Cyberverzekeringen lijken de oplossing in gevaarlijke tijden. Volgens het 2023 Veeam Data Protection Trends Report heeft 85 procent van de organisaties in 2022 te maken gehad met een cyberaanval. Dus als jouw organisatie geraakt wordt door ransomware heb je, als je zo’n verzekering hebt, een manier om een deel van de verliezen terug te krijgen.
Voor wie op zoek is naar een quick fix: cyberverzekeringen hebben ook hun tekortkomingen. De bescherming die cyberverzekeringen bieden veranderen niets aan de oorzaak van een hack of hoe je hacks in de toekomst kunt voorkomen. Ze zorgen er niet voor dat data veilig en beschikbaar blijven. Daarnaast dekken verschillende polissen verschillende dingen. Organisaties weten dat honderd procent preventie niet mogelijk is en herstel niet altijd succesvol is, maar komen er vaak pas later achter dat hun verzekering niet alles dekt.
Organisaties die er alles aan doen om hun data te beschermen tegen cyberaanvallen hebben hun hart op de juiste plek. Maar te veel richten zich nog op geld van verzekeringen zonder de maatregelen te nemen die nodig zijn om hun bedrijfskritische middelen te beschermen. Dit gaat allemaal veranderen met de komst van NIS2. NIS2 biedt richtlijnen over welke cyberbeveiligingsmaatregelen organisaties – zeker die in kritieke sectoren – moeten nemen. Dit zal zeker een effect hebben op wanneer een organisatie een cyberverzekering kan krijgen. Het neemt niet weg dat ze de verzekeringscomponent moeten uitbreiden met andere soorten ‘verzekeringen’ die bedreigingen afweren en backups van gegevens maken.
Wat is een cyberverzekering?
Verzekeringen zelf dateren uit de jaren 1300, maar cyberverzekeringen zijn relatief nieuw. Verzekeraars introduceerden de eerste cyberverzekering begin jaren 2000 om bescherming te bieden tegen malware, ransomware en distributed denials of service (ddos). De eerste cyberverzekeringen waren vaak breed en niet afgestemd op de behoeften van een organisatie. Naarmate het aantal cyberincidenten toenam, evolueerde ook de aard van de polissen. Verschillende verzekeringen dekken aansprakelijkheid voor verschillende dingen, zoals diefstal van data van derde partijen, de kosten van onderbrekingen van werkzaamheden en het onderzoeken van een inbraak door externe professionals.
Organisaties die een cyberverzekering afnemen worden nog steeds gezien als early adopters. Volgens onderzoek van Forrester heeft 55 procent van de organisaties een cyberverzekering, maar is nog geen twintig procent gedekt voor incidenten groter dan 600.000 dollar. Het aantal organisaties dat een cyberverzekering afneemt neemt alleen maar toe. De wereldwijde markt voor cyberverzekeringen was 7,6 miljard dollar waard in 2021 en zal naar verwachting groeien tot 20,4 miljard dollar in 2027.
Dubbele cijfers
Waarom neemt niet iedereen een cyberverzekering? Dat is omdat de kosten erg hoog zijn. Veel organisaties die een commerciële cyberverzekering hebben afgesloten in de afgelopen vijf jaar, hebben hun premie met dubbele cijfers zien toenemen. Dit leidt ertoe dat managers zich steeds vaker afvragen wat de waarde van een dergelijke verzekering is. Een van Europa’s grootste verzekeraars zei onlangs dat cyberdreigingen snel ‘onverzekerbaar’ dreigen te worden. De complexiteit van verzekeringspolissen en de aard van de dekking maken het daarnaast lastig voor organisaties die op zoek zijn naar dekking. Dit geldt vooral voor kleinere organisaties die wellicht niet de kennis of middelen hebben om een adequate polis aan te schaffen.
Ook het proces vormt vaak een hindernis. Verzekeraars die cyberclaims moeten uitbetalen hebben de neiging om veel documentatie te vragen – dit gaat van toegangsrapporten tot netwerk traffic logs. Dit soort documenten is normaal gesproken al lastig bij elkaar te krijgen, laat staan tijdens of vlak na een incident.
Een cyberverzekering biedt verder geen voortdurende bescherming tegen de dreiging zelf. Een orkaan of overstroming kan veel schade veroorzaken, maar wanneer ze over zijn, zijn ze over. Er kan altijd een jaar later nog een storm zijn, maar er is geen directe dreiging meer. Het afnemen van een verzekering tegen ransomware neemt het gevaar echter niet weg. Als je de ene cybercrimineel betaalt, kan de andere dan nog steeds in jouw systeem? Heb je het lek gepatcht dat in eerste instantie gebruikt werd om toegang te krijgen tot systemen? Een cyberverzekering is een onderdeel van een goede cybersecurity-strategie. Ondanks dat het financiële verlichting biedt, neemt het niet weg dat er een cyberaanval heeft plaatsgevonden en dat de betrouwbaarheid van de organisatie is aangetast.
Menselijke fouten
De bottom-line is dat cyberverzekeringen kunnen helpen, maar dat organisaties zichzelf ook op andere manieren moeten beschermen tegen dreigingen en bereid moeten zijn om cybergerelateerde problemen zelf op te lossen. Dat kan op de volgende manieren:
- Patching
Het opzetten van een uitgebreid patch-beheerproces is een essentieel onderdeel van het onderhouden van de it-infrastructuur. Het snel toepassen van een patch nadat deze uitgebracht is en het verhelpen van een kwetsbaarheid helpt organisaties hun assets te beschermen, downtime te voorkomen en ransomware-aanvallen af te slaan.
- Training
Volgens IBM zijn menselijke fouten de hoofdoorzaak van 95 procent van de beveiligingsincidenten. Dit onderstreept de noodzaak voor trainingen. Organisaties moeten veelgemaakte fouten continu evalueren om er zeker van te zijn dat werknemers sterke wachtwoorden gebruiken, niet vallen voor phishingmails en belangrijke bedrijfsinformatie veilig houden.
- Verbeteren van incident responsplannen
Het is belangrijk om snel actie te ondernemen als er een incident plaatsvindt. Veel organisaties hebben geen responsplan dat het management op de hoogte brengt en een reeks acties opzet. Zij die wel een plan hebben moeten dit regelmatig evalueren en geüpdatet houden.
- Backups instellen
Een veilige backup-infrastructuur vormt de laatste defensie tegen ransomware. De integratie tussen dataprotectie met een uitgebreide cyberparaatheidstrategie beschermt de organisatie tegen dreigingen en biedt de snelste en meest strategische manier om continuïteit te garanderen wanneer een incident zich voordoet.
Cyberverzekeringen zijn een waardevol middel dat organisaties kan helpen reageren op een inbraak. Maar het hebben van zo’n verzekering alleen is niet genoeg. Een goede digitale hygiëne en moderne dataprotectie en ransomware-herstel best practices blijven de basis van een robuuste cybersecurity-strategie. Terwijl de verzekeraar organisaties financieel kan ondersteunen, kan het hen niet beschermen tegen een succesvolle cyberaanval. Het is belangrijk dat elke organisatie een holistische dataprotectiestrategie heeft en oplossingen toepast die hen helpen volledig inzicht in en controle data en back-=ups te krijgen. Het toevoegen van enkele verstandige technieken voor cyberparaatheid kan het hoge niveau van verzekering bieden dat nodig is in het huidige tijdperk van escalerende bedreigingen. Cybersecurity is uiteindelijk de eigen verantwoordelijkheid van elke organisatie.
(Dit artikel is tot stand gekomen in samenwerking met Rick Vanover en Dave Russell, respectievelijk senior director product strategy en vicepresident of enterprise strategy bij Veeam.)