Cyberverzekeringen zijn een grotere prioriteit geworden, uiteraard ingegeven door de vele ransomware-aanvallen en andere bedreigingen. Het bewustzijn groeit, maar de risico’s ook, dus het afsluiten valt nog niet mee: hoge premies en strenge acceptatie-eisen die doorlopend aan aanscherping onderhevig zijn. Wat voor 2022 als aanvaardbaar werd beschouwd, is dat voor 2023 misschien niet meer.
Bedrijven worden geacht een flinke lijst pre-auditvragen te beantwoorden en aan te kunnen tonen dat ze hun verdedigingsstrategie aanzienlijk hebben verstevigd. Een polis met de juiste voorwaarden kan moeilijk zijn, maar het is niet onmogelijk. Verzekeraars reageren goed op bedrijven die robuuste beveiligingscontroles en incident response instellen – met name bedrijven die bereid zijn om uitvoerig in te gaan op hun cybersecurity-architectuur en roadmaps.
Verzekeraars beoordelen beveiligingssystemen en -praktijken vaak met behulp van opensource-scantools zoals OpenVAS en OpenSCAP om de netwerken van een aanvrager te onderzoeken op kwetsbaarheden en beveiligingsbeoordelingsdiensten zoals SecurityScorecard en BitSight om het risico te evalueren. Veel verzekeraars werken samen met externe cybersecuritybedrijven om klanten door te lichten. Een risicogebaseerde aanpak van cyberbeveiliging wordt gewaardeerd en de 2023-audits zullen bepaalde gebieden grondiger dan ooit tevoren onderzoeken.
Voorheen werd gekeken of een bedrijf zijn werknemers heeft getraind in phishing- en gegevensdiefstal-technieken en endpoint-detectie en response (edr/xdr)-oplossingen gebruikt om verdachte activiteiten te helpen identificeren en herstellen. Beide zijn van cruciaal belang, maar de voortdurend veranderende aanvalstactieken zijn lastig te herkennen. Geavanceerde aanvallers kunnen edr/xdr ook uitschakelen of omzeilen door misbruik te maken van beheerdercredentials, zoals bij de SolarWinds-aanval. Dit heeft geleid tot meer toezicht op endpoint privilege controls, bijvoorbeeld of een bedrijf in staat is lokale admin-rechten van alle gebruikers te verwijderen. De grote uitdaging is een balans vinden tussen minimale privileges en operationele efficiëntie.
Grote gaten
De eisen voor multi-factorauthenticatie (mfa) zijn ook toegenomen sinds uit analyses achteraf bleek dat mfa niet volledig werd benut, met name in de gezondheidszorg en het hoger onderwijs. Verzekeraars vonden grote gaten in de dekking voor bevoorrechte accounts, die niet altijd aan een specifiek persoon zijn gekoppeld (zoals het standaard-admin-account op elke server). Hierdoor stellen ze privileged access management (pam) steeds vaker verplicht voor onder andere lokale admin-, root- en service-accounts.
Verzekeraars bekijken ook hoe organisaties geprivilegieerde gebruikers van leveranciers, die toegang moeten hebben tot gevoelige gegevens en bedrijfssystemen, authenticeren. Leveranciers hebben dezelfde beveiliging nodig, maar krijgen zelden dezelfde aandacht als werknemers. Als een leverancier bijvoorbeeld voor een korte periode van twee weken in dienst wordt genomen, moet hij volgens dezelfde hr-processen als een nieuwe werknemer in en uit dienst worden genomen om de risico’s tot een minimum te beperken.
Deze verhoogde aandacht voor het beheer van geprivilegieerde toegang is van toepassing op zowel menselijke identiteiten als niet-menselijke identiteiten. Op elke menselijke identiteit staan wel 45 van deze machine-identiteiten. Het kunnen service-accounts zijn, hardcoded secrets of elke off-the-shelf of zelfgemaakte oplossing die krachtige credentials vereist om zijn functie uit te voeren (zoals databaseplatforms voor configuratiebeheer en devops-orchestration-tools), samen met geautomatiseerde processen zoals robotische procesautomatisering (rpa). Als onderdeel hiervan zijn verzekeraars op zoek naar sterkere geprivilegieerde controles rond geautomatiseerde patchmanagementsystemen, kwetsbaarheidscanners en andere bestaande beveiligingstools die aanvallers kunnen proberen uit te schakelen.
Naast de technologische beveiligingsmaatregelen willen verzekeraars ook ‘menselijke processen’ zien, zoals voortdurende security-awarenesstrainingen. Ze zullen ook gegevensbackupprocessen en incident response-plannen evalueren om te begrijpen hoe snel de organisatie de activiteiten kan herstellen in de nasleep van een aanval.
Verzekeringsklaar maken
Als bedrijven zich voorbereiden op de vernieuwing van hun cyber-verzekering moeten ze dus rekening houden met veranderende eisen aan security-controles. Maar versnelde veranderingen zijn altijd moeilijk vanuit organisatorisch en cultureel oogpunt en kunnen angst en onzekerheid oproepen. De beste manier om dit te minimaliseren is ervoor te zorgen dat mensen het “waarom” begrijpen en dat de risicobeperkende controles de operationele efficiëntie niet beïnvloeden. Het is dus belangrijk dat bedrijven tijd besteden aan opleiding en training.
Het goede nieuws is dat meer bedrijven hun verantwoordelijkheid nemen en zinvolle stappen ondernemen om hun verdediging tegen ransomware te versterken. Naarmate strengere controles worden ingezet en effectiever worden gebruikt, beginnen de verliezen van verzekeraars te stabiliseren en zal de markt wat verzachten. We zijn er nog niet, maar het gaat de goede kant op.