Stel dat een gijzelsoftware-aanval een verzekeraar gedurende 32 uur grotendeels plat legt. De financiële schade door het stilliggen van bedrijfsprocessen is dan groot, maar wat te denken van de imagoschade? Die is misschien nog wel groter. Vraag die al snel rijst, is of de verzekeraar de aanval had kunnen voorkomen?
“Die kans is groot”, zegt Anne Sonnenschein. Anne is Beleidsadviseur bij het Centrum Bestrijding Verzekeringscriminaliteit bij het Verbond. Maar Anne is ook coördinator van het zogenoemde i-CERT, het Computer Emergency Response Team voor de verzekeringssector.
I-CERT faciliteert de informatie-uitwisseling over cyber security tussen de aangesloten verzekeraars. I-CERT is nu bijna twee jaar actief, heeft bijna 300 keer kennis over cyber security issues gedeeld en ruim tachtig adviezen gegeven naar aanleiding van meldingen van verzekeraars. Tot nu toe zijn er 59 Nederlandse verzekeraars aangesloten die samen zo’n negentig procent van de schade- en levensverzekeringenmarkt vertegenwoordigen. En tijdens een platformbijeenkomst, die gisteren bij het Verbond plaatsvond, staken meerdere (kleinere) verzekeraars hun hand in de lucht met de vraag hoe en waar ze zich konden aanmelden.
i-CERT
Anne had tijdens die bijeenkomst de eer om de ins en outs van i-CERT toe te lichten. Voor een volle zaal met informatiebeveiligers, Information Security Officers, Security Specialisten en Compliance Officers, kon hij eigenlijk met één voorbeeld volstaan. “Vorige week schreef een Tech-redacteur van NOS Nieuws dat verschillende Nederlandse bedrijven waren getroffen door geavanceerde gijzelsoftware. Om welke bedrijven het gaat, is niet bekend gemaakt en ook niet hoeveel Nederlandse bedrijven zijn getroffen. Wereldwijd gaat het om minimaal 1.800 getroffen bedrijven en de gevolgen kunnen groot zijn. Dat zou blijken uit een vertrouwelijk overheidsrapport, dat in handen is van de NOS. U wist door i-CERT al een half jaar eerder van deze aanval en hoe u zich daartegen kunt wapenen.”
"Verzekeraars zien steeds vaker phishingmails opduiken"
Convenant
i-CERT kan, volgens hem, het beste worden omschreven als een “centraal meldpunt voor het ontvangen, analyseren en verspreiden van relevante informatie over kwetsbaarheden, incidenten, dreigingen, etc.” De belangrijkste afspraken zijn vastgelegd in een convenant dat al door zo’n zestig verzekeraars is ondertekend.
De werkwijze is even simpel als doeltreffend. Vijf grote verzekeraars, die over de nodige specialisten beschikken, draaien op roulatiebasis piketdiensten. “Vergelijk het maar met een meldkamer”, aldus Anne. “Zodra een van de aangesloten leden stuit op een incident, aanval o.i.d. waarvan duidelijk is dat een waarschuwing naar de rest van de markt op zijn plaats is, dan wordt dat gemeld bij het i-CERT loket. Denk bijvoorbeeld aan (het vermoeden van) een cyberattack, phishingmails of CEO-fraude. De melding wordt verwerkt in een virtuele werkomgeving die door het Verbond beschikbaar is gesteld en uiteraard is de informatie niet herleidbaar. De enigen die weten om welke maatschappij het gaat, zijn de dienstdoende specialist en het Verbond. I-CERT is met andere woorden een veilig loket voor het melden, verwerken en distribueren van informatie met betrekking tot cybersecurity.”
Praktijkvoorbeeld
Voor de leden van het Verbond zijn geen kosten verbonden aan het convenant, maar aangesloten verzekeraars worden wel geacht incidenten te melden. “Het gaat echt om incidenten en andere informatie die voor collega-verzekeraars relevant kan zijn”, benadrukte Anne.
Hij gaf een mooi praktijkvoorbeeld. “In toenemende mate zien verzekeraars een nieuw soort phishingmails opduiken. De afzender en hyperlinks zijn bijna identiek. Je moet echt je best doen om verschillen te ontdekken. Na een eerste melding hebben wij via i-CERT meteen een waarschuwing uitgedaan, waarop nog meer verzekeraars zich hebben gemeld. Op die manier kunnen we mooi onze krachten bundelen en bovendien is een mooie bijvangst dat in i-CERT twee werelden samenkomen: die van de Cyber Security Specialisten met die van de fraudebestrijders. De cybercrimineel manifesteert zich namelijk steeds meer als een fraudeur en een fraudeur laat geregeld digitale sporen na. Door het delen van kennis en (preventieve) adviezen tussen deze beroepsgroepen kunnen we schade zoveel mogelijk voorkomen.”
Een van de mooiste complimenten die hij op zijn verhaal kan krijgen, vindt heel stilletjes achterin in de zaal plaats. Mijn buurman, die nog niet aangesloten blijkt te zijn op i-CERT, fluistert dat “wij dan pas best een reële bedreiging hebben gehad. Dat was toch serieuzer dan ik dacht. Daar moet ik morgen als eerste maar eens werk van maken”. Vervolgens steekt hij zijn hand op: “Bij wie kunnen wij ons aanmelden voor de ondertekening van het convenant?”
Was dit nuttig?