De wereld van cyberrisicomanagement is flink in beweging. Naast de traditionele cyberrisico’s zoals hacking en datalekken is Artificial Intelligence (AI) een hot topic. Twee onderwerpen die in de praktijk behoorlijk met elkaar verweven zijn.
AI kent vele mogelijkheden – zowel positief als negatief – en kan van praktisch nut zijn maar kent ook morele bezwaren. Daarnaast hebben cybercriminelen de mogelijkheden die AI biedt omarmt, waardoor mede het aantal cyberaanvallen afgelopen jaar weer verder toegenomen is en het steeds lastiger is voor een leek om een aanval te herkennen.
Toezichthouders
Digitale bedreigingen zijn voor de diverse toezichthouders iets waar veel aandacht voor is. Eén van de primaire taken voor deze instanties is immers het vergroten of minimaal het behouden van het vertrouwen in de branches waar ze toezicht op houden. Maar hoe ver kunnen en moeten ze gaan op dit vlak? Is het überhaupt wenselijk als er één richtlijn voor bijvoorbeeld IT security komt? Dat maakt immers ook kwetsbaar. Dit onderwerp is nog meer dan andere onderwerpen voor de toezichthouders een worsteling tussen autonomie en ondernemerschap enerzijds en toezicht anderzijds.
Slimmere technieken
Een goede firewall in combinatie met antivirussoftware alleen is al lang onvoldoende om je organisatie te beschermen. Cybersecurity-bedrijven ontwikkelen daarom steeds betere methodes om incidenten te voorkomen of de gevolgen hiervan te beperken. De meest in het oog springende ontwikkeling de afgelopen jaren op dit vlak is de betere
toegankelijkheid (lees: betaalbaarheid) van Endpoint Detectie en Response (EDR) systemen.
Een EDR systeem monitort je IT infrastructuur 24/7 op een dynamische wijze. In tegenstelling tot traditionele virusscanners wordt géén gebruik gemaakt van databases van bekende virussen, maar wordt gedrag van software bekeken met behulp van AI. Een EDR systeem kan bovendien autonoom en direct ingrijpen in geval van een verdacht proces om zo de gevolgen van een incident in te dammen.
Cyberrisico voorkomen en verzekeren
Binnen de zakelijke dienstverlening is het relatief eenvoudig om een cyberverzekering af te sluiten. Tenzij er aantoonbare kwetsbaarheden worden gesignaleerd, kan een volledige dekking worden verkregen zonder dat aanvullende eisen worden gesteld. Het gebruik van een EDR systeem is op dit moment dus nog géén voorwaarde voor dekking. Er zijn wel verzekeraars die een positieve stimulans geven in de vorm van een premiekorting.
In de gesprekken die wij voeren met onze relaties blijft cyber een belangrijk onderwerp. Het gaat daarbij al lang niet meer alleen over verzekeren; preventie is en wordt steeds belangrijker. Deels zijn dit diensten die verzekeraars aanbieden, maar ook de keuze om wel/niet te kiezen voor bijvoorbeeld EDR wordt besproken.
Beveiliging
Naast het verzekeren van het risico spreken we ook over mate van beveiliging en de keuzes die er op dat vlak zijn. Wij zijn op dat gebied echter géén expert. Daarom zijn we een samenwerking aangegaan met onder andere Eye Security. Organisaties hebben zelf vaak ook kennis in huis of ingehuurd, maar in veel gevallen is dat met name met een operationele focus en veel minder gericht op daadwerkelijke incidenten. We kunnen onze klanten, wanneer daar interesse in is, eenvoudig in contact brengen met experts op het gebied van Cybersecurity.
Deze wereld blijft constant in beweging en daar voorzie ik voorlopig geen verandering in komen. Wij gaan het gesprek over dit onderwerp graag aan en delen onze kennis met u.
Erik Stoffels is werkzaam bij VLC & Partners. Als gespecialiseerde verzekeringsadviseur voor de advocatuur en andere business professionals spreekt hij dagelijks relaties over bedrijfsrisico’s, preventie en verzekeringsoplossingen.