In een serie interviews over de cyberveiligheid van verzekeraars gaat het Verbond van Verzekeraars in gesprek met experts uit de sector. Welke vormen van cybercriminaliteit vormen de grootste risico’s en hoe wapenen verzekeraars zich tegen cyberaanvallen? In deel één is het woord aan Simon Greve, IT-manager information security and continuity bij VIVAT. Ook is hij voorzitter van het Insurance Information Sharing and Analysis Center (Insurance ISAC) en lid van de stuurgroep van het Computer Emergency Response Team voor de verzekeringssector (i-CERT). Hij heeft 32 jaar ervaring in IT en bijt zich graag vast in de race om hackers altijd een stap voor te zijn.
Laten we beginnen bij de omvang van de dreiging. Hoe vaak worden verzekeraars door hackers aangevallen?
“Dagelijks. Cybercriminelen proberen dagelijks via phishing netwerken binnen te dringen. Daarnaast worden websites en applicaties continu gescand om zwakke plekken op te sporen. Via die weak spots kunnen hackers toegang krijgen tot vertrouwelijke data. Dit gebeurt bij alle bedrijven, dus ook bij verzekeraars. Kijk, een economische crisis of pandemie zie je aankomen, ook al gaat het soms snel. Denk aan de verspreiding van het coronavirus. Het gemene van cybercrime is dat het lang onopgemerkt kan blijven als een hacker binnendringt. Je merkt het pas als data versleuteld, gestolen of openbaar gemaakt is.”
Gevaarlijke vormen van cybercriminaliteit
Spear phishing – Een van de nieuwste vormen van phishing waarbij je op basis van informatie op LinkedIn of Facebook heel persoonlijke e-mails ontvangt die nauwelijks van echt te onderscheiden zijn. Denk bijvoorbeeld aan een e-mail met vacature waarin je door kunt klikken naar meer informatie. Als je dat doet, geef je hackers toegang tot jouw computer. Vanuit daar dringen ze dieper het netwerk binnen, op zoek naar vertrouwelijke data die ze vervolgens misbruiken of versleutelen.
Macro’s – In Microsoft Office-applicaties kunnen macro’s ingezet worden om taken te automatiseren. Deze macro’s kunnen ook gebruikt worden om malware in te verstoppen. Wanneer standaardinstellingen versoepeld worden in verband met het toenemende thuiswerken, neemt het risico op succesvolle cyberaanvallen toe.
SQL-injectie – Websites en applicaties worden continu gescand door hackers om zwakke plekken op te sporen. Op grote schaal worden webformulieren, zoals inlogschermen, gevuld met rare tekens om toegang te krijgen tot accounts en vervolgens tot servers van bedrijven.
Wat zijn de gevolgen van een succesvolle aanval?
“Die zijn desastreus. Niet alleen worden bestuurders door hackers bedreigd en gedwongen om een geldbedrag te betalen. Tegelijkertijd ligt de bedrijfsvoering stil, omdat data en back ups versleuteld zijn. Dit betekent dat klanten schades niet vergoed krijgen en er geen verzekeringen afgesloten of gewijzigd kunnen worden. Stel dat iemand precies op dat moment verhuist en kort daarna de woning afbrandt. En wat als een hacker dreigt met het publiceren van gevoelige, medische informatie? Het risico op reputatieschade is dan ongekend. Kortom; een verzekeraar kan simpelweg niet bestaan zonder veilige data.”
Hoe staat de informatiebeveiliging van verzekeraars ervoor?
“Informatiebeveiligers zijn gelukkig in staat om bijna alle aanvallen af te breken, maar hackers zitten niet stil en verzinnen steeds gemenere manieren om binnen te dringen. Spear phishing (zie kadertekst) is daar een voorbeeld van. Tegelijkertijd wordt de IT-infrastructuur binnen de keten van verzekeraars complexer door digitalisering en de toenemende uitwisseling van data tussen onder andere maatschappijen, intermediairs en InsurTechs. Bedrijven moeten daarom continu grip blijven houden op informatiebeveiliging om hackers buiten de deur te houden. Iedere dag opnieuw.”
Wat doen verzekeraars om grip op veilige data te behouden?
“Een simpele firewall is allang niet meer genoeg. Informatiebeveiliging draait om een combinatie van complexe procedures, tools en computers die hackers tegenhouden. Daarnaast is samenwerking in de sector essentieel om snel te kunnen reageren op nieuwe ontwikkelingen. Het i-CERT is zo’n sectorale samenwerking. Dit crisisteam bestaat uit informatiebeveiligers van vijf verschillende verzekeraars die om beurten dienst draaien. Vindt er een cyberincident plaats? Dan wordt de informatie direct gedeeld met de rest van het team en alle andere maatschappijen die aangesloten zijn op de informatievoorziening. Vervolgens kan er snel actie ondernomen worden zoals bijvoorbeeld het blokkeren van bepaalde e-mailadressen. Een ander leerzaam initiatief is het TIBER-programma van DNB. Via TIBER kunnen verzekeraars zich laten hacken om kwetsbaarheden te vinden en te verhelpen.”
Dus het zit wel goed met informatiebeveiliging?
“Zoals gezegd houden informatiebeveiligers de meeste hackers buiten de deur. Maar ik maak me zorgen over het bewustzijn van de cyberrisico’s binnen de hele organisatie, zowel onder medewerkers als bestuurders. Ik ben ervan overtuigd dat bestuurders een belangrijke rol kunnen spelen bij het vergroten van die awareness. Tevens zijn zij uiteindelijk verantwoordelijk als vertrouwelijke informatie op straat belandt of de bedrijfsvoering stilvalt door een hack. Daarom wil ik directies aansporen om zichzelf regelmatig de volgende twee vragen te stellen: Hoe ‘cyber proof’ is onze bedrijfscultuur en hoe goed zit onze digitale voordeur op slot?
Deel 2: i-CERT
In deel twee van deze serie gaan we met Enriko Groen (IT Security Analyst bij Achmea) dieper in op het Computer Emergency Response Team voor de verzekeringssector, het i-CERT. Nieuwsgierig? Houd de nieuwsbrief of ons LinkedIn-account in de gaten.