Cyber: de dreiging van vandaag en van de toekomst

Als accountant beschikt u over veel privacygevoelige informatie. Vanwege uw geheimhouding verwachten cliënten dat u de vertrouwelijkheid van die gegevens, waaronder die van digitale gegevens, waarborgt. U bent verantwoordelijk voor een veilige opslag van de verstrekte informatie, ook als u derden hebt ingeschakeld om dit te regelen. Een saillant detail in dit kader is dat de meeste serviceproviders de aansprakelijkheid betreffende de veiligheid van uw netwerk(verbindingen) uitsluiten dan wel vergaand beperken.

Wat is cyber?

Als men heden ten dage het begrip cyber in de mond neemt, doelt men vaak op ‘cybercrime’: criminaliteit waarbij gebruik wordt gemaakt van het internet en/of telecommunicatienetwerken, ofwel criminaliteit met ICT als middel én doelwit. Als gevolg van cybercriminaliteit kan er sprake zijn van het lekken van informatie. Bij een lek zal een cliënt u aanspreken, niet uw provider.

Er is sprake van een cyberincident als inbreuk wordt gemaakt op het netwerk van uw kantoor. Daarnaast spreekt men van een datalek wanneer er daadwerkelijk beveiligde persoonsgegevens worden geopenbaard. Gegevens vallen in handen van derden die geen toegang tot die gegevens zouden mogen hebben of ter beschikking gestelde persoonsgegevens worden/blijken op een onrechtmatige wijze verwerkt. Vaak gaat het om een beveiligingsprobleem, maar ook nalatigheid van een medewerker (bijvoorbeeld het zenden van informatie naar een verkeerd e-mailadres, het verliezen van een USB-stick of mobiele telefoon etc.) kan tot een datalek leiden.

Cyberincidenten

Dagelijks lezen we berichten in de media over cyberincidenten. Alleen al in Nederland kost cyber 10 miljard euro per jaar. Denk bij cyberincidenten aan de volgende zaken: 
• Phishing: het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer.
• Malware: elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen. Malware wordt gedefinieerd door middel van zijn kwade opzet. Software die onopzettelijk kwaad veroorzaakt valt hier dus niet onder.
• DDOS-aanvallen: pogingen om een computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker. De poging(en) om het doelwit onbruikbaar te maken wordt vanuit meerdere computers tegelijk uitgevoerd. De eigenaren van de computers die de aanvallen uitvoeren hoeven zich niet bewust te zijn dat hun computer hiervoor wordt gebruikt.
• Hacking: het door onbevoegde derden zonder toestemming binnendringen van een computernetwerk door de beveiliging te doorbreken. Niet altijd met de bedoeling om illegaal informatie toe te eigenen, maar veelal om aan te tonen dat het netwerk onvoldoende beveiligd is.
• Spam: het ongewenst ontvangen van electronic mail of ongewenste (vaak commerciële) informatie in nieuwsgroepen.
• Afpersing: het van buitenaf binnendringen van het netwerk van uw kantoor met als doel financieel nadeel toe te brengen. Dat kan door een virus te verspreiden, waardoor het netwerk van uw kantoor geheel wordt geblokkeerd, waarna uw kantoor vervolgens een ‘ransom-mail’ ontvangt met de mededeling dat het netwerk weer zal worden vrijgegeven na voldoening van een in het mailbericht genoemd bedrag. Een andere vorm is het dreigen vertrouwelijke informatie vrij te geven.

Wat de oorzaak van een ‘lekkage’ ook is, het feit dat vertrouwelijke informatie op straat komt te liggen, zorgt ervoor dat uw kantoor op diverse gebieden schade lijdt. Het kan de betrokkenen duperen en uw  reputatie aantasten. Al met al een aanzienlijke schade- en kostenpost die zelfs de continuïteit van uw kantoor in het geding kan brengen. Feitelijk is deze schade- en kostenpost tweeledig te kwantificeren:
– eigen schade: schade voor uw kantoor en bedrijfsvoering (bijvoorbeeld kosten herstel software, notificatiekosten, kosten public relations etc.);
– schade van contractuele wederpartijen en/of derden. Een praktisch voorbeeld: u adviseert een cliënt over een overname. Door een lek komen bedrijfsgevoelige gegevens in de media. Dit beïnvloedt de overnameprijs van uw cliënt in negatieve zin. Uw cliënt houdt u verantwoordelijk en stelt u aansprakelijk.

Wet Meldplicht Datalekken

Per 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden en is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. Vrijwel alle ondernemingen in Nederland zijn vanaf 2016 verplicht om melding te doen bij de Autoriteit Persoonsgegevens als sprake is van een ernstig datalek. Melding dient zonder onnodige vertraging en in ieder geval binnen 72 uur na ontdekking plaats te vinden. Er dient niet alleen te worden gemeld om wat voor lek het gaat en welke (mogelijke) consequenties een dergelijk lek zal hebben, maar ook welke maatregelen zijn en/of worden genomen om de situatie te herstellen. Daarnaast dient in de meeste gevallen ook diegene wiens persoonsgegevens zijn gelekt geïnformeerd te worden over het incident.

Overtreding van de wet kan leiden tot oplegging van een boete. Er zijn drie boetebandbreedtes , die afhankelijk zijn van het soort overtreding. De verschillende boetebandbreedtes kunnen cumulatief werken. De bestuurlijke boete van de hoogste categorie bedraagt per 1 januari 2016 maximaal € 820.000,- dan wel een boete voor ten hoogste 10 procent van de jaaromzet.

Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval.

Verzekeringen

Bij veel bestaande verzekeringen worden cyberrisico’s slechts deels gedekt. De bestaande aansprakelijkheidsverzekeringen, zoals de beroepsaansprakelijkheidsverzekering (BAV), de aansprakelijkheidsverzekering bedrijven (AVB) en de bestuurdersaansprakelijkheidsverzekering (D&O) bieden doorgaans (slechts) dekking voor de schade van derden (onder andere cliënten) en niet voor eigen schade aan uw kantoor. Zij bieden veelal geen dekking voor zuivere vermogensschade, terwijl dit een veel voorkomende schadecomponent is in geval van cyberincidenten. Denk aan extra kosten, verlies van geldelijke waarden, inkomsten en gederfde winst.

Materiële verzekeringen (Brand, Computer en Fraude) en Special Contingency (Kidnap & Ransom) kennen veelal specifieke oorzaken, die de verzekering in werking doen treden. De vraag is of deze verzekeringen in werking zullen treden in geval van een cyberincident. In het algemeen kan gesteld worden dat cyber geen genoemde oorzaak is, op grond waarvan  gevolgschade van een cyberincident slechts beperkt gedekt is.
 
Toegegeven dat  bestaande verzekeringen mogelijk gedeeltelijk dekking bieden voor delen van de schadelijke gevolgen van een cyberincident, zijn onder andere de volgende kosten ongedekt: 
– kosten voor incidentmanagement;
– kosten wegens bedrijfsstilstand ten gevolge van een cyberincident;
– notificatiekosten ter zake een datalek;
– kosten voor forensisch onderzoek naar de oorzaak en dader;
– de mogelijk door de Autoriteit Persoonsgevens op te leggen boete;
– kosten ter beperking van schade als de ‘error & omissions’ van de IT-afdeling van uw kantoor.

Daarnaast geldt nog dat in geval er dekking dient te worden gezocht onder verschillende bestaande verzekeringen er op een zeer ongewenst moment van crisis, discussie kan ontstaan tussen verschillende verzekeringen en risicodragers of en, zo ja, welke schadecomponenten mogelijk gedekt zullen zijn onder een specifieke verzekering. Dit leidt tot een ongewenste vertraging op een moment dat juist handelen geboden is.

Uw kantoor

Omdat cyber continue onderhevig is aan verandering vraagt dit onderwerp om een dynamische benadering van uw kantoor waarbij wendbaarheid, flexibiliteit en lerend vermogen cruciaal zijn om de eventuele impact van dit risico voor uw kantoor, cliënten en andere stakeholders zoveel mogelijk te mitigeren. Het advies luidt om periodiek uw situatie te analyseren. In de uit te voeren risicoanalyse dient u niet alleen de interne organisatie van uw kantoor te betrekken, maar dient zeker ook aandacht besteed te worden aan de contractuele relaties met uw IT-leveranciers. De ervaring leert dat contracten met IT-leveranciers vaak verouderd zijn en in geval van crisis of incidenten tot onaangename verrassingen kunnen leiden.

Zorg ervoor dat te nemen maatregelen, zoals die uit een uitgevoerde risicoanalyse naar voren komen, ook daadwerkelijk worden geïmplementeerd in uw dagelijkse processen. Bespreek binnen uw kantoor wie verantwoordelijk is voor dit onderwerp, zodat de juiste personen zich daarvan bewust zijn en adequaat kunnen handelen als de situatie daar om vraagt.

Het inrichten van een actief crisismanagementplan helpt uw kantoor de risico’s voortvloeiende uit incidenten beter te beheersen en daardoor kan schade  worden beperkt. In geval van een incident is de eerste 24 uur de belangrijkste fase. Een actief crisismanagementplan maakt dat u als kantoor in deze fase niet verlamd raakt, maar adequaat kunt reageren. Om te beoordelen of uw kantoor(organisatie) voldoende voorbereid is op een cyberincident of in geval van crisis adequaat zal reageren hoeft u niet te wachten tot u wordt overvallen door een dergelijk incident. Het uitvoeren van een onaangekondigde crisissimulatie zal uw kantoor nodige heldere inzichten kunnen bieden.

Daarnaast zou het afsluiten van een cyberverzekering een middel kunnen zijn om de financiële risico’s te kunnen beheersen, wanneer u onverwachts geconfronteerd wordt met een cyberincident en de daaruit voortvloeiende schade.

(Perry Steenvoorden (e-mail: perry.steenvoorden@aon.nl/telefoon: 020-4305274) is account manager bij Aon Risk Solutions.) 

[Accountantsmagazine, nummer 2, juni 2016]