of 59045 LinkedIn

Voorbereid op cybercriminaliteit

De gevolgen van cybercriminaliteit kunnen erg groot zijn. Denk aan verlies van vertrouwelijke data, personeelsgegevens, verzuimgegevens, het in verkeerde handen komen van cijfergegevens, schade aan het IT-netwerk, aansprakelijkheidsclaims en reputatieschade. Beveiliging van data is niet alleen een technisch vraagstuk. Het is een strategische beslissing, waarbij de financieel eindverantwoordelijke een grote rol speelt.
Reageer

De gevolgen van cybercriminaliteit kunnen erg groot zijn. Denk aan verlies van vertrouwelijke data, personeelsgegevens, verzuimgegevens, het in verkeerde handen komen van cijfergegevens, schade aan het IT-netwerk, aansprakelijkheidsclaims en reputatieschade. Beveiliging van data is niet alleen een technisch vraagstuk. Het is een strategische beslissing, waarbij de financieel eindverantwoordelijke een grote rol speelt.

Optimaal risicomanagement onmisbaar bij inschatten cyberrisico’s

De digitale wereld brengt organisaties een groot goed op het gebied van efficiency en slagvaardigheid. ICT ondersteunt alle moderne (interne) bedrijfsprocessen en zorgt voor een vitale infrastructuur. De ICT-infrastructuur ontwikkelt zich snel. Het werken via internet en de handel via webshops is volledig geïntegreerd in onze maatschappij. Organisaties kennen een hyperconnectiviteit. Het nieuwe werken als BYOD (bring your own device) wordt standaard. Ook de criminele wereld heeft ontdekt dat er in deze virtuele maatschappij veel geld te verdienen valt.

Cybercriminaliteit kost het Nederlandse bedrijfsleven en overheidsorganisaties jaarlijks 10 miljard euro. In de top drie van de meest kwetsbare sectoren staat de publieke sector. Methoden van criminele hackers evolueren sneller dan security. Door veel organisaties worden de (virtuele) risico’s nog zwaar onderschat en vaak hebben zij geen duidelijk beeld van de gevolgen van een cyberincident.

Meldplicht Datalekken
Een extra dimensie voor de bewustwording van de financiële risico’s, is de komst van nieuwe wettelijke regels. Sinds 1 januari 2016 zijn de aanpassingen van de huidige Wbp (Wet bescherming persoonsgegevens) van kracht. Een onderdeel van deze aanpassing is de nieuwe Meldplicht Datalekken. Organisaties (bedrijven en overheden) moeten, op straffe van sancties en boetes, onverwijld melding doen van datalekken van privacygevoelige gegevens. De Autoriteit Persoonsgegevens  (voorheen het College Bescherming Persoonsgegevens) heeft, net als bijvoorbeeld de Autoriteit Financiële Markten (AFM), een zelfstandige bevoegdheid tot het opleggen van sancties en boetes. Deze boetes kunnen oplopen tot 820.000 euro.

De eerst logische reactie van de organisatie om het datalek intern te houden, is dan niet meer mogelijk. Onverwijld, er wordt een termijn genoemd van 72 uur, moet de organisatie gekwantificeerd en gekwalificeerd, de Autoriteit en in sommige gevallen ook de betrokkenen, informeren over welke data gelekt zijn en welke maatregelen de organisatie treft.

Aanpassen contracten
Het is zaak dat de organisatie in kaart brengt hoe binnen de organisatie en via welke externe bewerkers (ICT-bedrijven/hosting/cloud/leveranciers) privacygevoelige data kunnen lekken. De organisatie zal nieuwe afspraken voor het signaleren en informeren van datalekken moeten vastleggen en mogelijk hiervoor bestaande contracten of Service Level Agreements moeten openbreken. Naast kosten van ICT zal de organisatie vooral rekening moeten gaan houden met grote bedragen, onder meer voor verweerkosten (juridische/advocaatkosten), kosten van crisismanagement en kosten voor beperken van imagoschade.

Afbeelding

Overzicht en inzicht
Het is de verantwoordelijkheid van iedere organisatie om persoonsgegevens te verwerken, overeenkomstig de bepalingen in de Wet bescherming persoonsgegevens. Met de Meldplicht Datalekken worden deze verantwoordelijkheden aangescherpt. Gevolg is dat (financieel) verantwoordelijken meer behoefte hebben aan overzicht en inzicht in de adequate beveiliging van persoonsgegevens die de organisatie heeft genomen. Dit inzicht beperkt zich niet tot de interne processen. De organisatie is ook aansprakelijk voor een datalek bij bewerkers (zoals de externe ICT-leverancier of de hostingpartij). De tijd van ‘Trust me’ is voorbij. Het worden tijden van ‘Show me’. 


Masterclass cybersecurity en privacy
Samen met de Academie Publieke Sector organiseert CYCO Cybercrime Cover een masterclass voor accountants, controllers en financieel verantwoordelijken, werkzaam in de (semi) publieke sector. Met deze masterclass wordt een duidelijke behoefte ingevuld die financieel verantwoordelijken, werkzaam binnen de publieke sector, hebben.

Organisaties zijn geneigd het risico van een cyberincident vooral via de technische kant te benaderen. In de masterclass leren deelnemers hoe het cyberrisico te benaderen als een strategisch vraagstuk. Aan de orde komen onder meer vragen als: Hoe kunnen we dit risico beheersbaar maken voor onze organisatie? Wat zijn onze kritische bedrijfsprocessen? Wat staat ons te doen bij een cyberincident? Wat zijn de (nieuwe) wettelijke regels op het gebied van diefstal van privacygevoelige gegevens? Hoe groot is onze reputatieschade na een publicatie in de krant over een hack? Hebben mijn stakeholders nog het vertrouwen dat hun gegevens veilig zijn bij onze organisatie? Wat is ons worst case scenario?

De masterclass bestaat uit twee delen. Een belangrijk onderdeel is kennisoverdracht op het gebied van de modus operandi van cybercriminelen en waarom gevoelige data voor hen interessant zijn. Het eerste deel kent een zogenaamde hackerexperience en een introductie in wetgeving en risicobeheersing. Deelnemers zien hoe hackers te werk gaan. Binnen enkele minuten, soms seconden, dringt de hacker binnen in een computersysteem. Of bijvoorbeeld binnen een mobiele telefoon. De deelnemer wordt ook geïntroduceerd in het Darkweb en welke data daar live worden verhandeld. Het laat organisaties zien hoe zij geconfronteerd kunnen worden met een cyberincident. Voor het vervolg van de masterclass krijgen de deelnemers een assessment mee. Met deze assessment maakt de deelnemer een goede basis voor een structurele aanpak van het risico op een cyber of privacy incident.

Het vervolg van de masterclass is sectorspecifiek. Er is een keuze voor (Rijks)overheid, onderwijs, zorg en non-profit. In dit deel wordt dieper ingegaan op het juridisch kader en de correcte implementatie van maatregelen en relevante wetgeving, beleidsregels en normenkaders. Deze zijn van belang binnen de specifieke branche. Zoals de BIR voor rijksdiensten, de BIG voor gemeenten en de NEN 7510 voor zorginstellingen.


Door: Wouter Parent en Robert van der Vossen zijn werkzaam bij CYCO Cybercrime Cover

Meer weten?
CYCO Cybercrime Cover - cyco.nu
Academie Publieke Sector - academiepubliekesector.nl


Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.