Hoewel veel organisaties goed zijn verzekerd tegen brand of inbraak, zijn ze dit vaak niet tegen cybercriminaliteit. Terwijl de schade van een digitale diefstal tot in de miljoenen kan lopen en zelfs tot een faillissement kan leiden. Het afsluiten van een cybercrimeverzekering blijkt niet altijd even makkelijk en dat staat de groei van bedrijven in de weg.
Cybercrime kan grote gevolgen hebben voor je bedrijf en zo de continuïteit in gevaar brengen. Een ransomware-aanval kan bijvoorbeeld leiden tot downtime, waardoor je volledige bedrijfsvoering plat komt te liggen. Het herstelproces kan complex zijn en de financiële gevolgen groot. De vraag is of je deze schade kan en wil dragen. Met een cybercrimeverzekering verzeker je jezelf niet alleen tegen je eigen gevolgschade, maar ben je ook verzekerd tegen het risico van aansprakelijkheid ten opzichte van derden. Zonder verzekering leidt een cyberaanval in het ergste geval tot een faillissement. Daarnaast weet je gewoon niet goed wat je moet doen als zoiets je overkomt. Dan is het goed dat de verzekeraar 24/7 klaarstaat om je professioneel te ondersteunen bij een cyberaanval of vermoeden van cybercrime.
Bewustwording
Ben jij je bewust van de risico’s van cybercriminaliteit? Ik zie het nog vaak gebeuren dat bedrijven eerst een keer gehackt worden, voordat ze überhaupt hun security op orde brengen. Laat staan dat ze een verzekering afsluiten. Hoewel je securitymaatregelen neemt om diefstal zoveel mogelijk te voorkomen, kun je dit nooit helemáál voorkomen. Dan moet je afwegen of een verzekering helpt als een financieel vangnet. Hoewel de bewustwording hoger is onder bedrijven die veel data en persoonsgegevens verzamelen, is het voor sommige bedrijven toch lastig om zich te verzekeren, vanwege de complexiteit en de omvang van het risico. Een verzekeringsmakelaar kan daarbij helpen door te bemiddelen.
Minimale veiligheidseisen
Om de complexiteit van cybercrimeverzekeringen te verminderen, zou het goed zijn als verzekeraars minimale veiligheidseisen stellen. Met een checklist kunnen ze controleren of organisaties de basis op orde hebben. Dat klinkt heel simpel, maar ik zie nog zó vaak dat dit niet goed is geregeld. Denk aan een goede virusscanner of endpoint-security, maar ook multi-factorauthenticatie of het versleutelen van gevoelige data.
Of wat dacht je van een backup? Dit is hét reddingsmiddel bij een datalek. In veel gevallen gaat het om optimaal gebruikmaken van wat je al in huis hebt en is het niet eens nodig om extra beveiligingstools aan te schaffen. Verzekeraars zouden daarnaast moeten controleren of bedrijven hun patchmanagement op orde hebben. Dit is vaak niet het geval. De hack bij Apollo Vredestein is hier een voorbeeld van. Het blijft een risico dat er met extreem oude, niet bijgewerkte software wordt gewerkt. Scan daarom continu op nieuwe patches en zorg dat deze ook daadwerkelijk worden geïnstalleerd.
Verzekeraars werken vaak met een standaard voor toegang tot een verzekering. Hier valt echter nog veel te winnen door meer duidelijkheid te creëren. Een standaard is een goede basis om een eenduidig en acceptabel niveau te bereiken van wat je op z’n minst aan beveiliging geregeld moet hebben. Daar moet dan wel duidelijkheid over zijn, zodat je als bedrijf begrijpt waaraan je moet voldoen en dat een verzekeraar dat kan volgen om de risico’s in te schatten.
Certificering als oplossing?
Grote bedrijven beschikken vaak over een ISO 27001-certificering voor informatiebeveiliging. Dit is een geschikt middel om te controleren of een bedrijf aan de nodige veiligheidseisen voldoet en de processen rondom informatiebeveiliging heeft geborgd. Voor kleine bedrijven is het behalen en behouden van deze certificering vaak lastig te realiseren en zeer kostbaar. Een alternatief is het bereiken van een eenduidig acceptabel niveau van wat je op z’n minst aan beveiliging geregeld zou moeten hebben. In een beveiligingsstatement kunnen bedrijven zelf opnemen dat ze hieraan voldoen. Bij een eventuele schadeclaim kun je op basis van forensics controleren of een bedrijf daadwerkelijk voldoende beveiligingsmaatregelen heeft getroffen. Op deze manier wordt het afsluiten van een cybercrimeverzekering een stuk eenvoudiger en hopelijk zetten dan meer bedrijven deze stap.
Auteur: Bastiaan Bakker, directeur business development bij Motiv ICT Security (met dank aan Durmus Barlas, specialist cyberrisk bij verzekeringsmakelaar VLC & Partners)
Na titel gelezen te hebben blijft de vraag wat nu de minimale securityeis is, het artikel is daar namelijk niet duidelijk over. Kortom, want zijn nu de ‘goede zeden’ in beveiliging want als verzekeringsmaatschappijen het losgeld gaan betalen dan is het spreekwoordelijk hek van de dam.
Ben benieuwd hoeveel verzekeringsbedrijven een ISO 27001 certificering als “een goede basisstandaard” zien in de praktijk.
Wel een bijzonder artikel… een security bedrijf dat langs de as van bangmakerij zoveel mogelijk diensten wil verkopen; aangevuld met een verzekeringsmaatschappij dat op zoek is naar argumenten om niet uit te keren…
😉
Geen van twee zegt iets over de eigenschappen/ingrediënten van (bijvoorbeeld) een goede basis voor een gezonde backup. Of een vergelijkbare niveau van beveiliging voor Windows. Terwijl beiden werken met een checklist – zo lijkt het dan toch. Waar is die checklist dan op gebaseerd?
🙂