Voorkomen of verzekeren?

De zin en onzin van cybersecurityverzekeringen

Met de GDPR-wetgeving in aantocht slaan veel verzekeraars hun slag met diverse cybersecurityverzekeringen. Maar bieden deze verzekeringen eigenlijk wel meerwaarde? En hoe goed ben je eigenlijk beschermd wanneer je als organisatie kiest voor een dergelijke verzekering? We vroegen het twee experts van het Nederlands Cyber Collectief.

Gastexpert Christiaan Zwiers, Cyberchef van het Nederlands Cyber Collectief
Zou jij in een plas stappen als je niet weet hoe diep deze is? Of zou je iets zoeken om de diepte vooraf te peilen? En verwacht een bedrijf dat je, als IT’er, precies weet hoe diep de spreekwoordelijke plas is?

ZwiersGenezen

1 op de 5 mensen heeft het ‘adventure gen’, voor hen is het geen probleem om direct in de plas te stappen. Ze zijn avontuurlijk en nemen risico’s. Voor deze avontuurlijk types is een verzekering, naar mijn mening, een prima oplossing. Simpelweg de sprong wagen in de plas. Heb je een nat pak? Dan is dat vervelend maar de verzekeraar zal zorgen voor droge kleren. Het ongemak neemt hij voor lief als het zich voordoet.

Voorkomen

Bent je niet een type dat zomaar op goed geluk in een plas springt, dan raad ik aan om aan de slag te gaan met preventie. Onder preventie versta ik

a. inzicht in de hoogte van jouw risico en
b. grip op die risico’s waarop je grip wilt.


Hierbij is het belangrijk om de maatregelen te nemen die passen bij jouw bedrijf. Zo kan wellicht een takje genoeg zijn om de diepte in te schatten, en is het voor jou niet nodig om de plas te dempen of met sonar in kaart te brengen. Neem dus maatregelen die passend zijn voor je bedrijf en voor de mate van risico die je zelf acceptabel vindt. Ondernemen is risico’s nemen, ik zou graag zien dat ondernemers deze risico’s op cybercriminaliteit bewust nemen.

De IT-professional

Ik heb veel MKB-bedrijven gesproken die voor de volle 100 procent vertrouwen op hun IT-professional , ‘hij zorgt er immers altijd voor dat de computers werken’. Als ik doorvraag naar wat men van zijn IT’er verwacht op securitygebied, dan is het antwoord veelal ‘alle kennis’. 

Nu ik enige tijd rondloop in de cybersecuritywereld, vraag ik me af hoe terecht dit is. In mijn beleving is cyberveiligheid een vak apart en mag je cybersecuritykennis niet standaard bij iedere IT’er verwachten. De MKB-bedrijven die ik heb gesproken zouden, in ons voorbeeld, dan ook zonder meer in de plas stappen. ‘Als deze te diep was geweest had mijn IT’er mij wel op de hoogte gebracht’. 

Deze MKB’ers verzekeren zich niet en doen weinig aan preventie. Want ‘hun IT’er regelt alles’, zo nemen zij aan. Wij roepen IT-professionals op om de verwachtingen van hun klanten op gebied van de cyberveiligheid te managen danwel altijd up-to-date te blijven van de nieuwste ontwikkelingen op cybergebied.

Voorkomen of genezen?

Voor zowel preventie als verzekering valt wat te zeggen. Persoonlijk zou ik het het liefst allebei willen. Ik zou graag vooraf willen weten hoe diep de plas is. Maar dat zegt misschien meer over mijn missende 'adventure gen’ dan over iets anders…

Gastexpert Albert van der Spek, Strategisch Innovator Nationale-Nederlanden, partner van het Nederlands Cyber Collectief.

SpekVerzekeren is een activiteit die vele eeuwen teruggaat. In de oud-Babylonische tijd waren er al handelaren die hun risico’s verlaagden met het ‘draag-elkanders-lasten-principe’: men deelde het verlies wanneer een karavaan beroofd werd. Nog mooier: er werden in die tijd ook verdragen gesloten waarmee karavanen een veilige doortocht gegarandeerd
werd. Dus ook het voorkomen van schade was toen al aan de orde.

In het digitale tijdperk is naast direct financieel verlies ook een beschadigd imago veel meer aan de orde dan vroeger. Ook kan het voor een bedrijf moeilijker zijn om nieuwe orders te krijgen als er een hack is geweest.

Hoe leg je de balans tussen verzekeren en preventieve maatregelen? Wij raden aan de kosten en de baten af te zetten tegen de risico’s. Wat de risico’s zijn is per bedrijf anders, enkele voorbeelden:

• Een winkel of restauranteigenaar die klanten naar huis stuurt omdat het digitale kassasysteem niet werkt.

• Een psycholoog die de medische gegevens van zijn beroemde patiënten in een magazine terug leest.

• Een advocaat wiens verdedigingsstrategie bij de concurrent belandt.


Heeft een ondernemer zijn cybersecurity op orde, dan levert dit niet alleen een verlaagd risico maar ook andere voordelen op. Zo zal de druk vanuit audits door bijvoorbeeld gecertificeerde auditors of accountants afnemen. Dit levert mogelijk meer rust en minder kosten op. Daarnaast gunnen opdrachtgevers wellicht een deal eerder wanneer men de zaakjes op orde heeft.

Het is wat mij betreft niet meer de vraag of een cyberverzekering wijs is of preventie beter is. Preventie is een basiseis, een right to play, anders doe je op de lange termijn niet meer mee. Verzekeren blijft ook verstandig, want er zijn altijd onvoorziene omstandigheden en de kans op schade kan nooit volledig worden uitgesloten. Eigenlijk is de huidige situatie toch weer niet echt wezenlijk veranderd ten opzichte van vroeger.