Volgens Norea, de beroepsorganisatie van it-auditors, bestaat er behoefte aan een verzekering tegen cybercrime, zoals Marsh die onlangs op de markt bracht. Of zo'n verzekering ook echt interessant is hangt echter af van de voorwaarden en premie.
Norea-voorzitter Hans Donkers: "De meeste organisaties hebben veel energie gestopt in hun informatiebeveiliging. Ze hebben alle maatregelen getroffen die bedrijfseconomisch verantwoord zijn, maar zoeken naar een goede mogelijkheid om de restrisico's af te dekken." Die restrisico's blijven namelijk altijd aanwezig. Volgens internetbeveiliger MessageLabs waren er bijvoorbeeld in juni van dit jaar wereldwijd zes keer zoveel gerichte pogingen om intellectuele eigendommen van organisaties te stelen via aanvallen met 'Trojaanse paarden' als een jaar geleden. McAfee registreerde eind juni het tweehonderdduizendste geval van malware (virussen, Trojaanse paarden en dergelijke) in zijn databank en verwacht dat dit aantal binnen twee jaar opnieuw is verdubbeld. Het heeft maar liefst achttien jaar geduurd voordat er honderdduizend malwaregevallen waren opgedoken.
Premie vaag
Verzekeraar Marsh speelt in op het verlangen naar zekerheid door het aanbieden van de 'Dataguard'-verzekering tegen cybercrime. Die dekt de onoverzichtelijke kosten door bijvoorbeeld dataverlies, het niet kunnen verwerken van orders en zelfs reputatieschade als gevolg van cybercrime. Onder 'cybercrime' vallen in dit geval niet alleen zaken als virussen, sabotage en hacking, maar ook fraude van binnenuit (behalve als die is uitgevoerd door directieleden) en menselijke fouten, of die nu expres of per ongeluk zijn gemaakt.
Over de prijs die organisaties voor deze paradijselijke bescherming moeten betalen blijft de verzekeraar vaag. De premie wordt namelijk per geval vastgesteld op basis van onder andere een risico-inventarisatie en "de gewenste dekking". Donkers: "Het addertje onder het gras zou kunnen zijn dat alleen organisaties die het al optimaal voor elkaar hebben zich tegen gunstige voorwaarden kunnen verzekeren."
Concurrent Aon zegt overigens ook verzekeringen te kunnen bieden tegen de directe en indirecte schade door cybercrime, al heeft de verzekeringsmakelaar en risicoadviseur nog niet echt behoefte daaraan kunnen bespeuren. Woordvoerder Bartjan Willenborg: "Ik zeg niet dat alles te verzekeren is, maar wij kunnen voor de meeste voorkomende kwesties een oplossing adviseren. Die ligt in de sfeer van preventieve maatregelen of bestaat uit een verzekering."
Een verzekeringspolis die bedrijven beschermt tegen alle beveiligingsrisico’s bestaat niet. Zo kan een verzekering je niet beschermen tegen negatieve publiciteit en klantverlies. Ik ben het niet eens met de stelling van dhr. Donkers dat ondernemingen er tot nu toe alles aan hebben gedaan om zich te beveiligingen. Het is bekend dat het belang van interne beveiliging nog door veel organisaties wordt onderschat. Zij maken diefstal van data mogelijk door hun pc’s niet te beveiligen tegen het aansluiten van draagbare opslagmedia, terwijl dergelijke apparaten eenvoudig gebruikt kunnen worden om een grote hoeveelheid bestanden te verwijderen van het bedrijfsnetwerk. Beveiligingsrisico’s zijn niet af te dekken met een verzekering. Goede beveiliging is eerder een kwestie van voortdurend aandacht besteden aan zowel interne- als externe beveiliging.
Matt Fisher, vice-president Centennial Software