Het risico van cybercriminaliteit
Op 8 juni 2021 publiceerde ABN AMRO een onderzoeksrapport omtrent het risico van cybercriminaliteit. De resultaten zijn uiteenlopend. Zo zijn de kosten aanzienlijk gestegen: “De kosten van cyberaanvallen zijn vorig jaar geëxplodeerd”, aldus ABN AMRO. Ook zijn de risico’s van cybercriminaliteit toegenomen. Het besef van de risico’s is laag en worden zelfs lager ingeschat dan voor het uitbreken van Corona. En dat terwijl de Corona crisis online ondernemen een boost gaf.
De gevolgen van cybercriminaliteit
Cybercriminaliteit heeft vele gezichten. Veel voorkomende vormen zijn:
- DDOS aanvallen: waardoor websites overbelast raken en traag worden of zelfs crashen.
- Phishing: pogingen waarbij hackers proberen om via email vertrouwelijke informatie in handen te krijgen
- Ransomware: gijzelsoftware die gegevens op een computer of netwerk versleuteld en waarbij losgeld wordt gevraagd voor een code om de versleuteling op te heffen
Er zijn genoeg voorbeelden waaruit blijkt dat cybercrimininaliteit vergaande gevolgen kan hebben. Denk aan de Universiteit van Maastricht die medio kerst 2019 slachtoffer werd van ransomware. Later bleek uit media berichten dat de universiteit circa 2 ton aan losgeld had betaald.
Uitbesteden systeembeheer
Als je ergens niet goed in bent kan je het beter uitbesteden. En dat gebeurt veelvuldig bij automatisering. Maar ook als systeembeheer, applicatiebeheer en onderhoud zijn uitbesteed blijft het opletten. Op 16 februari 2021 wees het Gerechtshof Amsterdam een arrest in een zaak waarbij een ondernemer slachtoffer was van een hack. De betrokken ondernemer vorderde ruim 18 duizend euro vanwege het niet nakomen van een service contract. De betrokken onderneming was medio juli 2016 slachter van een hack. Deze hack had tot gevolg dat op computerschermen een klokje te zien was, dat aftelde tot 26 juli. Op dat moment zouden de systemen onherstelbaar beschadigd raken. Het automatiseringsbedrijf was tot 21 juni 2016 verantwoordelijk voor (onder andere) backups. Als het systeem goed ingesteld zou zijn, dan zouden er dagelijks backups gemaakt zijn. En je voelt het bijna aankomen, het ging mis met de backups. Er was slechts een handmatige verouderde backup van 29 april 2016.
Het Gerechtshof oordeelde dat het automatiseringsbedrijf aansprakelijk was. Maar toch werd de schade aanzienlijk beperkt, doordat het servicecontract was opgezegd. Het servicecontract met een ander bedrijf ging pas in per 1 augustus 2016. Dat komt de ondernemer duur te staan. Door het risico te nemen van zo’n overbruggingsperiode past het Gerechtshof een fikse korting toe op de schade. Uiteindelijk wordt 1/3 van de schade als gevolg van cybercriminaliteit toegewezen.
Beperken risico’s van cybercriminaliteit
Van belang is dat je als ondernemer rekening houdt met de risico’s van cybercriminaliteit. Cybercriminaliteit is te verzekeren, systemen zijn te beveiligen, maar al die maatregelen zijn niet sterker dan de zwakste schakel. En vaak zit die schakel in het gedrag van medewerkers, bijvoorbeeld een periodieke test of een backup ook daadwerkelijk gemaakt en bruikbaar is.
De aanpak van risico’s van cybercriminaliteit vraagt een proactieve en procesmatige aanpak. Dat kan met behulp van een Cyber Respons Plan (CRP). Met behulp van een CRP wordt in kaart gebracht welke gegevens of systemen essentieel zijn, detectie van bedreigingen, handelingsplannen bij incidenten, test en evaluatiemomenten.
Meer weten over de preventie van cybercriminaliteit, een CRP en hoe wij je daarbij kunnen helpen? www.heijinkenmeure.nl/cybercriminaliteit
Arie Heijink is advocaat en partner bij Heijink & Meure advocaten
