zakelijke
klanten voert. Adfiz helpt adviseurs daarbij met de
checklist ‘Aan de slag met advies cyberrisico’s’. Deze
checklist is een waardevol handvat bij het aan de
slag gaan met bestaande klanten om hen te doordringen
van de noodzaak van het treffen van cybersecuritymaatregelen.
Want getroffen worden door
een cybersecurityincident is vaak niet iets wat bedrijven
overkomt, maar wat ze hebben laten gebeuren.
Met de juiste preventieve en schadelastbeperkende
maatregelen, kunnen namelijk al veel cybersecurityincidenten
voorkomen worden en kan de te
verzekeren (financiële) schade beperkt blijven. n
‘Getroffen worden door
een cybersecurityincident is
vaak niet iets wat bedrijven
overkomt, maar wat ze
hebben laten gebeuren’
40 | VVP SPECIAL SEPTEMBER 2020

PARTNER IN KENNIS
EEN BAKKER MET GEHACKTE KASSA. EEN BOUWBEDRIJF
WAARBIJ DIGITALE TEKENINGEN ZIJN GESTOLEN. OF EEN
NOTARIS VAN WIE HET KLANTENBESTAND OP STRAAT LIGT.
CYBERCRIMINALITEIT KOMT STEEDS VAKER VOOR. HACKERS
KUNNEN IN KORTE TIJD VEEL SCHADE AANRICHTEN. TOCH
ONDERSCHATTEN VEEL ONDERNEMERS DE RISICO’S. ETHISCH
HACKER SIJMEN RUWHOF VERTELT HOE HIJ EEN BEDRIJF IN
ZES STAPPEN KAN ONTREGELEN.
Een bedrijf ontregelen in zes stappen
Een hack zit in
een klein hoekje
TEKST NATIONALE-NEDERLANDEN
Sijmen Ruwhof (34) hackt binnen
de kaders van de wet en
heeft als doel cybercriminaliteit
tegen te gaan. In opdracht
van bedrijven en overheidsinstanties
spoort hij fouten en veiligheidslekken
in hun systemen en netwerken
op. Zo helpt hij ze hun digitale
beveiliging te verbeteren.
DIT ZIJN SIJMENS ZES STAPPEN
VOOR EEN BEDRIJFSHACK:
Stap 1: het bedrijf verkennen
“Ik begin met verkennen via de website:
aantal medewerkers, adres, KvK-nummer,
vacatures, dat soort data. Via LinkedIn
zoek ik werknemersgegevens op zoals e-
mailadressen, geboortedata en telefoonnummers.
Zo breng ik het aanvalsoppervlak
in kaart. En deze informatie kan me
later helpen bij het kraken van wachtwoorden
van gebruikersaccounts. Als
ervaren hacker heb ik talloze trucjes om
een computer binnen te komen. Bijvoorbeeld
via de digitale beveiliging van de
internetservers of het contentmanagementsysteem.
Ik zoek naar beveiligingslekken
en kom er al snel achter hoe goed
een bedrijf beveiligd is.”
Stap 2: het netwerk binnendringen
“Als ik persoonsgegevens van een aantal
werknemers heb, kan ik hen een
phishing mail of sms sturen: een vals
bericht dat van een betrouwbare afzender
lijkt te komen. Ik schrijf een persoonlijk
bericht over een actueel onderwerp,
zoals corona, en zorg ervoor dat de mail
afkomstig lijkt van MijnOverheid. Vervolgens
voeg ik een pdf-bestand met de
nieuwe coronarichtlijnen toe als bijlage.
Ik zorg dat de timing klopt, bijvoorbeeld
net na een persconferentie. Met een
stukje code plak ik een zogeheten ‘exploit’
in het pdf-bestand, een klein computerprogramma
dat misbruik maakt
van niet bijgewerkte pdf-lezers. Wanneer
een werknemer het bestand opent,
komt de computer onder mijn controle te
staan en ben ik binnen!”
Stap 3: het netwerk dieper binnendringen
“Ik heb nu toegang tot de computer van
een werknemer: ik kan alle bestanden
inzien en de webcam en microfoon gebruiken.
Vanuit deze computer kan ik
meer systemen van het bedrijf bereiken.
Ik breng het hele netwerk in kaart, zoek
de zwakke plekken op en krijg zo controle
over steeds meer belangrijke systemen
en (beheer)accounts van werknemers.
Hacken is een kat- en muisspel.
Soms moet ik een week wachten voor ik
verder kan, omdat ergens een antivirusscanner
afgaat. Onzichtbaar een bedrijf
met duizenden werknemers hacken en
overnemen kost ongeveer twee à drie
maanden.”
42 | VVP SPECIAL SEPTEMBER 2020

CYBER
Cybercriminaliteit in de praktijk:
e-mailaccount gehackt
Het e-mailaccount van de directeur
van een uitzendbureau werd gehackt.
Vanuit zijn account werd een e-mail
gestuurd aan een medewerker met
het verzoek om een bedrag van ruim
€ 15.000 over te boeken naar een
buitenlands rekeningnummer. De
nietsvermoedende medewerker deed
de betaling en het geld was foetsie.
Gelukkig was het bedrijf verzekerd en
kregen ze vrijwel het gehele bedrag
weer terug.
Stap 4: toegang tot de bestanden
“Door systematisch simpele en veelgebruikte
wachtwoorden uit te proberen
op accounts, krijg ik na verloop van tijd
steeds meer rechten. Via de overgenomen
accounts krijg ik toegang tot vertrouwelijke
informatie van het bedrijf.
Veel werknemers hebben maar een paar
wachtwoorden die ze voor al hun systemen
gebruiken. Daar maak ik als hacker
natuurlijk misbruik van.”
Cybercriminaliteit in de praktijk:
ransomware
Een IT-hostingbedrijf werd slachtoffer
van een ransomware aanval. De
hacker had toegang tot de systemen
en versleutelde alle bestanden van
het bedrijf en haar klanten. De hackers
vroegen een afkoopsom van 1
miljoen euro. Omdat het bedrijf was
verzekerd, werden er snel IT forensische
experts en Cyber Security consultants
ingeschakeld om onderzoek
te doen en te onderhandelen met
de cybercriminelen. Juristen en PRconsultants
adviseerden het bedrijf
bij het inlichten van instanties en de
communicatie met klanten. Gelukkig
werden hierdoor de systemen snel
hersteld en bleef de schade relatief
beperkt.
Ethisch hacker Sijmen Ruwhof: ‘Zorg dat
iedereen in je bedrijf zich bewust is van
nut en noodzaak van cybersecurity.’
Stap 5: bestanden extern opslaan en/of
blokkeren
“De buitgemaakte informatie moet ik
‘veiligstellen’ door deze te uploaden naar
mijn eigen server op het internet. Als ik
een criminele hacker was, zou ik het hele
bedrijfsnetwerk kunnen versleutelen
met gijzelsoftware. Zo blokkeer ik de toegang
voor alle werknemers en zet ik het
bedrijf op slot. Vervolgens laat ik een bericht
achter. Als ze de bestanden en het
interne netwerk terug willen, moeten ze
bijvoorbeeld eerst een groot bedrag aan
bitcoins overmaken.”
Stap 6: ongezien wegkomen
“Mijn missie zit er bijna op. Maar eerst
moet ik nog mijn sporen uitwissen. Ik
verwijder logboeken, bestanden en uitgevoerde
opdrachten om te voorkomen dat
een IT’er ze later ontdekt. Voor de zekerheid
zou een criminele hacker een ‘back
door’ installeren: een verdekt stukje software
waarmee je op een later moment
weer kan binnenkomen in het systeem.
DE DRIE BESTE BEVEILIGINGSTIPS
VOOR BEDRIJVEN VAN SIJMEN:
Stel tweetrapsverificatie in: naast je
wachtwoord een steeds wijzigende code
die je ontvangt via een sms of app;
Installeer een wachtwoordmanager, zodat
werknemers per website een uniek
en sterk wachtwoord kunnen instellen;
Het belangrijkste: zorg dat iedereen in
het bedrijf zich bewust is van de nut en
noodzaak van cybersecurity. En hun eigen
verantwoordelijkheid hierin.
CYBERCRIMINALITEIT VERZEKEREN
De Cyberverzekering van Nationale-Nederlanden
beschermt bedrijven tegen de
gevolgen van hacking, systeeminbraak,
verloren data, gegevensdiefstal en andere
vormen van cybercriminaliteit. Deze
verzekering is uit te breiden met een Cyberscan
om de risico’s in kaart te brengen
en een abonnement met 24/7 hulp
van professionals bij cyberincidenten.
Kijk voor meer informatie op nn.nl/cyberpreventie.
n
SPECIAL SEPTEMBER 2020 VVP | 43

OPINIE
“IMPACT CYBERRISICO’S NOG ALTIJD
ONDERSCHAT”, “INFORMATIEBEVEILIGING
IN DE GEHELE KETEN NOG ONVOLDOENDE
BEHEERST”, “DE KWALITEIT VAN IT-
RISKMANAGEMENT MOET VERBETEREN”.
VVP SCHREEF ER AL VAAK OVER: ER IS WERK
AAN DE WINKEL RONDOM CYBERRISICO’S.
WAT DOET EN VINDT DE AFM?
TEKST JAN BERNDSEN, HOOFD TOEZICHT
VERZEKERINGEN & PENSIOENEN AFM
Velen van ons werken momenteel thuis,
wat mogelijk een blijvend karakter zal
krijgen. Toch werkt een kwart van de Nederlanders
volgens onderzoek niet altijd
via het beveiligde netwerk van hun
werkgever. Ook werkgevers kunnen de
risico’s van cyberaanvallen onderschatten. Dit, terwijl
de gemiddelde schade van een ‘succesvolle’ aanval met
ransomware meer dan 800.000 euro bedraagt.
Het grootste risico achter cyberrisico’s is wellicht
wel de gedachte: dit gebeurt mij niet. Mensen verwachten
niet van zichzelf in een phishing-aanval te trappen
of een datalek te veroorzaken. Maar laten we niet vergeten
dat ook tachtig procent van de automobilisten
zichzelf een betere bestuurder vindt dan het gemiddelde.
Een ongeluk kan eenieder overkomen.
OPINIE
44 | VVP SPECIAL SEPTEMBER 2020

OPINIE
“Dit gebeurt
mij niet”
Alle reden voor de AFM om in mei van dit jaar financiële
ondernemingen te vragen alert te zijn op risico’s
rondom informatiebeveiliging, nu we collectief thuiswerken.
Om wat voor risico’s gaat het hier? Soms om
heel basale zaken. Het op tijd installeren van security
patches om lekken tegen te gaan of de risico’s van thuis
printen verkleinen.
MENSEN
Cyberrisico’s zien niet echter alleen op techniek, maar
des te meer op mensen. Zijn medewerkers voldoende
getraind om veiligheidsrisico’s te herkennen? En wat
gebeurt er bijvoorbeeld in een kleine organisatie als de
enige IT-expert langdurig uitvalt door ziekte? Een oplossing
kan zijn om kritieke functies te spreiden over
meerdere medewerkers of om te werken met A/Bteams
om te voorkomen dat alle kennis in één keer
wegvalt als gevolg van coronabestemmingen op kantoor.
Hoewel cyberrisico’s door de coronacrisis extra actueel
zijn geworden, heeft de AFM er al langer aandacht
voor. Zo publiceerden we eind vorig jaar de Principes
voor Informatiebeveiliging, die handvatten bieden aan
financiële ondernemingen voor de beheersing van ITrisico’s.
Ook heeft de AFM recent een uitvraag gedaan
over uitbesteding. Hoewel uitbesteding een begrijpelijke
(en vaak verstandige) keuze is voor ondernemingen,
brengt dit ook risico’s met zich mee, waaronder concentratie-
en continuïteitsrisico’s.
‘Neem de Principes
voor Informatiebeveiliging
door’
CYBERVERZEKERINGEN
Je kunt je als onderneming verzekeren tegen cyberrisico’s.
De rol van AFM is om bij deze producten toe te
zien of ze zorgvuldig zijn ontwikkeld. Kortgezegd: productontwikkelaars
mogen vanzelfsprekend geld verdienen
aan een verzekering, maar het belang van de klant
moet evenwichtig zijn meegenomen bij de ontwikkeling.
Dit is de gedachte achter de normen voor productontwikkeling
(de PARP-normen) en de KNVB-criteria.
Ontwikkelt uw organisatie cyberverzekeringen? Onthoud
dan dat PARP de basis is van goede financiële
dienstverlening.
WAT KUNT U ZELF DOEN?
Als financieel adviseur vervult u een nutsfunctie in de
maatschappij: dankzij uw inspanningen zijn consumenten
niet alleen verzekerd van een inhoudelijk gedegen
advies, maar bovenal van een betrokken, menselijk
element hierbij. Uw klanten moeten kunnen vertrouwen
op de continuïteit van uw dienstverlening.
Daarom is informatiebeveiliging in uw beroepsgroep
essentieel. Ik raad u van harte aan de Principes voor Informatiebeveiliging
door te nemen en uzelf ervan te
verzekeren dat u zich gedegen beschermt tegen cyberrisico’s.
Zodat de kans dat criminelen uw bedrijfsvoering
verstoren minimaal is – en de Nederlandse consument
onverminderd kan rekenen op uw grote toegevoegde
waarde. n
SPECIAL SEPTEMBER 2020 VVP | 45

PARTNER IN KENNIS
DE ALLIANZ RISK BAROMETER 2020 LAAT ER GEEN TWIJFEL
OVER BESTAAN: CYBERINCIDENTEN ZIJN HET GROOTSTE
BEDRIJFSRISICO. HET AANTAL HACKS STIJGT, CRIMINELEN
EISEN HOGERE LOSGELDBEDRAGEN, PHISHINGMAILS ZIEN
ER STEEDS REALISTISCHER UIT EN DATALEKKEN HEBBEN
ZWAARDERE GEVOLGEN. TOCH BESTAAT ER MET NAME BIJ
HET MKB NOG EEN BLINDE VLEK VOOR DE GEVAREN. ‘MIJN
ICT’ER REGELT DAT’, IS VOLGENS DE TAFELGASTEN EEN
VEELGEHOORDE MISVATTING. HOE KRIJGT DE FINANCIEEL
ADVISEUR CYBERRISK OP DE AGENDA VAN ONDERNEMERS?
Adviseur onmisbaar bij
aanpak cyberdreiging
TEKST MARTIN NEYT
Zo’n veertig procent van de
2.700 riskmanagementexperts
plaatst cyberincidenten
dit jaar ‘met stip’ op één in de
Allianz Risk Barometer. Nog
niet zo lang geleden, in 2013 om precies
te zijn, zag slechts zes procent van de
ondervraagden ‘cyber’ als een groot probleem.
Het risico stond destijds op een
vijftiende plek in de lijst. Inmiddels zijn
we zo afhankelijk van digitale processen,
dat een hack of lek vrijwel meteen een
calamiteit veroorzaakt en de bedrijfscontinuïteit
in gevaar brengt. Om maar te
zwijgen van de reputatieschade en torenhoge
boetes die bedrijven riskeren voor
het onzorgvuldig omgaan met gegevens.
De coronacrisis heeft de dreiging
van cyberincidenten verder vergroot. De
Nationaal Coördinator Terrorismebestrijding
en Veiligheid (NCTV) sprak onlangs
van een verlammend effect voor
de maatschappij en wees onder andere
op de aangetoonde kwetsbaarheid van
Citrix-systemen, waarmee overheden,
ziekenhuizen en grootbedrijven werken.
Incidenten binnen het MKB krijgen doorgaans
minder aandacht, niettemin is het
gevaar ook in deze sector enorm toegenomen,
zeggen de deelnemers aan het
rondetafelgesprek over cybersecurity.
“Medewerkers loggen ’s ochtends
thuis in op het bedrijfsnetwerk en laten
het systeem de hele dag open staan”, zo
schetst René van Etten van ThreadStone
een praktijkvoorbeeld. “Tussendoor kijken
zoon en dochter even op de laptop
en downloaden het één en ander. Een recept
voor rampen, want als in zo’n download
een vorm van malware meekomt
kan de hele organisatie getroffen worden
door bijvoorbeeld ransomware. Je ziet
ook dat de klikratio van onze phishingcampagnes
sinds de coronacrisis is gestegen.
Ook criminelen maken dus meer
kans. Bedrijven kunnen aan de preventiekant
al iets doen met een centraal geregeld
veiligheidssysteem, zoals “endpoint
detection and response”. Daarmee monitor
je continu cyberdreigingen op alle apparaten
die op het bedrijfsnetwerk aangesloten
zijn. Daarbij wordt niet alleen
gekeken naar de virussen van gisteren,
maar ook naar gedrag op de systemen.
Zo kunnen nieuwe aanvallen worden
gedetecteerd. Ook het werken met bedrijfslaptops
kan aan de veiligheid bijdragen,
net als het indelen van het systeem
in compartimenten, waardoor aanvallen
minder schade veroorzaken.”
BEWUSTZIJN CREËREN
Ondanks de risico’s halen veel MKB’ers
nog altijd hun schouders op als het over
cyberincidenten gaat. De gespreksdeelnemers
kennen alle tegenwerpingen, van
‘ik ben niet interessant genoeg’ tot ‘mijn
ICT’er regelt het’. Waarom kloppen deze
aannames niet, wil gespreksleider Jaap
de Lange, productmanager bij Allianz,
Gespreksdeelnemers
– René van Etten, algemeen directeur
ThreadStone Cyber Security
– Robbert-Paul Verkade, risicomanager
VMD Koster Verzekeringsgroep
– Jaap de Lange, productmanager
Allianz.
46 | VVP SPECIAL SEPTEMBER 2020

CYBER
weten. De eerste kan al meteen worden
ontkracht, elk bedrijf loopt volgens
de discussiepartners in meer of mindere
mate gevaar. “Een klant, een veehouder,
vroeg: wat willen ze nu met mij?”, vertelt
Robbert-Paul Verkade, risicomanager
bij VMD Koster. “Wel, de bedrijfsprocessen,
zoals het melken van de koeien, zijn
gedigitaliseerd. Stel je eens voor dat een
hack alles stil legt, wat gaat dat kosten?
Toen was zijn interesse gewekt. Maar ik
begrijp het wel: cyber staat niet zonder
meer op het netvlies. Ook voor ons als
adviseurs was het een omschakeling.”
Van Etten hamert op het creëren van
bewustzijn bij de eindklant, een taak die
naar zijn inzicht bij uitstek voor de adviseur
is weggelegd. “Ik ben blij dat Robbert-Paul
dit onderwerp bespreekbaar
maakt, want er heerst nog veel onwetendheid
bij ondernemers. Wij voeren
veiligheidsscans uit, we nemen als het
ware een foto van een bedrijf. Zo krijgen
ondernemers een realistisch beeld van
de kwetsbaarheden. Toch kijkt men over
het algemeen nog vreemd aan tegen een
cyberverzekering, terwijl het in de kern
niet anders werkt dan een brandverzekering.
Net als bij brand doe je zoveel mogelijk
ter preventie. Als er schade ontstaat,
zijn het detecteren van problemen
en het minimaliseren van schade belangrijk.
De laatste stap bestaat uit de financiële
afhandeling.”
SLA’S OPVRAGEN
ICT’ers zijn volgens de gespreksdeelnemers
ook niet zonder meer de beschermengelen
waarvoor sommige ondernemers
ze houden. Een systeem- of een
applicatiebeheerder is niet automatisch
gespecialiseerd in cyberveiligheid. Daarnaast
is het maar de vraag wat bedrijven
precies met hun externe partner hebben
afgesproken. Verkade vraagt om die reden
bij klanten alle Service Level Agreements
(SLA), leveringsvoorwaarden, algemene
voorwaarden etc. op. “Wij lezen
graag mee met onze klanten hoe de aansprakelijkheid
van de leverancier is verwoord.
Het kan voorkomen dat een ondernemer
contractueel helemaal niet zo
goed beschermd is als hij denkt.”
René van Etten (ThreadStone):
‘Iedereen moet doordrongen
zijn van cyberveiligheid’.
Ook komt het voor dat de aansprakelijkheid
zomaar op het bord van een ICT-leverancier
belandt. De rechter oordeelde
recentelijk dat een IT-bedrijf zijn klant,
een administratiekantoor, schadevergoeding
moet betalen na een ransomwareaanval.
Hoewel het administratiekantoor
voorgestelde veiligheidsmaatregelen
wegwuifde, is de IT-partner volgens de
rechtbank toch verantwoordelijk.
Een cruciale uitspraak, stelt René
van Etten. “Komt de aansprakelijkheid
daarmee bij de IT’er te liggen? Wij zijn
benieuwd hoe zich dat ontwikkelt. Het
vonnis benadrukt nog eens waar het bij
cybersecurity om gaat. De techniek is
slechts één onderdeel, menselijk handelen
is minstens zo belangrijk. Cyberveiligheid
moet volledig in de organisatie
ingebed zijn. En als er een probleem ontstaat,
is adequaat crisismanagement van
groot belang. Bedrijven kunnen immers
met imagoschade, claims van klanten en
boetes te maken krijgen.”
Volgens Van Etten kan een bedrijf zelf al
een eenvoudige ‘scan’ uitvoeren door potentiële
cyberdreigingen en reeds genomen
beveiligingsmaatregelen op een rijtje
te zetten. Deze analyse kan resulteren
in een draaiboek voor dagelijks gebruik.
“Zo creëer je awareness en zet je in op
preventie, tegen lage kosten.”
ALTIJD OP VRIJDAG
Medewerkers van bioscoopketen Pathé
trapten in CEO-fraude -nep e-mails uit
naam van de directeur- wat het bedrijf 19
miljoen euro kostte. Universiteit Maastricht
raakte in de problemen na een datagijzeling
en de Belastingdienst kreeg
een zware DDoSS-aanval voor de kiezen.
De dader: een 18-jarige jongen die ook talloze
banken het leven zuur maakte. Het
is ook niet al te ingewikkeld om een ransomware-pakketje
aan te schaffen of een
hackersinstructievideo te downloaden,
zeggen de tafelgasten “Op YouTube staat
al hoe je een website moet leegtrekken.”
SPECIAL SEPTEMBER 2020 VVP | 47

PARTNER IN KENNIS
Uit de Allianz OndernemersBarometer
blijkt dat vorig jaar 22 procent van
de MKB’ers het doelwit werd van cyberattacks.
Allesbehalve een ver-vanmijn-bed-show
zou je denken, niettemin
meent nog altijd meer dan de helft van
de ondernemers dat cybercrime bij hen
buiten de deur blijft. Hoe kan een adviseur
dit dan inzichtelijk maken? Gespreksleider
Jaap de Lange legt de discussiepartners
een praktijkcase voor. Een
detailhandelaar -omzet 1,5 miljoen euroverkoopt
goederen in een fysieke winkel
en binnen een online assortiment. Welke
risico’s loopt hij?
“Als consumenten op rekening kunnen
kopen in zijn online winkel, kan hij
zijn geld voor al die bestellingen kwijt
zijn”, antwoordt René van Etten. “Achterhaal
de gegevens dan nog maar eens. Wij
raden daarom altijd aan klanten vooraf
via iDeal of met creditcard te laten betalen.
Daarnaast komt zijn bedrijf tot
stilstand, waardoor hij omzet misloopt.
Onze kwetsbaarhedenscan toont bedrijven
of er bijvoorbeeld digitale achterdeurtjes
open staan en we geven alle onderdelen
een rapportcijfer. Een afzonderlijk,
technisch rapport gaat naar de ICT’er
van het bedrijf.”
Robbert-Paul Verkade heeft inmiddels
meerdere ondernemers bij cyberschade
ondersteund. De ervaringen met
het crisismanagement en herstel vanuit
de cyberpolis zijn volgens hem zeer goed.
“Klanten staan versteld over de snelheid
waarmee alles weer op de rit wordt gezet.
Een cyberincident komt onverwacht,
altijd op vrijdagmiddag, dat hebben we
al driemaal meegemaakt. Het tempo
van handelen en de uitgebreide dienstverlening
zijn uitstekende argumenten
om bedrijven te overtuigen. In het voortraject
hanteren we een risicochecklist,
maar dat is niet een kwestie van een riedeltje
afdraaien. Elk bedrijf is anders, het
vereist maatwerk.”
ETHISCH HACKEN
Ander praktijkvoorbeeld. Hoe kan een adviseur
de risico’s voor een financieel advieskantoor
-omzet 3,5 miljoen euro- dat
data verwerkt van gefortuneerde klanten,
visualiseren? Het eerste gevaar laat
zich volgens de experts raden: gegevens
die op straat komen te liggen. Deze informatie
leent zich voor CEO-fraude en het
lospeuteren van geld met valse profielen.
Daarnaast ligt er een boete van de Autoriteit
Persoonsgegevens op de loer vanwege
een datalek. Het is zeer afhankelijk
van de vooraf genomen veiligheidsmaatregelen
of de verzekeraar in dit geval iets
uitkeert, stelt Verkade.
Ethisch hacken, het bewust binnendringen
van een systeem om eventuele
problemen bloot te leggen, levert vaak
interessante inzichten op, reageert Van
Etten. “Dan blijkt opeens dat ze via een
smart lamp of een camera het netwerk
kunnen betreden. Ondernemers vergeten
wel eens hoeveel apparaten ze in
hun bedrijf hebben. Die apparatuur heeft
beveiliging en continue updates nodig.”
HET WACHTWOORD, PIET?
Een laatste praktijkschets: wat staat een
productiebedrijf -omzet 10 miljoen eurote
wachten als het plotseling stil komt
te liggen door een ransomware-aanval?
Een financieel adviseur heeft hier naar
inzicht van de tafelgasten alle gewenste
kaarten in handen om een klant te
overtuigen. Een stilstand van enkele dagen
zou immers zware verliezen opleveren.
Verkade: “Het contractmanagement
komt op tafel: welke afspraken zijn er en
48 | VVP SPECIAL SEPTEMBER 2020

CYBER
met wie zijn er contacten? Kun je in geval
van nood met bepaalde machines doordraaien?
Het is natuurlijk ook afhankelijk
van het geleverde product. Als het bijvoorbeeld
een unieke receptuur betreft,
kan stringenter risicomanagement noodzakelijk
zijn. Maar je wilt niet weten hoe
het er soms aan toe gaat op de fabrieksvloer.
Tien man aan de productiemachines
die met één wachtwoord werken. En
dan over de vloer gillen: Piet, wat is ook
alweer het wachtwoord?”
Het klinkt Van Etten bekend in de
oren. Geeltjes met codes die rondslingeren,
Dropbox-accounts die lang actief
blijven, mensen die uit dienst zijn maar
nog altijd kunnen inloggen op het systeem…
“Wij onderzoeken dan ook het
volledige proces op de werkvloer. Wat
doet een bedrijf precies aan bewustwording?
Als we aan tafel gaan, willen we
niet alleen de IT’er erbij, ook management
en HR moeten aanwezig zijn. Iedereen
moet doordrongen zijn van cyberveiligheid.”
VERDIEPING ZOEKEN
Aangezien ondernemers geneigd zijn de
cyberveiligheid voornamelijk in de ICThoek
te zoeken, is de financieel adviseur
hard nodig om het thema aan te kaarten.
Dat vergt de nodige inspanningen, maar
Robbert-Paul Verkade (VMD Koster):
‘Tien man aan de snijmachines die
met één wachtwoord werken…’
het loont de moeite, geeft Robbert-Paul
Verkade aan. Hij vat de vereisten in drie
tips samen: bouw kennis op, specialiseer
je en bied compleet advies. “Verdieping
in de materie en in alle aanwezige verzekeringsoplossingen
is een noodzaak,
maar dat heeft even tijd nodig. Het is
dan ook de vraag of een oudere nestor
van het kantoor deze specialistische rol
op zich moet nemen; de jongere generatie
adviseurs heeft vaak meer affiniteit
en raakvlakken met ICT. Daarnaast mag
het geen productverkoop zijn. Een cyberpolis
maakt deel uit van degelijk en zorgvuldig
risicomanagement voor een specifieke
onderneming.”
Verkade start met een brede inventarisatie
en duikt geleidelijk de diepte in.
De aangeboden Cyber Risicoscan van de
verzekeraar is naar zijn zeggen een goed
begin. “Het geeft snel een overzicht van
potentiële risico’s, van daaruit kun je verder
inventariseren, de vraagstelling formuleren
en de meeste optimale oplossingen
eraan verbinden. Er zijn echter
ook ondernemers die zeggen: ik neem
dit risico voor lief want ik heb voldoende
geld achter de hand.”
Van Etten hoopt dat dergelijke klanten
dan in elk geval op preventie inzetten.
“Zelfs als je betaalt na een ransomware-aanval,
weet je niet zeker of data
wordt vrijgegeven. Ondernemers zullen
bepaalde risico’s acceptabel vinden, maar
er zijn ook schades die een bedrijf acuut
de das om kunnen doen. Een adviseur
maakt een indeling en laat zien welke situaties
en oplossingen er mogelijk zijn.
Bij zeer impactvolle schade na een cyberincident
heeft de getroffen ondernemer
wel behoefte aan een 24/7 hulpdienst,
IT-specialisten van gerenommeerde cyber
security-bedrijven, juridische en communicatieve
ondersteuning en een coördinator
die alles overziet. Het verschilt
van bedrijf tot bedrijf, maar advies in het
nemen van preventieve maatregelen is
sowieso voor iedereen wenselijk.” n
SPECIAL SEPTEMBER 2020 VVP | 49

CYBER
Jeroen Smit: ‘Zorg
dat de aandacht
niet verslapt.’
50 | VVP SPECIAL SEPTEMBER 2020

CYBER
ALS JE HET OVER CYBERSECURITY HEBT, ZIJN BEGRIPPEN ALS MALWARE, PHISHING,
RANSOMWARE EN HACKS DOORGAANS HET EERSTE WAAR JE AAN DENKT. OP
ZICH LOGISCH, WANT DAAROVER LEES EN HOOR JE OOK HET MEEST. VEEL MINDER
AANDACHT GAAT UIT NAAR ANDERE, MINSTENS ZO BELANGRIJKE ZAKEN DIE
OOK NAUW SAMENHANGEN MET CYBERSECURITY. VVP SPRAK MET JEROEN SMIT,
CHIEF TECHNOLOGY OFFICER BIJ DE NATIONALE HYPOTHEEKBOND, OVER DE VELE
ALLEDAAGSE RISICO’S EN WAT WE ZELF KUNNEN DOEN AAN BEVEILIGING VAN DATA.
VAAK HEEL SIMPEL, MAAR HET VRAAGT HET WEL OM DISCIPLINE.
Cybersecurity: een
kwestie van gezond
verstand en discipline
TEKST RIENK ANDRIESSEN
Smit: “Om met de deur in huis te vallen, het
gaat bij cybersecurity globaal over de volgende
zaken: beveiliging, wachtwoorden,
updates, back-ups, systeemkeuze, providerkeuze,
databeveiliging en welke impact het
heeft als data op straat komen te liggen of
geblokkeerd worden door kwaadwillende cybercriminelen.”
Wat Smit wil zeggen, dit zijn zaken waar je zelf veel
aan kunt doen. Daarbij komen nog zaken als falende
apparatuur, of gedrag van collega’s dat de organisatie
schaadt. “Denk aan de medewerker die het klantenbestand
per ongeluk wist, terwijl er geen back-up van is,
of de bekende USB-stick die in de trein blijft liggen. Ook
daar is het nodige tegen te doen, mits je goede afspraken
maakt en je je er vervolgens ook aan houdt. Zonder
discipline is er schijnveiligheid.”
Een simpel voorbeeld toont aan hoe snel het verkeerd
kan gaan. Veel ondernemers maken regelmatig
een back-up, maar als deze back-up vervolgens in een
kluis op kantoor wordt bewaard loop je nog steeds het
risico dat bij brand alle data verloren gaan. Of de backup
die in de auto ligt en wordt gestolen, dat levert mogelijk
een groot datalek op. “Allemaal zaken waar je
grondig over moet nadenken en vervolgens consequent
moet uitvoeren. Ik zou er sowieso voor kiezen om alle
data realtime in de cloud te bewaren. Dan heb je daar
geen omkijken naar. Het gekke is dat iedereen dat wel
weet, maar niet iedereen dat ook doet.” En dat terwijl
volgens Smit de grote clouddiensten zeer betaalbaar en
ongelofelijk veilig zijn, zeker als je er een kiest die onder
EU-regelgeving valt.
VOORDEUR CONSEQUENT OP SLOT
Hoewel veel van de risico’s van binnenuit komen, wil
Smit de risico’s van buiten zeker niet bagatelliseren:
“Die zijn er zeker en op bepaalde gebieden zijn de aanvallen
geautomatiseerd. Je hoort regelmatig van ondernemers
dat ze zijn getroffen door ransomware of
phishing mails. Dat zijn geen gerichte aanvallen zoals
waar grote ondernemingen mee te maken kunnen krijgen,
maar veelal programma’s die op het web zoeken
naar lekken in jouw beveiliging. Zie het als iemand die
even kijkt of je voordeur op slot zit, en dan naar de vol-
SPECIAL SEPTEMBER 2020 VVP | 51

CYBER
‘Zonder discipline is
er schijnveiligheid’
gende deur gaat. Consequent de voordeur op slot doen
is de oplossing. Veel ellende is dus al eenvoudig te voorkomen
als je je beveiliging maar op orde brengt en ook
houdt.”
Dan de risico’s van binnenuit, welke onderscheid je?
Smit: “De ISO-standaard met betrekking tot beveiliging
kent drie aandachtsgebieden: beschikbaarheid, integriteit
en vertrouwelijkheid. De eerste, beschikbaarheid,
gaat over de vraag: kan ik bij mijn data komen, heb ik
nog toegang? Denk aan uitval van systemen, brand of
ook ransomware. De tweede, integriteit, gaat over de
vraag hoe je voorkomt dat de data niet corrupt raken,
of ten onrechte worden aangepast. Dat heeft te maken
met de software, maar ook met de rechten die je collega’s
toekent om de data te benaderen of te bewerken.
En dan rest vertrouwelijkheid, zijn mijn data veilig en
liggen ze niet op straat? Wie is bevoegd ze in te zien?
Dat risico zit een klein hoekje, bijvoorbeeld een gerichte
mailing aan klanten over de aanpak van hypotheken
die onder water staan die wordt verzonden via de cc en
niet via de bcc. Dat mag niet gebeuren, je geeft niet alleen
prijs wie je klanten zijn, maar lekt ook informatie
over de financiële situatie van deze klanten. Daar kun je
een hoop gedoe mee krijgen!”
FYSIEK GESCHEIDEN
De drie hoofdgroepen zijn duidelijk, beschikbaarheid,
integriteit en vertrouwelijkheid. Wat kunnen we volgens
Smit doen om ons op deze vlakken te beveiligen?
“Qua beschikbaarheid: zorg dat je goede back-ups hebt,
het liefst op fysiek gescheiden locaties, zodat je altijd bij
je data kunt. Bijvoorbeeld via een standaard cloudoplossing.
Dan is het vaak veel beter geregeld dan je het zelf
zou kunnen organiseren.
“Bij integriteit gaat het erom dat je data kloppen en
niet ten onrechte vervuild raken door er verkeerde gegevens
aan toe te voegen of onterechte mutaties. Beschrijf
heel goed wie welke rechten heeft om ze in te
zien, te muteren, verplaatsen en welke controles daarop
plaatsvinden. De onervaren stagiair kan zomaar twee
bestanden verkeerd koppelen. Ook hier zijn recente
back-ups van belang voor als het toch misgaat. Dan zijn
de juiste gegevens terug te zetten.
“Ook op het gebied van vertrouwelijkheid is er veel
zelf te doen. Gebruik voor alle systemen en programma’s
verschillende wachtwoorden, laat de wachtwoorden
niet rondslingeren, schrijf ze niet allemaal in een
notitieboekje dat in je lade ligt, plak ze niet op de computer.
Dat is hetzelfde als een touwtje uit je voordeur.
Ook kun je instellen dat je meerdere malen per dag
moet inloggen of dat je computer automatisch blokkeert
als je een bepaalde tijd niet actief bent. Beveilig
USB-sticks en laptops goed met wachtwoorden. Je
kunt ook per medewerker de toegangsrechten tot systemen
vastleggen. Allemaal zaken om te zorgen dat je
data vertrouwelijk blijven. Zorg er ook voor dat je systemen
altijd up-to-date zijn, de besturingssystemen
van je computers maar ook van de zakelijke mobiele
telefoons, zo ben je verzekerd van de laatste beveiligingen.
Dus klik die update waarschuwing niet weg en
stel automatisch updaten in waar mogelijk. Maak gebruik
van tweestapsverificatie. Het zijn allemaal kleine
stappen die samen veel opleveren. Ontwikkel hier
goed beleid voor en zorg dat het wordt nageleefd, het
draait immers om de discipline dat beleid ook echt uit
te voeren, anders is het een papieren tijger. Spreek je
collega’s daar ook op aan en leg ze het belang ervan uit.
Of haal gewoon eens een grap uit bij een collega die
zijn scherm niet vergrendeld heeft, dat blijft vaak beter
hangen!”
De ontwikkelingen gaan snel en je kunt bijna onmogelijk
alle relevante informatie bijhouden. Het is volgens
Smit daarom raadzaam om als organisatie tijd te
reserveren om hiermee bezig te zijn. Smit: “De vraag is
natuurlijk, wil je als adviseur met je klanten of met je
systemen bezig zijn? Ik denk het eerste, maar het laatste
is ook van groot belang. Heb je er zelf te weinig tijd
of kennis voor kijk dan naar een partij die je kan ontzorgen.
Houd iedereen scherp en zorg dat de aandacht niet
verslapt. Wees alert en gedisciplineerd. Dat voorkomt
veel ellende.” n
52 | VVP SPECIAL SEPTEMBER 2020

Wie wint de Advies Award 2020?
DE FINALERONDE VAN DE ADVIES
AWARD 2020 VINDT DIT JAAR IN DIGITALE
VORM PLAATS OP 7 OKTOBER 2020. HET
PUBLIEK BEPAALT WIE ZICH HET MEEST
KLANTGERICHTE ADVIESKANTOOR VAN
NEDERLAND MAG NOEMEN. “HET BELANG
VAN ONAFHANKELIJK FINANCIEEL
ADVIES IS BIJZONDER WAARDEVOL,
IETS WAT JUIST ONDERSTREEPT WORDT
IN DEZE MOEILIJKE TIJD. ERKENNING
VAN HET ADVIESVAK IS TE BELANGRIJK
OM EEN JAAR OVER TE SLAAN”, ALDUS
JURYVOORZITTER ASTRID DUITS.
De Advies Award werd in 2019 in het leven geroepen om het maatschappelijk
enorm belangrijke adviesvak in het zonnetje te zetten
en de trots op het eigen vak te versterken. Vorig jaar won het
advieskantoor Robbe Financiële Raadgevers.
Dit jaar wordt de uitreiking van de award losgekoppeld van de Dag van
het Topadvies. Dit event, dat VVP voor de zesde keer organiseert, is vanwege
de coronacrisis verplaatst naar 15 juni 2021.
Voor de coronacrisis maakte de jury, samen met 22 spotters, de namen
van 33 genomineerden bekend. Inmiddels heeft de jury de draad weer opgepakt
en is de verkiezing in volle gang. Verkiezing en uitreiking worden
uiteraard volledig uitgevoerd volgens de RIVM-richtlijnen.
Op 7 oktober geven de drie landelijke finalisten een
digitale pitch, die live zal worden uitgezonden. Uw stem
bepaalt wie de landelijke winnaar wordt. Doet u ook mee?
Samen zetten we het adviesvak (nog) beter op de kaart!
www.adviesawards.nl

PARTNER IN KENNIS
ONDERNEMERS ADVISEREN OVER CYBERRISICO’S IS NIET MAKKE-
LIJK. DE KANS IS NAMELIJK GROOT DAT UW RELATIE ZICH HIER-
VOOR LIEVER WENDT TOT ZIJN ICT-DIENSTVERLENER. TOCH IS ER
EEN BELANGRIJKE ROL VOOR U WEGGELEGD. Ú BENT NAMELIJK
RISICO-EXPERT; Ú DENKT NA OVER DE GEVOLGEN VAN EEN ON-
DERBREKING VAN DE BEDRIJFSCONTINUITEÏT. EN CYBERCRIME IS
EEN VAN DE FACTOREN DIE IMPACTVOLLE GEVOLGEN KAN HEB-
BEN, HELEMAAL NU DOOR CORONA HET CYBERRISICO IS GE-
GROEID EN VERANDERD.
Tijd voor goed risicomanagement
is nú
TEKST PHILIP VAN GANGELEN, MANAGER VERKOOP DE GOUDSE
Zoals gebruikelijk maken cybercriminelen
gebruik van actuele
ontwikkelingen om hun criminele
acties aan op te hangen.
Corona is voor hen een dankbaar
onderwerp. Ieder mogelijk slachtoffer
kent het, is zeer geïnteresseerd en is
misschien zelfs een beetje bang. De kans
dat iemand ‘hapt’ is dus groter dan ooit.
Niet gek dat cybercriminelen hun pogingen
flink opgeschaald hebben in de eerste
helft van 2020. Bij de politie kwamen
in mei 2020 volgens RTL Nieuws 6,8 keer
zoveel meldingen van digitale misdaad
binnen. Nepwebwinkels voor mondkapjes
en desinfectiegel, antibacteriële bankpassen,
nepmails uit naam van de World
Health Organisation en het RIVM… ze
schoten als paddenstoelen uit de grond.
ENORME VLUCHT
Door corona werkt een groot deel van
Nederland nu thuis. Hoewel de versoepelingen
langzaam opgeschaald worden,
durf ik wel te stellen dat er voorgoed iets
veranderd is. Zo meldt het Kennisinstituut
voor Mobiliteitsbeleid dat 44 procent
van de Nederlanders door corona
is gaan thuiswerken en een kwart daarvan
dat ook na de coronacrisis wil blijven
doen. Hierdoor vindt communicatie
veel minder plaats op kantoor. Vergaderen
doen we via Zoom, Teams of Skype.
Ook het brainstormen is gedigitaliseerd.
Hingen post-its en je innovatieve ideeën
vroeger relatief veilig aan de muur van je
vergaderzaaltje, ze hangen nu via applicaties
als Slack en Miro in cyberspace.
Maatschappelijk gezien is dit een
prachtige ontwikkeling. We besparen
veel kosten door een afname van de
reistijd en mogelijk straks ook van de
kantoorruimte, om over de verbetering
van de luchtkwaliteit nog maar te zwijgen.
Maar je hele bedrijfsvoering digitaal
doen heeft ook keerzijdes. Want hoe
meer we digitaliseren, hoe groter de kans
op cybercrime. En als het dan misgaat, is
je bedrijfscontinuiteït nog meer dan voor
corona in het geding.
OP STEL EN SPRONG
Naast de toegenomen digitalisering is
ook van belang onder welke omstandigheden
die tot stand is gekomen. Door
corona is dit namelijk, noodgedwongen,
in allerijl gebeurd. Veel bedrijven zijn op
stel en sprong overgegaan tot digitalisering
van hun bedrijfsprocessen. Hierbij is
de ondernemer in sommige gevallen ineens
afhankelijk van de beveiliging van
thuiscomputers van zijn medewerkers.
Ook is onder de grote druk veel gebruikgemaakt
van allerlei gratis (en dus wellicht
minder beveiligde) apps. Zo gingen
we massaal gebruikmaken van videobelapp
Zoom, die vervolgens zo lek bleek
als een mandje. Cybercriminelen maakten
zo een half miljoen wachtwoorden
buit. En die te betalen factuur die je baas
vroeger met de pen aftekende, werd van
de ene op de andere dag via de e-mail
geaccordeerd.
Ik kan me goed voorstellen dat bij
deze acute digitalisering risicomanagement
een van de laatste zorgen van on-
54 | VVP SPECIAL SEPTEMBER 2020

CYBER
dernemers moet zijn geweest. Maar het
is wel de hoogste tijd om te beginnen
met het managen van deze plots ontstane
risico’s. We stonden er voor corona namelijk
ook al niet zo goed voor.
NUL TOT DRIE MAATREGELEN
Uit onderzoek blijkt dat ondernemers ervan
uitgaan dat hun ICT-dienstverlener
de cyberrisico’s allemaal wel geregeld
heeft. Ze vinden zelfs dat de ICT’er aansprakelijk
is als er zich tóch een cyberincident
voordoet. Nu blijkt óók uit onderzoek
dat de gemiddelde ondernemer eigenlijk
maar een paar cybermaatregelen
treft. Een virusscanner en een Wifi-wachtwoord
hebben de meeste ondernemers
nog wel: circa 75 procent. Daarna wordt
het al snel minder. Het CBS geeft aan dat
circa 45 procent slechts nul tot drie maatregelen
neemt. Uit eigen onderzoek van
De Goudse komt eenzelfde beeld. Zo zien
wij dat slechts 52 procent van de ondernemers
dagelijkse back-ups laat maken
en dat niet meer dan 34 procent aan bewustwording
bij de medewerkers doet.
Het belang van goede voorlichting van
medewerkers, beveiliging en back-ups
werd begin dit jaar nog maar eens aangetoond
bij de Universiteit Maastricht.
Op 2 januari 2020 meldden de media dat
‘Perfect moment om een risicoinventarisatie
onder de aandacht
van uw relaties te brengen’
de universiteit slachtoffer was geworden
van ransomware. Cybercriminelen waren
diep doorgedrongen tot de systemen en
blokkeerden de toegang tot e-mail, Windows
en wetenschappelijke gegevens.
De universiteit zag uiteindelijk geen andere
mogelijkheid dan het betalen van
losgeld van 197.000 euro om de controle
over hun systemen terug te krijgen. De
oorzaak? Eén phishing-mailtje.
Het gekke is dat back-ups en voorlichting
juist vrij makkelijke en goedkope
manieren zijn om je cyberrisico’s te verkleinen.
DÉ KANS VOOR RISICOMANAGEMENT
Tijdens deze coronacrisis staan ondernemers,
wellicht onbewust, meer open voor
risicomanagement. Er is in korte tijd veel
veranderd en wellicht hebben ze het gevoel
minder dan ooit grip op hun (cyber)
risico’s te hebben. Wellicht zijn ze ook,
breder dan alleen het cyberrisico, op zoek
naar hulp bij het inschatten van nieuwe
risico’s die nog op hen afkomen en horen
ze graag hoe zij hier zo goed mogelijk
op kunnen inspelen. Weinig ondernemers
waren voorbereid op deze situatie
en dat willen ze in de toekomst niet
nog een keer laten gebeuren. Een perfect
moment dus om een risico-inventarisatie
onder de aandacht van uw relaties te
brengen.
Zoals gezegd, zijn er relatief eenvoudige
en betaalbare manieren voor ondernemers
om het risico op en de gevolgen
van een cyberincident te verkleinen. Toch
kan het risico nooit helemaal worden uitgesloten.
De bedrijfscontinuiteït kan ernstig
in gevaar komen als er toch iets gebeurt.
Het is dus altijd aan te raden om
een cyberverzekering af te sluiten om de
gevolgen hiervan te kunnen opvangen.
Veel succes bij uw advisering! n
SPECIAL SEPTEMBER 2020 VVP | 55

CYBER
‘Basismaatregelen
blijven van het
grootste belang.’
Cyberalerts!
DE ONTWIKKELINGEN BIJ INFORMATIEBEVEILIGING EN CYBERSECURITY
GAAN SNEL. VVP ZET EEN AANTAL TRENDS OP EEN RIJ: CYBERALERTS!
TEKST TOON BERENDSEN
In deze VVP Special Cyber veel aandacht voor de cyberdienstverlening
van financieel adviseurs aan hun
klanten. Maar advieskantoren en de financiële sector
zijn zélf natuurlijk ook potentiële slachtoffers van cyberincidenten.
In dit artikel een aantal ‘alerts’ in dit
verband.
Een paar opmerkingen vooraf: bij het schrijven van
dit artikel hebben we heel wat rapporten en documenten
geraadpleegd. Het beeld dat daaruit naar voren
komt, stemt niet vrolijk. Steeds weer wordt geconstateerd
dat grip houden op cyberrisico’s - zeker bij complexe
systemen en ketens - ontzettend lastig zo niet ondoenlijk
is. Dat is uiteraard geen excuus om uw hoofd
dan maar in het zand te steken. Maar wat ons betreft, is
een van de belangrijkste tips uit alle documentatie die
van de kroonjuwelen: bepaal wat de werkelijke kroonjuwelen
van uw organisatie zijn en focus u om te beginnen
daarop.
En laat u niet gek maken. De toezichthouders willen
dat het topkader van financiële ondernemingen informatiebeveiliging
en cyber security hoog op de agenda
plaatsen én houden. De Nederlandsche Bank (DNB) verwacht
zelfs, zoals ze schrijft in haar eerder dit jaar verschenen
tweede Informatiebeveiligingsmonitor, dat “het
56 | VVP SPECIAL SEPTEMBER 2020

CYBER
bestuur/de directie trainingen en opleidingen volgt om
de belangrijkste IT-risico’s en beheersingsmaatregelen
voor de instelling te kunnen begrijpen en basiskennis
van informatiebeveiliging en cybersecurity te borgen”.
Maar als er nou iets steeds duidelijker wordt, dan is het
juist dat het enorm specialistische materie betreft. De
uitdaging lijkt dan ook veel meer om grip te houden op
de specialisten. Belangrijk in dit verband is dat het Centrum
voor Criminaliteitspreventie en Veiligheid werkt
aan een risicomodel, een kwaliteitsregeling en een certificeringsschema
voor leveranciers van cybersecuritydiensten.
Naar verwachting begin 2021 vindt de definitieve
vaststelling en publicatie plaats.
GOOD PRACTICE
Om een idee te krijgen van wat er allemaal bij komt
kijken als men écht werk wil maken van informatiebeveiliging
en cybersecurity als financieel dienstverlener,
moet u de Good Practice Informatiebeveiliging
2019/2020 van DNB eens lezen. Hele goede informatie
(bedoeld voor financiële instellingen maar goed door
te trekken naar andere financiële dienstverleners).
Maar meteen ook wordt duidelijk dat informatiebeveiliging
en cybersecurity niet iets is dat men er zomaar
even bij doet. Dat geldt overigens voor adviseren erover.
De kennispartners van deze VVP-special dragen
de boodschap uit dat cyberrisicomanagement voor iedere
adviseur is weggelegd. Dat is ook zo, maar de adviseur
moet zich het onderwerp toch wel goed eigen maken
en goed beslagen ten ijs komen. En hij moet vooral
ook de samenwerking zoeken met de verzekeraars/assuradeuren
en andere partijen die dag in dag uit met
de materie bezig zijn.
Algemener dan de Good Practice zijn de elf Principes
voor Informatiebeveiliging die de AFM eind 2019 publiceerde.
Die principes verwoorden wat de toezichthouder
verwacht van het beleid van financiële dienstverleners
inzake informatiebeveiliging. Ook hieruit blijkt dat
van vrijblijvendheid geen sprake is.
PREVENTIE ALLEEN NIET GENOEG
Een belangrijke alert uit alle rapporten en ook de praktijkervaring
die er inmiddels is: met preventie alleen
ben je er niet bij cyberrisico’s. In haar al aangehaalde
Informatiebeveiligingsmonitor stelt DNB zelfs onomwonden:
“Preventie alleen is heden ten dage niet meer
genoeg, de nadruk komt meer te liggen op detectie en
respons. De vraag is namelijk niet meer of een instelling
risico’s loopt ten aanzien van informatiebeveiliging
en cybersecurity, maar hoe de instelling ermee omgaat
als zij daadwerkelijk is getroffen door een cyberaanval
of -incident.”
‘Informatiebeveiliging
en cybersecurity doe je
er niet zomaar even bij’
De tijd dat cyberincidenten vooral toevalstreffers van
criminelen en hackers waren, is ook voorbij. DNB heeft
het beeld dat “instellingen tegenwoordig bij digitale
aanvallen specifiek worden uitgezocht en zeer gericht
op van te voren uitgezochte doelen binnen hun instelling
worden aangevallen. Was het voorheen voldoende
dat je huis met voldoende sloten beter beveiligd was
dan dat van de buurman, nu is het niet meer genoeg
om betere sloten dan de buurman te hebben.”
Snelle detectie en adequate respons, heeft aan belang
gewonnen. Helaas is het met de snelheid van detectie
slecht gesteld. Het Cybersecuritybeeld Nederland
2020: “Het vroegtijdig detecteren van aanvallen is een
basismaatregel. Des te eerder, des te beter. Dat blijft
echter voor veel organisaties een complexe opgave. Volgens
een onderzoek was in 2019 de gemiddelde detectietijd
van een aanval 56 dagen. Deze gemiddelde detectietijd
is niet in verhouding met de snelheid waarmee
een aanvaller zijn doel kan bereiken. Die heeft slechts
enkele uren nodig.”
De Inspectie van het Onderwijs stelde een onderzoek
in na de cyberaanval die de Universiteit Maastricht
(UM) eind vorig jaar trof. De Inspectie in haar rapport:
“Fox-IT heeft vastgesteld dat na het openen van een
phishing mail er onvoldoende detectie, monitoring en
opvolging heeft plaatsgevonden, waardoor hackers op
23 december 2019 een ransomwareaanval konden uitvoeren
op een deel van het UM-netwerk.” Die phishing
mail was al op 15 oktober geopend…
Phishing blijft een enorm probleem. Phishing vindt
traditioneel plaats via e-mail, maar het Cybersecuritybeeld
Nederland 2020 geeft aan dat “cybercriminelen
ook gebruik maken van phishing via sms (smishing).
Ook ontfutselen aanvallers steeds vaker succesvol gevoelige
informatie via sociale media om iemand gericht
te benaderen, zogeheten spear phishing. Daardoor is
voor een ontvanger lastig om te onderkennen dat het
gaat om phishing”.
BASISMAATREGELEN CRUCIAAL
Volgens het Cybersecuritybeeld Nederland 2020 is de
aanval op de Universiteit Maastricht “een voorbeeld
SPECIAL SEPTEMBER 2020 VVP | 57

CYBER
van een geavanceerde aanval waarbij basismaatregelen
de impact waarschijnlijk hadden kunnen reduceren.
Diverse basismaatregelen waren niet op orde, zoals een
juiste afhandeling van meldingen van phishing, installatie
van beveiligingsupdates, segmentatie van het netwerk,
toepassing van monitoring en detectie en het opslaan
van offline backups”.
Het Rathenau Instituut onderzocht in opdracht van
de Cyber Security Raad wat nieuwe technologie kan bijdragen
aan vergroting van de cyberweerbaarheid. Het
onderzoeksrapport, begin juli uitgebracht, stelt: “Nieuwe
technologieën als (opnieuw) machine learning, postkwantumcryptografie,
LiFi, 5G-netwerken of gedistribueerde
systemen bieden kansen om de cyberweerbaarheid
te verhogen.” Maar het instituut noemt het “ook
van groot belang om meer en beter gebruik te maken
van bestaande, maar onderbenutte technologieën. Als
zelfs basisveiligheidsmaatregelen als sterke wachtwoorden
of software-updates onderbenut blijven, heeft het
weinig zin om in te zetten op de nieuwste innovaties”.
‘Medewerkers en je zelf
scherp houden is de
grootste uitdaging’
VIJF BASISPRINCIPES
Om phishing minder effectief te maken, aldus het Jaarbeeld
Cybersecurity 2020, “voeren steeds meer organisaties
campagnes uit onder werknemers om het bewustzijn
van de gevaren van phishing te verhogen. Ook
de overheid startte een bewustwordingscampagne. Uit
onderzoek blijkt dat dit effect heeft: bij phishing-oefeningen
dalen de clickrates”.
Het Digital Trust Center van het ministerie van Economische
Zaken en Klimaat, opgericht in 2018, formuleert
op haar site ‘De vijf basisprincipes van veilig digitaal
ondernemen’. Deze zijn: inventariseer kwetsbaarheden,
kies veilige instellingen (controleer de instellingen
van apparatuur, software en netwerk- en internetverbindingen.
Pas standaardinstellingen aan en kijk kritisch
naar functies en diensten die automatisch ‘aan’
staan), voer updates uit, beperk toegang (definieer per
medewerker tot welke systemen en data toegang vereist
is om te kunnen werken. Zorg dat toegangsrechten worden
aangepast als iemand een nieuwe functie krijgt of
bij de onderneming vertrekt), voorkom virussen en andere
malware (stimuleer veilig gedrag van medewerkers,
gebruik een antivirusprogramma, download apps veilig
en beperk de installatiemogelijkheden van software).
Het probleem is dat iedereen de basisprincipes eigenlijk
wel kent, maar dat ze in de dagelijkse drukte en routine
steeds weer ondersneeuwen. De medewerkers en je
zelf scherp houden is dan eigenlijk ook de grootste uitdaging.
Maar wel belangrijk dus. Helemaal nu er – aangejaagd
door corona – steeds vaker thuisgewerkt wordt.
CYBERVERZEKERING
Een cyberverzekering (of een cyber add on op een bestaande
polis) is ook een essentieel onderdeel van cyberrisicomanagement,
al was het maar voor de ondersteuning
die wordt geboden bij preventie en bij een
incident. Dus ja, als financieel dienstverlener doet u er
verstandig aan zelf ook zo’n verzekering af te sluiten. U
beheert immers databestanden. Belangrijk wel om te
beseffen, is dat een cyberverzekering geen alternatief
is voor slechte informatiebeveiliging en cybersecurity.
Verzekeraars zijn immers ook niet gek, en zeker niet bij
cyber waar het om enorme bedragen kan gaan.
De verzekeraars vergoedden de bijna twee ton losgeld
die de Universiteit Maastricht betaalde om weer
toegang te hebben tot haar eind vorig jaar gehackte bestanden.
Geen goede zaak, meende minister Grapperhaus:
“Het heeft mijn voorkeur dat de verzekeraar niet
het losgeld vergoedt dat in handen van criminelen terecht
komt, maar juist de geleden schade door het niet
betalen van dit losgeld. Mijn opvattingen heb ik bij het
Verbond van Verzekeraars onder de aandacht gebracht.
Het Verbond van Verzekeraars heeft mij laten weten
dat zij de geuite zorgen onder de aandacht zal brengen
van de leden en hierover met hen in gesprek zal gaan.”
Toch denken wij niet dat verzekeraars hun polissen
gaan aanpassen (voor zover ze al losgeld en boetes
vergoeden). Aanpassingen gaan er eerder komen als de
schadelast zou exploderen. Daarvan lijkt op dit moment
geen sprake. Sterker, de Wetenschappelijke Raad van
het Regeringsbeleid (WRR) pleitte vorig jaar in haar rapport
‘Voorbereiden op digitale ontwrichting’ voor een
cyberpool maar minister Grapperhaus vindt zo’n pool
niet nodig. Grapperhaus: “Het kabinet ziet dat op het
gebied van verzekeringen schade na cyberincidenten
steeds vaker onder normale bedrijfspolissen vallen en
dat er ook steeds meer cyberpolissen worden aangeboden.
Op dit moment ziet het kabinet daarom geen aanleiding
voor aanvullende maatregelen.”
PERSOONSGEGEVENS
Een goede informatiebeveiliging en cybersecurity zijn
niet alleen van belang om cyberincidenten, maar ook
58 | VVP SPECIAL SEPTEMBER 2020

CYBER
schending van de privacywetgeving - en dan helemaal
de AVG van 2018 - te voorkomen. Zo’n schending kan
duur uitpakken, laten boetes zien die de Autoriteit Persoonsgegevens
(AP) inmiddels heeft opgelegd. Enkele
alerts in dit verband.
Een duidelijke trend is digitaal delen van de eigen
gegevens bij de overheid met derden. Dit komt de betrouwbaarheid
van de gegevens en daarmee de efficiency,
bijvoorbeeld bij een hypotheekaanvraag, ten
goede. De consensus is dat de persoon in kwestie in
control moet zijn bij het gegevensdelen. Het kabinet
gaat echter niet zover om juridisch eigendom van persoonsgegevens
in te voeren, “omdat het eigendomsrecht
daar niet op is ingericht en er bovendien grenzen
aan de zeggenschap over de eigen gegevens zijn. Het is
veel beter om de rechten en plichten van de persoonsgegevens
van een burger zo veel mogelijk op een andere
manier te beschermen. De in de AVG vastgelegde
rechten en plichten zijn in de beleidsbrief Regie op Gegevens
van 11 juli 2019 nader ingevuld en uitgebreid,
ten aanzien van inzage en correctie, eenmalige verstrekking
van gegevens, en (vooral) het digitaal kunnen
delen van de eigen gegevens bij de overheid met
derden”.
De Nederlandse Vereniging van Banken (NVB) vindt
dat voor een juiste balans tussen de verschillende partijen
in de data-economie een nieuw wettelijk kader
nodig is voor de toegang tot en het delen van persoonlijke
data, waarbij individuen meer controle krijgen
over hun data die in het beheer zijn van bedrijven en
de overheid (de datagebruikers). Hiervoor zou een zogenaamde
Data Services Regulation moeten worden ingevoerd.
Dit als voortbouwing op de eisen rond data-toegang
en -deling zoals die al zijn vastgelegd in de AVG.
De banken hebben hier zelf ook een belang bij. De
NVB: “Particuliere en zakelijke gebruikers van betaaldiensten
kunnen eenvoudig hun betaaldata met derde
partijen delen. Maar dat kunnen zij niet met andere
type data. Hierdoor hebben klanten slechts beperkt
controle over hun data, kunnen zij de waarde van hun
data niet optimaal benutten en bestaat de kans dat
data slechts ten dienste staat van een beperkt aantal
BigTech-spelers. Met de introductie van PSD2 is een ongelijk
speelveld ontstaan, waarbij klanten (data-eigenaren)
eenzijdig bancaire data kunnen delen met gelicenseerde
data-gebruikers. Maar omgekeerd banken geen
data van niet-bancaire partijen kunnen ontvangen.”
DATAMINIMALISATIE
Het eindwoord is hier nog lang niet gesproken. Maar de
materie is wel belangrijk, omdat gegevens steeds meer
het nieuwe goud voor ondernemingen worden. Daar
horen waarborgen voor de consument bij. Zo’n waarborg
is misschien al aangereikt door de AP. De Autoriteit
meent dat zo min mogelijk gegevens moeten worden
verzameld!
De AP in zijn ‘Focus 2020-2023: dataprotectie in een
digitale samenleving’: “Mede door de komst van de AVG
en de Richtlijn politie en justitie ziet de AP dat bedrijven,
organisaties en burgers zich langzaamaan meer
bewust worden van de privacyrisico’s en grip willen
krijgen op hun persoonsgegevens. Het is van groot belang
dat organisaties hun verantwoordelijkheid nemen.
Het toepassen van privacy by design en privacy by default
is noodzakelijk in een datasamenleving waarin
continu nieuwe producten en diensten worden ontwikkeld.
Dit betekent bijvoorbeeld dat er bij het ontwerp
van systemen zo min mogelijk persoonsgegevens worden
verzameld (dataminimalisatie) (by design). En dat
bijvoorbeeld bij (IoT)-producten automatisch de meest
privacyvriendelijke optie wordt gebruikt (by default).”
Vanuit oogpunt van privacy gezien, geldt dan dus:
minder is meer. Of de fans van Big Data daar oren naar
hebben? n
Principes voor Informatiebeveiliging: https://www.afm.nl/
nl-nl/nieuws/2019/dec/principes-informatiebeveiliging en
Good Practice Informatiebeveiliging 2019/2020: https://
www.toezicht.dnb.nl/5/50-237689.jsp
SPECIAL SEPTEMBER 2020 VVP | 3

VVP is trots op alle organisaties
die de special ‘Cyber’ mede
mogelijk hebben gemaakt