Stelend personeel enorme schadepost

De schade voor winkeliers door medewerkers die een greep uit de kassa doen, magazijnbedienden die artikelen verduisteren en personeel dat zelf koopt zonder te betalen, is vorig jaar met tien miljoen euro gestegen tot een verliespost van 180 miljoen euro (bron).

180 miljoen klinkt natuurlijk als een enorm bedrag, maar iets in mij zegt me dat dit slechts het topje van de ijsberg is. De schadepost bestaat natuurlijk niet alleen uit diefstal en verduistering van goederen uit winkels. Ook in kantoorpanden wordt natuurlijk vrolijk “geshopt”. De toner thuis op? Dan nemen we er toch een mee van de zaak? Even wat extra reiskosten declareren om het gat te vullen? Wie controleert of jij echt op reis bent geweest?

Denk dus niet dat we er met die 180 miljoen gezegend vanaf komen, want dit is slechts een klein gedeelte van de arbeidsbevolking en slechts een klein gedeelte van wat we daadwerkelijk zien. Het onderzoek is uitgevoerd door de stichting Fraude Aanpak Detailhandel en alle andere organisaties vallen dus buiten de boot.

Het is ook weer vakantietijd, dus het WC-papier, de plastic koffiebekertjes. Ze verdwijnen aan de lopende band omdat we ze zo hard nodig hebben op de camping. Onvoorstelbaar eigenlijk dat medewerkers dit soort risico’s willen lopen. Je zult gepakt worden met 2 WC-rollen in je koffer. Moet je toch een goed verhaal hebben om daar mee weg te komen. Wil jij echt je baan op de tocht zetten omdat je wat WC-papier nodig hebt?

De vraag is nu dus hoeveel procent van het totaal die 180 miljoen is. Dan kunnen we ook uitrekenen hoe groot de kans is dat je gepakt wordt. Ook hier geldt dus weer dat als de pakkans gering is (en dat is hij volgens mij), de fraudes toenemen. Dat zal de komende jaren ook niet minder worden dus we zullen de controles op moeten voeren…helaas bezuinigen we daar vaak als eerste op.

Informatiebeveiliging en verzekeringen

Gisteren was het Hemelvaartsdag en hebben we een dagje bloggen overgeslagen. Maar, geen nood, vandaag maken we dat ruimschoots goed door in te gaan op verzekeringen. Bah, zul je misschien denken, maar uiteraard proberen we er weer een andere wending aan te geven. Maar goed, eerst maar even de vraag van de dag stellen:

Zijn er verzekeringen (maatregelen, reserveringen) afgesloten voor de gevolgen van een incident?

Bij verzekeringen denken we misschien direct aan verzekeringsmaatschappijen die toch niks uitkeren als we schade hebben geleden. Dat is dan misschien onderdeel van de term verzekeringen maar we bedoelen het hier toch meer in de bredere vorm van het woord. We kunnen namelijk ook zelf voorzieningen opnemen die we reserveren voor het geval we die nodig hebben. Ook hier geldt gewoon weer voor dat we op basis van kosten/baten analyses moeten bepalen wat we willen. Zijn we verplicht om ons te verzekeren of is het een vrijwillige keuze? Zijn we niet over- of onderverzekerd? En wat hebben we nu precies verzekerd dan?

Verzekeringen of gereserveerde voorzieningen, ik geloof het eigenlijk wel. Stap een keer naar de insurance afdeling of je verzekeringstussenpersoon en zij kunnen die analyse wel maken. De directe schade is dan wel of niet voldoende verzekerd.

Waar we het in de praktijk nog wel verkeerd zien gaan is de gevolgschade die ontstaat na een incident en die niet verzekerd is of niet te verzekeren is. De schade als gevolg van een brand zijn in dat kader een mooi voorbeeld (maar het geldt ook voor allerlei andere incidenten). We hebben onze boedel en inboedel wel goed verzekerd. Na de brand wordt er weer een mooi nieuw pand voor ons neergezet en worden de voorraden weer aangevuld zodat we aan de slag kunnen. Prima, uitstekend zelfs, onderverzekerd willen we nu ook weer niet zijn.

Maar hoe zit het nu met de gevolgschade? Ons gebouw is morgen niet opnieuw gebouwd, daar gaat al snel een paar jaar overheen. Gaan onze klanten op ons wachten in die tijd? Zeer waarschijnlijk niet. Onze kosten (bijvoorbeeld voor het personeel) lopen gewoon door en ons imago krijgt een diepe deuk. We lopen dus niet alleen omzet mis maar dragen nog steeds enorme kosten…die wel betaald moeten worden. De meeste organisaties gaan niet zozeer failliet aan het directe incident maar juist aan de gevolgschade, die ze nooit meer te boven komen. Deze gevolgschade is meestal niet verzekerd of niet te verzekeren…tenzij we daar zelf voorzieningen voortreffen of zorgen voor een uitstekend Business Continuity Management (in de breedste zin van het woord en dat is meer dan een IT uitwijklocatie).

Alle klanten begrijpen dat we na een ingrijpend incident moeilijker kunnen leveren, maar als we in staat zijn om de draad (zo goed en zo kwaad als het kan) weer snel op te pakken dan stijgt niet alleen het vertrouwen van onze klant in ons als organisatie maar draaien we ook weer snel een omzet (die misschien minder is dan normaal…maar minder is nog altijd beter dan niets). We kunnen de kosten dragen en gaan er niet kapot aan. We hebben er last van, maar kunnen er na verloop van tijd sterker uitkomen.

Verzekeringen, denk niet alleen aan de verzekeringsmaatschappij en de directe schade maar denk ook aan andere maatregelen die je kunt treffen om zo snel mogelijk weer “up and running” te zijn. Daarbij kijken we dus juist ook naar de gevolgschade en de wijze waarop we die kunnen beperken.

Softwarekraak kost bedrijven miljoenen

Vakgenoten hebben het er al veel langer over. Bedrijven nemen security & risk management niet serieus genoeg en lopen daardoor (onnodig) grote risico’s.

Onderzoek van Monique Otten, bedrijfsadviseur bij Ernst& Young, bevestigt dit beeld maar weer eens en somt de feiten voor ons op:
Bedrijven lopen steeds meer financiële schade op door computercriminaliteit, maar doen zelden aangifte. De diefstal van geld, gegevens en het plaatsen van virussen neemt volgens 43% van de bedrijven toe. Zeker 74.000 Nederlandse bedrijven lijden financiële schade, bij 13% was dat vorig jaar meer dan een €1 miljoen (bron).

Aan het eind van het artikel worden nog meer feiten weergegeven:
De helft van de onderzochte ondernemingen die financieel geraakt is boekt schade in van €10.000 tot €500.000. Otten: ,,Verbazingwekkend is dan dat ruim 30% van de bedrijven zelfs de meest eenvoudige firewall-software niet heeft.” Verzekeraars zullen bij cyberinbraken dan ook niets uitkeren.

Als de helft van die 74.000 bedrijven een schade inboekt van minimaal € 10.000 dan hebben we het dus al over een bedrag van € 370.000.000. Dan hebben we het nog niet eens gehad over de gevolgschade en de imagoschade waardoor nog vele malen meer omzet wordt misgelopen.

Ik ben heel benieuwd wanneer organisaties dit soort incidenten serieus gaan nemen. Als zelfs de eenvoudigste maatregelen al niet genomen worden, dan vraag je er ook een beetje om. Ik hou mijn hart vast en ben graag bereid die organisaties die wel serieus er mee aan de slag willen verder te helpen.

Schade internetcriminaliteit 750 miljard per jaar

De totale omvang van deze illegale ondergrondse economie is volgens Europol momenteel niet te meten. Wel is volgens antivirusbouwer McAfee duidelijk dat bedrijven wereldwijd jaarlijks voor ongeveer 750 miljard dollar schade lijden door internetcriminaliteit (bron).

We mogen in Nederland blij zijn dat de Euro/Dollar-koers nog steeds in ons voordeel uitwijst. Daarmee lopen we in euro’s toch wat minder schade op, zullen we maar zeggen. Maar is het niet onvoorstelbaar dat bedrijven wereldwijd 750 miljard schade lijden door internetcriminaliteit?

Wow, een miljard heeft 9 nullen. Dus cijfermatig ziet het er als volgt uit:
750.000.000.000. Dat is de schade die we jaarlijks minimaal lopen. Ehm, tijd dat mijn aandeel voor advies stijgt naar 1% van dit schadebedrag.

En dan te bedenken dat volgens Europol de ondergrondse illegale economie niet te meten is? Tel daarbij het bericht van gisteren op dat het met de informatiebeveiliging in Nederland nog niet goed gesteld is en we hebben een business case. Althans, dat zou je zeggen, helaas wijst de praktijk toch anders uit en wordt er (te) weinig gedaan om de informatiebeveiliging in Nederland naar een hoger plan te tillen.

Het sterkt mij uiteraard in de gedachte dat er nog heel veel werk te doen is op informatiebeveiligingsgebied…nu nog het inzicht bij de organisaties voor elkaar weten te krijgen en we kunnen binnenkort het werk allemaal niet meer aan.

75% bedrijven doelwit cyberaanvallen

Driekwart van de bedrijven is de afgelopen maanden doelwit van een cyberaanval geweest. 36 procent beschreef de aanval als enigszins tot zeer effectief. Verder meldde 29 procent van de bedrijven dat het aantal aanvallen de afgelopen twaalf maanden is toegenomen en raakt 43 procent vertrouwelijke of zakelijke informatie kwijt. Dergelijke aanvallen kosten bedrijven gemiddeld 1,5 miljoen euro per jaar. Daarnaast meldden bedrijven dat beveiliging steeds lastiger wordt, als gevolg van onderbezetting, nieuwe IT-initiatieven waarvoor extra beveiliging nodig is en het belang van toezicht op IT.

“Als er een onderwerp is dat IT-managers wakker houdt, dan is het security”. 42% van de respondenten beschouwt beveiliging als de belangrijkste prioriteit, gevolgd door traditionele criminaliteit (17%), brand (17%) en natuurrampen (14%). Over terrorisme maken bedrijven zich met tien procent het minst zorgen (bron).

Kun je nagaan: een dergelijke aanval kost bedrijven gemiddeld 1,5 miljoen euro per jaar. Voor veel bedrijven is het security budget niet eens 1,5 miljoen. Zaak dat we ons meer en meer gaan richten op de kosten/baten-analyse voor beveiliging.

Voor de duidelijkheid. Deze 1,5 miljoen betreft alleen de cyberaanvallen. Kun je nagaan wat andere incidenten kosten. Weten we niet allemaal dat de grootste dreiging van intern komt. Medewerkers hebben al toegang tot het gebouw en delen van de informatie en kunnen vele malen meer schade aanrichten dan het genoemde bedrag.

Het Radboud is lekker bezig…

Voor het weekend nog even een nabrander…onder het mom van negatieve publiciteit is ook publiciteit is het Radboud lekker bezig.

De Radboud Universiteit heeft 1 miljoen euro schade opgelopen omdat een nog onbekend iemand expres een douche op de derde verdieping heeft aangezet…Er ontstond een overstroming in het juist opgeknapt bedrijvengebouw voor startende ondernemers…Technisch onderzoek heeft volgens de universiteit uitgewezen dat de douche expres is aangezet (bron).

Dat roept toch vragen op:

  • Waarom is er een douche in een bedrijvengebouw voor startende ondernemers?
  • Hoe kan 1 douche voor 1 miljoen euro schade zorgen?
  • Wat is er in hemelsnaam met het doucheputje gebeurd?
  • Is de medewerker die de webcam opgangen heeft nu hoofdverdachte?
  • Hoe hebben ze technisch onderzocht dat de douche expres is aangezet?

Kleine tip voor de Radboud…een doucheputje heb je al voor een paar euro.