
Een cyberongeluk
zit in een klein hoekje
Cybercriminaliteit, welke risico’s loopt een ondernemer? Hiscox brengt enkele van deze risico’s in kaart aan de hand van acht claims die in 2020 voorbijkwamen. Bewustwording van deze risico’s is met name iets waar Nederland internationaal gezien achterloopt. Ruim twee derde van de Nederlandse bedrijven is niet goed voorbereid op cyberaanvallen.
Nederland loopt voorop op het gebied van digitalisering, maar Nederlandse bedrijven realiseren zich veelal te weinig dat ook zij makkelijk slachtoffer kunnen worden van cybercrime. Ruim een derde van de bedrijven in ons land, van klein tot groot en binnen diverse sectoren, viel in 2019 ten prooi aan cybercriminaliteit, bleek uit een in 2020 gepubliceerd internationaal onderzoek onder 5.569 professionals die betrokken zijn bij de cyberbeveiliging van hun organisatie. Het onderzoek werd in opdracht van Hiscox uitgevoerd door Forrester (cybersecurity).
Yasin Chalabi, Manager Professional Insurance en Cyber & Data Risks van Hiscox: “Investeren in bescherming voor cyberaanvallen loont. Zeker als je bedenkt dat 1 op de 5 getroffen Nederlandse bedrijven losgeld betaalt na een eis. Het zijn helaas vooral de kleinere, meer kwetsbare bedrijven die de prijs betalen. Terwijl dit probleem in Nederland duidelijk groter is dan in andere landen, zien Nederlandse besturen de urgentie niet zo. Slechts de helft van de Nederlandse bedrijven geeft aan dat cyberbeveiliging een topprioriteit is voor het bestuur, tegenover 63% in de gehele internationale onderzoeksgroep. In het onderzoek worden bedrijven beoordeeld op hun ‘Cyber Readiness’ aan de hand van verschillende factoren op het gebied van strategie, technologie, middelen en processen. 68% van de Nederlandse organisaties blijkt dan onvoldoende voorbereid. Onder kleine bedrijven tot 10 werknemers loopt dit percentage zelfs op tot 82%. Daarmee scoort Nederland internationaal het slechtst.”
In 67% van de cyberclaims die Hiscox ontvangt, komt menselijk handelen naar voren. Chalabi: “Dit varieert van het per ongeluk openen van een Phishing e-mail tot het overmaken van een geldbedrag in opdracht van iemand waarvan je denkt dat het de CEO is. Je kunt zoiets niet 100% voorkomen, maar naast een goede verzekering is investeren in regelmatige training van medewerkers erg waardevol.”
Losgeld betalen
Financiële diefstal
Een dataleverancier van technologieaanbieders was het doelwit van een aanval waarbij betalingen werden omgeleid naar een frauduleuze bankrekening. De verzekerde verrichte drie betalingen voor in totaal 43.000 euro op de rekening van zijn advocatenkantoor, zo hij dacht althans. Het bleek echter dat het kantoor was gehackt en de bankgegevens waren gewijzigd. Gelukkig was de verzekerde hiervoor gedekt, zodat het verloren geld kon worden terugbetaald.
Liefdadigheidsinstelling
Een bedrijf kreeg te maken met een ransomware-aanval nadat een medewerker een oude laptop had gebruikt om op afstand in te loggen. In verband met de Covid-19-lockdown kreeg een medewerker een laptop waarop nog slapende ransomware aanwezig bleek. Zodra de laptop verbinding maakte met het netwerk, verspreidde de ransomware zich onbewust.
E-commerce
Een e-commerce platform dat woonaccessoires aanbiedt, werd doelwit van een aanval, waarbij de aanvaller geldige inloggegevens verkreeg voor het platform dat de website aanstuurt. De hacker plaatste een script in het menu dat werd geactiveerd wanneer de klant op een onzichtbare knop boven op de knop ‘Afrekenen’ klikte. Zodra het script werd geactiveerd, werden de betaalgegevens van de klant verzameld, zoals naam, adres, verzend-, facturatie- en creditcardgegevens.
IT-er
Een IT-er kreeg te maken met een aanval die zijn website gedurende enkele dagen blokkeerde. De IT-er slaagde erin de forensische werkzaamheden zelf af te ronden maar had hierdoor kosten gemaakt. Vastgesteld werd dat de oorzaak van de aanval te wijten was aan de ongebruikelijk grote hoeveelheid inkomend verkeer op de website, waardoor de server crashte. Nadat er door de IT-er zelf actie was ondernomen om het firewallsysteem te verbeteren, nam het webverkeer af.
Voedselproducent
Verzekerde was het slachtoffer van een aanval met ransomware. Alle servers en back-upbestanden werden versleuteld, waardoor de verzekerde geen bestellingen kon opnemen, producten verzenden of klanten factureren. Uit forensisch onderzoek volgde dat er geen persoonsgegevens waren gedownload of geëxfiltreerd.
Educatieve diensten
Een onderwijsinstelling kreeg te maken met een aanval met een vervalst e-mailadres, waarbij een bedrag van 17.000 euro werd omgeleid. Bovendien hadden de aanvallers waarschijnlijk toegang gekregen tot gevoelige persoonlijk identificeerbare informatie (PII) van minderjarigen. Uit een eerste onderzoek bleek dat de dader zes kwaadaardige e-mails had verzonden om de ontvangers ertoe te bewegen schoolgelden over te maken naar een frauduleuze bankrekening, en ‘korting voor vervroegde betaling’ had aangeboden.
Bouw
De klant meldde een hackaanval door pogingen van onbekende IP-adressen om in te loggen op de bedrijfs-VPN voor medewerkers. Op de vraag van Hiscox hoe zeker het bedrijf was dat een onbevoegde persoon toegang had verkregen, meldde het hoofd IT dat het bedrijf daar niet zeker van was. Hiscox adviseerde een forensisch ICT-onderzoek in te stellen. Dit leidde tot de conclusie dat er wel sprake was van ongeautoriseerde toegang, maar geen toegang tot persoonsgegevens. Er had zich daarom geen inbreuk op gegevens voorgedaan.
Cyberclaims uit de praktijk
Wij bieden maatwerk gebaseerd op lokale kennis’
Schade

Een cyberongeluk
zit in een klein hoekje
Cybercriminaliteit, welke risico’s loopt een ondernemer? Hiscox brengt enkele van deze risico’s in kaart aan de hand van acht claims die in 2020 voorbijkwamen. Bewustwording van deze risico’s is met name iets waar Nederland internationaal gezien achterloopt. Ruim twee derde van de Nederlandse bedrijven is niet goed voorbereid op cyberaanvallen.
Nederland loopt voorop op het gebied van digitalisering, maar Nederlandse bedrijven realiseren zich veelal te weinig dat ook zij makkelijk slachtoffer kunnen worden van cybercrime. Ruim een derde van de bedrijven in ons land, van klein tot groot en binnen diverse sectoren, viel in 2019 ten prooi aan cybercriminaliteit, bleek uit een in 2020 gepubliceerd internationaal onderzoek onder 5.569 professionals die betrokken zijn bij de cyberbeveiliging van hun organisatie. Het onderzoek werd in opdracht van Hiscox uitgevoerd door Forrester (cybersecurity).
Yasin Chalabi, Manager Professional Insurance en Cyber & Data Risks van Hiscox: “Investeren in bescherming voor cyberaanvallen loont. Zeker als je bedenkt dat 1 op de 5 getroffen Nederlandse bedrijven losgeld betaalt na een eis. Het zijn helaas vooral de kleinere, meer kwetsbare bedrijven die de prijs betalen. Terwijl dit probleem in Nederland duidelijk groter is dan in andere landen, zien Nederlandse besturen de urgentie niet zo. Slechts de helft van de Nederlandse bedrijven geeft aan dat cyberbeveiliging een topprioriteit is voor het bestuur, tegenover 63% in de gehele internationale onderzoeksgroep. In het onderzoek worden bedrijven beoordeeld op hun ‘Cyber Readiness’ aan de hand van verschillende factoren op het gebied van strategie, technologie, middelen en processen. 68% van de Nederlandse organisaties blijkt dan onvoldoende voorbereid. Onder kleine bedrijven tot 10 werknemers loopt dit percentage zelfs op tot 82%. Daarmee scoort Nederland internationaal het slechtst.”
In 67% van de cyberclaims die Hiscox ontvangt, komt menselijk handelen naar voren. Chalabi: “Dit varieert van het per ongeluk openen van een Phishing e-mail tot het overmaken van een geldbedrag in opdracht van iemand waarvan je denkt dat het de CEO is. Je kunt zoiets niet 100% voorkomen, maar naast een goede verzekering is investeren in regelmatige training van medewerkers erg waardevol.”
Losgeld betalen
Wij bieden maatwerk gebaseerd op lokale kennis’
Financiële diefstal
Een dataleverancier van technologieaanbieders was het doelwit van een aanval waarbij betalingen werden omgeleid naar een frauduleuze bankrekening. De verzekerde verrichte drie betalingen voor in totaal 43.000 euro op de rekening van zijn advocatenkantoor, zo hij dacht althans. Het bleek echter dat het kantoor was gehackt en de bankgegevens waren gewijzigd. Gelukkig was de verzekerde hiervoor gedekt, zodat het verloren geld kon worden terugbetaald.
Liefdadigheidsinstelling
Een bedrijf kreeg te maken met een ransomware-aanval nadat een medewerker een oude laptop had gebruikt om op afstand in te loggen. In verband met de Covid-19-lockdown kreeg een medewerker een laptop waarop nog slapende ransomware aanwezig bleek. Zodra de laptop verbinding maakte met het netwerk, verspreidde de ransomware zich onbewust.
E-commerce
Een e-commerce platform dat woonaccessoires aanbiedt, werd doelwit van een aanval, waarbij de aanvaller geldige inloggegevens verkreeg voor het platform dat de website aanstuurt. De hacker plaatste een script in het menu dat werd geactiveerd wanneer de klant op een onzichtbare knop boven op de knop ‘Afrekenen’ klikte. Zodra het script werd geactiveerd, werden de betaalgegevens van de klant verzameld, zoals naam, adres, verzend-, facturatie- en creditcardgegevens.
IT-er
Een IT-er kreeg te maken met een aanval die zijn website gedurende enkele dagen blokkeerde. De IT-er slaagde erin de forensische werkzaamheden zelf af te ronden maar had hierdoor kosten gemaakt. Vastgesteld werd dat de oorzaak van de aanval te wijten was aan de ongebruikelijk grote hoeveelheid inkomend verkeer op de website, waardoor de server crashte. Nadat er door de IT-er zelf actie was ondernomen om het firewallsysteem te verbeteren, nam het webverkeer af.
Voedselproducent
Verzekerde was het slachtoffer van een aanval met ransomware. Alle servers en back-upbestanden werden versleuteld, waardoor de verzekerde geen bestellingen kon opnemen, producten verzenden of klanten factureren. Uit forensisch onderzoek volgde dat er geen persoonsgegevens waren gedownload of geëxfiltreerd.
Educatieve diensten
Een onderwijsinstelling kreeg te maken met een aanval met een vervalst e-mailadres, waarbij een bedrag van 17.000 euro werd omgeleid. Bovendien hadden de aanvallers waarschijnlijk toegang gekregen tot gevoelige persoonlijk identificeerbare informatie (PII) van minderjarigen. Uit een eerste onderzoek bleek dat de dader zes kwaadaardige e-mails had verzonden om de ontvangers ertoe te bewegen schoolgelden over te maken naar een frauduleuze bankrekening, en ‘korting voor vervroegde betaling’ had aangeboden.
Bouw
De klant meldde een hackaanval door pogingen van onbekende IP-adressen om in te loggen op de bedrijfs-VPN voor medewerkers. Op de vraag van Hiscox hoe zeker het bedrijf was dat een onbevoegde persoon toegang had verkregen, meldde het hoofd IT dat het bedrijf daar niet zeker van was. Hiscox adviseerde een forensisch ICT-onderzoek in te stellen. Dit leidde tot de conclusie dat er wel sprake was van ongeautoriseerde toegang, maar geen toegang tot persoonsgegevens. Er had zich daarom geen inbreuk op gegevens voorgedaan.
Cyberclaims uit de praktijk