Nut en noodzaak van cyberverzekeringen: het onderzoeken waard

Nut en noodzaak van cyberverzekeringen: het onderzoeken waard

Redactie Baaz

Cyberaanvallen zijn helaas geen zeldzaamheid. Dagelijks worden duizenden organisaties aangevallen en cybersecurity-experts moeten alles op alles zetten om hackers buiten de deur te houden en de schade te beperken. Maar in een wereld waar een kleine kwetsbaarheid al kan zorgen voor een security-incident met grote gevolgen, bestaan er geen garanties. Dit is de reden dat veel organisaties zich tegen cyberaanvallen verzekeren. Maar waar moet een bedrijf op letten bij het afsluiten van zo'n verzekering? Deze vragen en meer besprak Lisa de Wilde, Business Unit Director Incident Response bij Computest met Sjaak Schouteren, Cyber Practice Leader bij Marsh Nederland en expert op het gebied van cyberverzekeringen.

Veranderende dreiging

Het dreigingslandschap verandert continu en het is dan ook niet gek dat de wereld van cyberverzekeringen de afgelopen jaren ook niet stilgestaan heeft. “Vijf jaar geleden was het vrij eenvoudig om een cyberverzekering af te sluiten, zeker als MKB-bedrijf. Verzekeraars gingen ervan uit dat de schade en impact bij het MKB wel mee zou vallen. Daarnaast werd er vooral gekeken naar aansprakelijkheid en was business continuity nog helemaal geen belangrijk thema,“ vertelt Schouteren. “Nu is de realiteit toch echt heel anders. Zo zien we dat onder andere ransomware-aanvallen juist veel schade veroorzaken doordat het bedrijf plat komt te liggen. Dit soort aanvallen hebben op deze manier ook bij het MKB grote impact.” 

Aanpassingen in cyberverzekeringen 

Nu duidelijk is dat ook het MKB kwetsbaar is voor aanzienlijke schade, passen verzekeraars de cyberverzekeringen hierop aan. Volgens Schouteren doen ze dit op vier gebieden. “We zien dat verzekeraars de premies en het eigen risico verhogen. Hiermee willen ze onder meer duidelijk maken dat een cyberverzekering er is om de schade van bedrijfskritische calamiteiten zoals een ransomware-aanval op te vangen, en niet langer bedoeld is voor bijvoorbeeld het afhandelen van een datalek veroorzaakt door een verloren laptop. Ook zien we dat de eisen die gesteld worden aan bedrijven toenemen. Zo staan er nu veel meer vragen over ransomware mitigatie op het aanvraagformulier. Op basis van de score die uit het aanvraagformulier komt, wordt vervolgens bepaald welke dekking een bedrijf kan ontvangen. Alleen wanneer je kunt aantonen dat de juiste investeringen zijn gedaan, kan je nog een volledige dekking krijgen.”

Ook De Wilde ziet dat het lastiger wordt om een cyberverzekering af te sluiten. “Vroeger adviseerde ik klanten om alvast een verzekering af te sluiten voordat alle maatregelen waren geïmplementeerd, want de premies waren zo laag. Er waren zelfs bedrijven die helemaal geen maatregelen namen, maar alleen een verzekering. Daar werd ik ook regelmatig ingeschakeld om een cyberincident op te lossen. Tegenwoordig zou dat niet meer kunnen.”

En dat is maar goed ook, vindt Schouteren. “Het is voor sommige bedrijven misschien net iets minder makkelijk, maar het is goed dat dit veranderd is. Uiteindelijk komt dit de cyberweerbaarheid van Nederlandse bedrijven ten goede. En het is ook gewoon logisch, een lekkend dak kan je ook niet verzekeren.”

Weloverwogen beslissing

Het afsluiten van een cyberverzekering is er dus niet makkelijker op geworden. Volgens Schouteren is het daarom belangrijk om een weloverwogen beslissing te maken.” Het eerste wat we doen wanneer een klant een cyberverzekering wil afsluiten is kijken of dit echt nodig is. Want wanneer bijvoorbeeld cyber enabled crime het grootste risico is, denk hierbij aan het spoofen van een CFO zijn e-mailadres, moet je eerder naar een fraudeverzekering kijken. Wanneer duidelijk is dat er daadwerkelijk een cyberverzekering nodig is, gaan we op zoek naar een passend eigen risico en limiet.”

Wanneer duidelijk is welke risico’s moeten worden afgedekt, is de volgende stap het invullen van het aanvraagformulier of een online underwriting tool zoals die van Marsh. “Tegenwoordig ligt de beantwoording van de vragen op het formulier voor het overgrote deel bij de IT-afdeling”, aldus Schouteren. ”Wat we zien is dat IT'ers vaak in eentjes en nulletjes denken, terwijl er bij het invullen van zo’n formulier aardig wat nuance nodig is. Hierdoor wordt het aanvraagformulier nog wel eens negatiever ingevuld dan dat de situatie in realiteit is. Daarom ‘challengen’ we onze klanten ook altijd om er zeker van te zijn dat we het risico zo goed mogelijk presenteren. Daarnaast kijken we voor input ook verder dan alleen de IT-afdeling, want security is geen IT-feestje. Wanneer het formulier is ingevuld, is het tijd om verschillende partijen te vergelijken.”

Restrisico verzekeren

Niet ieder bedrijf staat te springen om een cyberverzekering af te sluiten. Zo spreekt De Wilde regelmatig klanten die zich afvragen of ze niet gewoon een potje met geld kunnen reserveren voor incidenten. Volgens Schouteren is dit niet verstandig: “Wanneer een organisatie goed de risico’s afdekt kan het zijn dat er minder noodzaak is voor een cyberverzekering. Maar 100 procent veiligheid bestaat helaas niet. Het is in dit soort situaties vaak verstandig om het restrisico te verzekeren. Daarnaast overschatten organisaties vaak hun eigen risk-management en onderschatten ze juist de impact van een incident. We zien bij ransomware-aanvallen dat de organisatie-activiteiten gemiddeld 24 dagen stil komen te liggen. Er zijn weinig organisaties die zich dit kunnen veroorloven en het potje met geld om dit op te vangen is eigenlijk gewoon onrealistisch.”

Als laatste geeft Schouteren aan dat het belangrijk is om het de verzekering vanuit het juiste budget te bekostigen. “Soms komt een klant bij mij terug met de boodschap dat er volgens de IT-afdeling geen cyberverzekering nodig is. Maar je vraagt toch ook niet aan het facilitair beheer van het kantoor of er een brandverzekering moet worden afgesloten. De verantwoordelijkheid voor security moet op bestuursniveau liggen en niet bij de IT-afdeling. Het budget moet dus ook gewoon uit de verzekeringspot komen, en niet uit het IT-budget.”

De Wilde ziet veel overeenkomsten tussen de afweging om een cyberverzekering af te sluiten en de afweging om vooraf met een incident response partner afspraken te maken. “Waar het op neerkomt, is dat beiden geen verplichting zijn. Maar zorg ervoor dat je een weloverwogen keuze maakt wanneer je ervoor kiest om geen cyberverzekering af te sluiten of geen incident response partner te regelen. Want wanneer je toch kwetsbaarder bent dan je denkt en door cybercriminelen wordt gehackt, kan het te laat zijn en zijn de gevolgen vaak groot.”

De meeste cyberverzekeringen bestaan uit drie elementen. Schouteren: “Het eerste element is incident response. Denk hierbij aan ICT-forensisch onderzoek, juridische ondersteuning en PR-ondersteuning. Dit wordt vaak voor de eerste 48 of 72 uur volledig vergoed zonder eigen risico zodat de drempel om experts in te schakelen zo laag mogelijk is. Want hoe sneller de experts erbij zijn hoe beter. Het tweede element is de dekking voor aansprakelijkheid. Hiermee is een bedrijf gedekt wanneer er bijvoorbeeld een datalek ontstaat door een ransomware-aanval of menselijke fout, maar ook wanneer systemen van klanten plat komen te liggen als gevolg van een beveiligingsfout. Het derde element dat gedekt wordt is eigen schade. Hieronder vallen vrijwel alle extra kosten die je moet maken als gevolg van het incident. Denk hierbij bijvoorbeeld aan de kosten voor het herstellen van schade aan het netwerk en de gederfde bruto winst. Dit kan soms aardig in de papieren lopen.”

Een tip die Schouteren mee wil geven, is om de verzekering altijd vanuit de holding af te sluiten. “Hiermee voorkom je dat je discussie krijgt over wat wel of niet verzekerd is. Op deze manier is namelijk alles meeverzekerd.”

Een cyberverzekering vergoed vaak meer dan mensen verwachten. Dat niet iedereen dat helemaal scherp heeft weet Schouteren maar al te goed. “Ik had laatst nog een klant die zich vooral zorgen maakte over losgeld en er van baalde dat hij dit niet met een verzekering kon afdekken. Hij was dan ook aangenaam verrast toen ik hem vertelde dat je dit gewoon kan verzekeren.”

Geen magische oplossing

Wel is goed om scherp te hebben dat er ook voorwaarden verbonden zijn aan deze vergoedingen. De Wilde: “Op het moment dat een organisatie besluit om losgeld te betalen krijgen wij tegenwoordig vanuit de verzekeraar checklists opgestuurd. Hiermee wordt gekeken of alle juiste controles zijn gedaan en er echt geen andere optie is dan betalen. Het is dus niet zo dat er zomaar een som geld wordt overgemaakt naar de cybercriminelen, dit gebeurt alleen wanneer het echt niet anders kan.”

Daarnaast is het betalen van losgeld geen magische oplossing waarmee alle problemen ineens verholpen zijn. De Wilde: “Wanneer je niet betaalt moeten de systemen helemaal opnieuw opgebouwd worden, en dat kost veel tijd. Maar zelfs wanneer je betaalt en de sleutel krijgt is er tijd nodig om de systemen alsnog op te schonen. Dan hangt de schade af van hoe snel je kan decrypten en opschonen. Kortom, er zal altijd schade ontstaan en tijd nodig zijn. Een cyberverzekering kan helpen dit goed af te dekken en maakt het mogelijk om snel te kunnen reageren en te mitigeren.”

Afsluitend geeft Schouteren nog een tip: ”Je hoopt een cyberverzekering nooit te hoeven gebruiken, maar wanneer dit wel moet is het belangrijk om te weten wat er moet gebeuren. Het is niet zo dat een verzekeraar alles uit handen neemt, dus zul je zelf in kaart moeten brengen wie je moet inlichten en welke stappen er ondernomen moeten worden. Dus zorg dat je hiervoor een goed plan hebt en oefen dit regelmatig. Pas dan ben je er echt van verzekerd dat je voorbereid bent op een cyberaanval.”

Tips voor het afsluiten een cyberverzekering 

  • Maak een weloverwogen beslissing, ook wanneer je geen verzekering afsluit
  • Security is geen IT-feestje, leg de verantwoordelijkheid op bestuursniveau
  • Weet wat vergoed wordt
  • Verzeker vanuit de holding
  • Oefen het plan van aanpak bij een
Sjaak Schouteren, cyberverzekeringen, Lisa de Wilde, cybersecurity, computest

Sjaak Schouteren, Cyber Practice Leader bij Marsh Nederland en expert op het gebied van cyberverzekeringen

Lisa de Wilde, Business Unit Director Incident Response bij Computest

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie