Organisaties nauwelijks voorbereid op digitale risico’s
29 februari 2012 -
De gevolgen van digitale risico’s zoals digitale inbraken en technische problemen rondom internetbankieren zijn meer divers en omvangrijker dan vaak gedacht. Dat stelt Peter Hartman, projectleider van de task force digitale risico's bij Aon Nederland. Omvangrijke gevallen van cybercrime bij Nederlandse bedrijven beheersten het nieuws de afgelopen weken. De schade loopt in de tientallen miljoenen euro’s.
Hartman pleit ervoor dat organisaties kritisch naar zichzelf kijken om uiteenlopende digitale risico’s het hoofd te kunnen bieden.
Enorme gevolgen
De gevolgen van een digitaal risico kunnen volgens Aon enorm zijn. Denk daarbij niet alleen aan claims van derden voor geleden schade of inkomstenderving, maar op termijn (als het aan de Europese Commissie ligt) ook aan hoge boetes. Daarnaast ondervindt een onderneming waar een informatielek of continuïteitsprobleem plaatsvindt direct de gevolgen daarvan. Vaak wordt dit als imagoschade geduid, maar de gevolgen voor de 'license to operate' (het mandaat van de omgeving van een organisatie om te bestaan) zijn veel omvangrijker en vragen een geïntegreerde continuïteit- en crisisstrategie. Organisaties moeten zich bijvoorbeeld voorbereiden op extra inzet op het gebied van klantenservice, gewijzigde interne processen, maar ook autoriteiten en financiële instellingen die extra garanties vragen. Wat vaak begint als een technisch issue, blijkt in de praktijk een organisatiebreed risico.
Verzekeringsmogelijkheden beperkt, aansprakelijkheid onduidelijk
"Digitale problemen in de omvang zoals we die de afgelopen maanden hebben gezien, zijn relatief nieuw," zegt Hartman. "De verzekeringsmogelijkheden zijn daardoor beperkt. Momenteel onderzoeken we actief uitbreidingsmogelijkheden bij bestaande verzekeringen of de mogelijkheid om een nieuw soort verzekering te ontwerpen."
Daarbij wijst Hartman op de onduidelijkheid over aansprakelijkheden. "Doordat het een relatief nieuw fenomeen betreft, is er bijna geen jurisprudentie. In principe ligt de aansprakelijkheid bij de eigenaar van een website of ICT-systeem, maar dat kan in sommige gevallen ook eenvoudig bij de gebruiker van de systemen liggen. De wetgeving betreffende de aansprakelijkheid van hosting bedrijven is onduidelijk." Tot die tijd adviseert Hartman vooral goede voorbereidingen te treffen.
Bewustzijn kan beter
Ondanks de vele incidenten de afgelopen maanden, merkt Aon nog altijd dat de bewustwording onder bedrijven niet groot is. "Organisaties moeten zich beter voorbereiden op mogelijke informatierisico's en, wanneer er toch een probleem ontstaat, beter in beeld hebben hoe ze moeten handelen om de gevolgen voor de onderneming zo klein mogelijk te houden." Als mogelijke voorbereidingsmaatregelen denkt Hartman aan een toegespitste crisisstrategie, (aanvullende) technische maatregelen en de waarborging van de bedrijfscontinuïteit van de getroffen organisatie.
En dan te beseffen dat slechts drie jaar na het uitbrengen van bovenstaand artikel cybercrime aan de orde van de dag is en elke grote organisatie cyber security hoog op de agenda heeft staan.
