Cheops: ‘Zonder een goede fundering, geen cyberverzekering’

Mensen, technologie en diensten, die drie luiken verdienen de meeste aandacht binnen een degelijk securitybeleid, ongeacht of je alles zelf doet of security afneemt als een service.

“Zin om naar een rondetafelgesprek over security te komen?”

Niet de eerste keer dat we deze vraag krijgen en gewoonlijk volgt dan een sessie over hardware en software die hedendaagse en toekomstige securityproblemen gaan voorkomen en vermijden.

Cheops gaat echter een stap verder: security moet voor hen een mindset worden. Niet alleen om onze bedrijven te beschermen, maar ook omdat de klanten het verwachten. De link met de verzekeringswereld is niet ver weg en is een belangrijk onderdeel van de rondetafel. Dat de uitnodiging ook wordt gespekt met een rondleiding door het fonkelnieuwe kantoor van Cheops, is handig meegenomen.

Aangekomen is er wat tijd om het nieuwbouwproject te bewonderen. Knappe materialen, hier en daar een kunstwerk, piekfijn uitgeruste vergaderruimtes en een hippe aula waar de rondetafel plaatsvindt. Thomas Collier, Technology Manager bij Cheops, geeft het startschot.

Cybercriminaliteit is een miljardenbusiness

Security moet bij elk bedrijf de absolute prioriteit zijn. Dat betekent niet dat beveiliging persé het grootste budget moet opslokken, maar bij elke beslissing moet security aan bod komen, security is immers een mindset. “Doe je dat niet, dan nodig je misbruik uit”, zegt Collier. Hij wijst naar een wereld in verandering die razendsnel evolueert. Covid-19 als katalysator heeft heel wat organisaties wakker geschud en uitgedaagd.

“Het excuus dat thuiswerken niet kan, geldt niet meer. Je bedrijfsnetwerk moet vanaf overal toegankelijk zijn. Extra flexibiliteit betekent ook dat servers op de middag niet langer offline kunnen omdat een security update geinstalleerd moet worden. Alles moet altijd werken en beschikbaar zijn.”

Het excuus dat thuiswerken niet kan, geldt niet meer. Je bedrijfsnetwerk moet vanaf overal toegankelijk zijn.
Thomas Collier, Technology Manager bij Cheops

Daar bovenop komt dat cybercriminaliteit intussen een miljardenbusiness is. De druk op de ketel wordt steeds groter, wat betekent dat compliance belangrijker dan ooit wordt. “Klanten zullen hier in de toekomst steeds meer vragen naar bewijzen dat je cybersecurity in orde is. NIS, ISO27001: kwaliteitsmerken worden met de dag belangrijker en geven je steevast een concurrentieel voordeel.”

“Iedereen is kwetsbaar”, waarmee Collier een open deur intrapt. Dat klinkt als bangmakerij, maar we begrijpen waarom hij erop blijft hameren.

Drie pijlers: mensen, technologie en diensten

Uit een eigen onderzoek van Cheops blijkt dat organisaties vandaag het meest bezorgd zijn rond ransomware, gevolgd door social engineering. Daar tegenover staat wel dat één op drie kmo’s vandaag nog steeds zegt dat online bedreigingen voor hen niet van toepassing zijn. “Wie die ondernemingen ook zijn, schud ze wakker voor het te laat is.”

Volgens Collier zijn er vandaag drie pijlers die je als organisatie moet omarmen: mensen, technologie en diensten.

“Doe regelmatig phishingsimulaties, maak je medewerkers bewust en duidt hen op het belang hiervan zodat ze scherp blijven. Leer hen termen kennen zoals spearphishing of whalephishing. Je securitybeleid is maar zo sterk als de zwakste schakel, wat vaak de mens is.”

Voorzie een duidelijke fundering

Dat technologie ook belangrijk is, spreekt voor zich. Wij vinden dat ook belangrijk, maar hoe zit dat met de gemiddelde organisatie? Volgens Collier moeten bedrijven van een panieksituatie naar een basissituatie evolueren. “Breng je huidige situatie in kaart en zet alvast de eerste stappen door de basis maatregelen die relevant zijn voor jouw bedrijf in te regelen. Wanneer je vandaag een cyberverzekering wil afsluiten zal hierom gevraagd worden, anders kom je in de problemen.”

Endpoint, perimeter, data en identiteit: op die vier onderdelen moet je een duidelijke fundering voorzien.
Thomas Collier, Technology Manager bij Cheops

“Endpoint, perimeter, data en identiteit: op die vier onderdelen moet je een duidelijke fundering voorzien.” Hij wijst hierbij ook naar het belang van een duidelijk incident response plan. “Wij zijn er snel bij wanneer er iets gebeurt, maar de onderneming is vaak zelf de vertragende factor om actie te ondernemen. Een gezamenlijk Incident Response Plan zorgt daarbij voor duidelijke afspraken en communicatiekanalen – 24/7 – zodat er geen kostbare tijd verloren gaat wanneer het ertoe doet.”

Hij fietst zo naadloos naar het belang van een serviceprovider die niet genoeg expertise in huis hebben om één of alle domeinen binnen security op te vangen. Lekkere lunch of niet, we moeten Cheops gelijk geven. Een serviceprovider kan heel wat zaken uit handen nemen en met de nodige expertise een degelijk securitybeleid toepassen. “We investeren in enterprise-grade tools en security experts, die we dan ook weer ter beschikking kunnen stellen aan onze klanten. Proactief beheren en kopzorgen wegnemen, zodat je zeker bent dat je het maximale doet wat je kan doen’, zegt Collier.

Steeds striktere (en duurdere) cyberverzekeringen

Zonder goede fundering, geen cyberverzekering. In te vullen vragenlijsten bij onderschrijving worden steeds strenger, je fundering moet dus steeds steviger zijn om een cyberverzekering te kunnen onderschrijven. Het niet eerlijk voorstellen van de situatie is sowieso uit den boze: een verzekeraar kan uiteraard uitbetaling bij schade weigeren in dat geval. Mieke Verstraeten, Managing Director bij induver, slaat en zalft.

Ze is op de rondetafel aanwezig omdat, zelfs met een securitymindset, het cyberrisico groot blijft. Een cyberverzekering zorgt op dat moment voor een gerust gemoed. Echter, elk jaar wordt het uitdagender om een cyberverzekering te verwerven. Technische vereisten én premies nemen gestaag toe. Wie het securityaspect helemaal intern beheert als kmo, bewandelt het moeilijkere pad. Een serviceprovider omarmen, ongeacht welke, neemt die uitdaging weg en zorgt voor meer gemoedsrust. Zo’n partner staat vaak ook korter bij de verzekeringsdienst omdat hij tal van klanten ondersteunt en heeft (normaal) alle belangrijke ISO- en NIS-kwaliteitsmerken op zak.

In België werd recent door een verzekeraar nog een claim van 1,7 miljoen euro uitbetaald. Dat was een cyberincident bij een kmo hè.
Mieke Verstraeten, Managing Director bij induver

“We merken vandaag dat de onderschrijving steeds strikter wordt. Verzekerd raken of dat blijven wordt steeds moeilijker. Daarnaast gaan de tarieven in stijgende lijn”, zegt Verstraeten. Ze wijst naar het risico dat iedereen loopt, ongeacht of je een kmo of grote onderneming bent. “In België werd recent door een verzekeraar nog een claim van 1,7 miljoen euro uitbetaald. Dat was een cyberincident bij een kmo hè.” Ze wijst ons erop dat grote bedrijven zo’n tegenslag doorgaans wel kunnen verwerken, maar een kmo vaak niet.

Drie fases binnen een cyberaanval

Wanneer het noodlot toeslaat, kan het verloop van een verzekerd cyberincident de volgende drie fases kennen (afwijkingen zijn uiteraard mogelijk in functie van de omvang van de schade en de activiteit van het verzekerd bedrijf):

Incident- en onderzoeksfase: Dit is de belangrijkste fase. Na de aangifte van het incident bij een 24/7-hotline wordt er een expert aangesteld om de oorzaak te onderzoeken. Er wordt ook een advocaat ingeschakeld om de verplichtingen van de verzekerde te bepalen en de aanpak van het incident. Binnen de 72 uur wordt melding gedaan aan de toezichthouder (Gegevensbeschermingsautoriteit).
Herneming van de activiteit: Vaak komt hier een bureau voor crisiscommunicatie tussen om de reputatie van de verzekerde te beschermen. Derden die door het incident getroffen zijn, worden op de hoogte gebracht. Er kan een callcenter ingeschakeld worden voor het beantwoorden van vragen van derden en er kan ID-monitoring geïmplementeerd worden op de gecompromitteerde gegevens.
Normale bedrijfsactiviteit: Pas in de 3^e fase gebeurt de beoordeling en de vergoeding door de verzekeraar van het geleden exploitatieverlies.

In haar afsluitrede benadrukt Verstraeten opnieuw dat iedereen wakker moet liggen van een cyberaanval. “In het Hiscox Cyber Readiness Report van 2021 staat duidelijk dat de kost van een cyberaanval amper verschilt tussen een eenmanszaak, kmo of grote onderneming. Hoe kleiner de organisatie, hoe groter de gevolgen wanneer het noodlot toeslaat.”

Het spreekt voor zich dat een degelijk securitybeleid vandaag een must is. De grotere bedrijven hebben al heel wat stappen in gezet, maar het zijn de vaak de kmo’s die toondoof blijven. Ze maken evenveel kans op een cyberaanval, en de hoeveelheid losgeld dat wordt geëist is niet minder. De conclusie is daarom altijd dezelfde, ongeacht hoe groot of klein de onderneming is: om je bedrijfsgegevens veilig te stellen is een permanent beveiligingsbeleid en opvolging een absolute vereiste. Security is dus een mindset.

Dit is een redactionele bijdrage in samenwerking met Cheops. Klik hier voor meer informatie over het bedrijf.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.