Nederlands | Français Belgium

Maatregelen tegen cyberrisico’s kunnen ernstig probleem worden voor onderaannemers van grote bedrijven

 
 

Brussel, 22 januari 2018 – Verzekeringsmakelaar Aon verwacht dat grote bedrijven zich in 2018 veel beter zullen indekken tegen cyberaanvallen. Dat blijkt uit het rapport “2018 Cyber Security Predictions” van Stroz Friedberg, een gespecialiseerd expertiseplatform uit het Aon netwerk.

Die extra inspanning heeft onder meer te maken met de invoering van de strenge GDPR-wetgeving in mei 2018. GDPR legt bedrijven op hoe ze hun data beter moeten beveiligen. Als ze dat niet doen, riskeren ze hoge boetes en imagoschade.

De strengere veiligheidsmaatregelen zijn niet alleen een uitdaging voor grote bedrijven, ook onderaannemers en externe consultants moeten maatregelen nemen om klaar te zijn voor de opstart van GDPR. Alle onderaannemers moeten zich aanpassen aan het niveau van beveiliging en databeheer van de opdrachtgever. De minimumvereisten worden complexer waardoor enkel gespecialiseerde serviceproviders en hun (hoog-) opgeleide personeel nog in aanmerking komen. Opdrachtgevers zullen geen risico’s nemen en hun onderaannnemers aan een strengere screening onderwerpen. Een van de gevoelige punten is de snelle groei van het Internet of Things (IoT). Toestellen maken vaker automatisch contact met mekaar en hackers kunnen op die manier, via leveranciers, proberen om binnen te geraken in systemen van grote bedrijven.

Volgens Aon zal het aantal aansprakelijkheidsclaims voor de gevolgen van cyberaanvallen, zowel bij aandeelhouders maar ook bij klanten, sterk stijgen . De verzekeraars zullen, ook als gevolg van de nieuwe regelgeving, meer specifieke waarborgen en polissen ontwikkelen die de gevolgen van cyberaanvallen in hun geheel helpen opvangen. Momenteel worden vaak enkel de meer spectaculaire risico’s zoals identiteitsdiefstal of eigen bedrijfsschade verzekerd. Dit evolueert naar bedrijfsschade als gevolg van een cyberaanval bij een leverancier en specifieke IoT uitbreidingen.

Uit de studie van Aon blijkt dat 87% van de risicomanagers een cyberaanval beschouwt als een topprioriteit. Slechts 24% geeft aan dat hun bedrijf afdoende verzekerd is.

“Vorig jaar haalden het WannaCry-virus en de aanval op kredietbeoordelingsbureau Equifax wekenlang de internationale media”, zegt cyberexpert van Aon België Raf Duyver. “Het zijn vooral de spectaculaire gevallen die de pers halen maar het aantal bedrijven dat te maken krijgt met een cyberaanval, is in realiteit veel hoger. “Een succesvolle cyberaanval heeft impact op de productie en op alle departementen van een bedrijf en dus ook op de resultaten. Bij beursgenoteerde bedrijven kan dat de waarde van het aandeel negatief beïnvloeden met ontevreden aandeelhouders als gevolg. Cybersecurity is nu nog te vaak een zaak van de IT-afdeling. Het moet echt deel worden van het DNA van het bedrijf. De positie van de Chief Risk Officer is daarin cruciaal. Zij kunnen er voor zorgen dat alle verantwoordelijken in het bedrijf, de impact van cyberaanvallen voldoende begrijpen en samen een coherente verdedigingsstrategie uittekenen.

Het gebruik van gijzelsoftware groeit exponentieel
De aanvallen met zogenaamde gijzelsoftware (ransomware), dat zijn programma’s die de data en de verbindingen van een bedrijf blokkeren, zijn in 2017 gestegen met 400%. De kost ervan voor slachtoffers, bedroeg ongeveer 5 miljard dollar. Hackers vragen een betaling in cryptomunten om die blokkering op te heffen. Bedrijven die daar niet op ingaan, kunnen hun data definitief kwijt raken. Aon verwacht ook in 2018 een verdere stijging van aanvallen met gijzelsoftware. Aon adviseert bedrijven om hun netwerken op te delen in segmenten en zo de impact ervan te beperken.

Inloggen op basis van een combinatie van factoren wordt de norm
Uit gegevens waarover Aon beschikt blijkt dat liefst 81% van de hacks in 2017 mogelijk waren door het gebruik van gestolen of te zwakke paswoorden. Dat verklaart de sterk stijgende implementatie van biometrische beveiliging. Onder meer vingerafdrukverificatie en irisscans worden gebruikt om toegang tot systemen te beveiligen. Maar ook dat is geen sluitende oplossing. Aon verwacht dat steeds meer bedrijven zullen opteren voor een combinatie van methodes, waarbij paswoorden en biometrische identificatie samen gebruikt worden. Een aantal financiële instellingen checken zelfs specifieke patronen in het gedrag van hun klanten, bijvoorbeeld de manier waarop ze de muis van hun computer gebruiken. Bij afwijkingen in die patronen, contacteren ze de klant. Toch gaat Aon ervan uit dat hackers nieuwe methodes zullen ontwikkelen om de gecombineerde beveiliging te kraken.

Loyaltyprogramma’s onder vuur
In 2016 en 2017 kregen bedrijven met belangrijke klantgetrouwheidssystemen af te rekenen met een nieuw fenomeen. Hackers proberen in die systemen binnen te dringen om punten te scoren. Ze kunnen dan bijvoorbeeld goedkopere vluchten boeken bij een luchtvaartmaatschappij of smartphones inkopen tegen een sterk verminderde prijs. Aon verwacht dat bedrijven zich tegen die praktijken zullen wapenen met zogenaamde bug bounty programma’s. Wie een bug meldt aan een bedrijf krijgt daarvoor een (financiële) incentive en erkenning. Bug bounty programma’s zijn een gekende techniek in de US, maar in opmars bij Europese bedrijven. De Europese Commissie lanceerde hun eerste eigen bug bounty programma in 2017 met premies die oplopen tot 5.000 euro.