Cyberverzekeringen: een musthave of overbodige luxe?

Het afsluiten van een cyberverzekering is niet meer zo eenvoudig als dat het een aantal jaar geleden was. Een cyberverzekering werd vroeger voornamelijk gezien als een leuk ‘extraatje’ dat gratis werd aangeboden bij andere zakelijke verzekeringspakketten. Er werden geen eisen gesteld aan organisaties en de mate waarop zij hun verdediging tegen cybersecurity op orde hadden, dus was het voor elk bedrijf makkelijk om zich te verzekeren. Tegenwoordig is dit niet meer zo en krijg ik ook regelmatig de vraag of het nu echt noodzakelijk is om een cyberverzekering af te sluiten.

Omdat ransomware-aanvallen steeds vaker voorkomen en de bedragen die daarbij worden geëist de pan uit rijzen, zijn verzekeraars steeds meer eisen gaan stellen. Dit maakt het een stuk lastiger om zo’n verzekering af te sluiten. Verzekeraars verwachten tegenwoordig een bepaald volwassenheidsniveau op het gebied van cybersecurity. Je moet kunnen aantonen dat je al enigszins ‘in control’ bent, door bijvoorbeeld een vragenlijst in te vullen. Als je dit niet kunt aantonen, is het risico te hoog en biedt de verzekeraar geen verzekering aan. Bovendien zijn door de toegenomen risico’s ook de premies omhoog bijgesteld.

Criminelen zijn zich bewust van cyberverzekeringen: op zoek naar kopieën van de polis

Daarnaast zijn ook criminelen zich bewust van cyberverzekeringen. Zo zien we in de praktijk weleens dat hackers bij een ransomware-aanval in de systemen van het bedrijf op zoek gaan naar kopieën van de polis. Daar passen ze vervolgens het losgeldbedrag op aan. Wanneer je dan gaat onderhandelen over het losgeld, is het erg moeilijk om korting te bedingen. Want men weet dat de organisatie gewoon voor een bepaald bedrag verzekerd is. Zo zagen we dat verzekeringsgigant AXA werd getroffen door een ransomware-aanval kort nadat ze besloten dat zij niet langer de schade zou dekken van ransomware-aanvallen.

Verzekeraars zetten daarom steeds meer in op preventieve eisen om in te spelen op het stijgende dreigingsniveau. Het afsluiten van een cyberverzekering is daarmee niet iets wat je makkelijk en snel kunt afhandelen. Het is dan ook van belang om goed na te denken over de noodzaak van zo’n verzekering, en een weloverwogen keuze te maken. Om deze keuze te kunnen maken is het allereerst belangrijk om het risicoprofiel van je organisatie in kaart te brengen. Het risico hangt af van twee factoren - kans en impact. Dus hoe groot is de kans dat het bedrijf gehackt wordt? En wat zou de impact zijn wanneer dit zou gebeuren?

Zet als ondernemer eerst in op het voorkomen van cyberaanvallen

Zorg dat je hierbij kijkt naar het totaalplaatje. Bij een ransomware-aanval bijvoorbeeld, is het losgeld maar een deel van de totaalkosten. Er komen namelijk veel verborgen kosten bij kijken zoals claims van derden, het vervangen van IT-systemen en cyberexperts die doorgaans worden ingehuurd. Om nog maar te zwijgen over de gederfde inkomsten, omdat heel het bedrijf stil is komen te liggen. Zo betaalde tandartsketen Colosseum Dental in augustus 2022 niet alleen 2 miljoen euro aan de hackers, maar sloten ook 120 van de 130 vestigingen van het bedrijf noodgedwongen de deuren. Wanneer je een verzekering afsluit kan dit, afhankelijk van de polis, allemaal worden vergoed.

Het is prettig dat je met een verzekering gedekt bent voor schade, al zijn de mate van de dekking en je premie ook afhankelijk van de maatregelen die je hebt getroffen om een aanval te voorkomen. Het is daarom verstandig eerst in te zetten op het voorkomen van cyberaanvallen en daarmee de kans op een geslaagde aanval te verkleinen. Vergelijk een cyberverzekering met een autoverzekering - het is fijn om deze achter de hand te hebben, maar je hebt liever dat je niet onderweg stil komt te staan. Wanneer je de juiste voorzorgsmaatregelen hebt genomen, kan het restrisico worden afgedekt met een cyberverzekering.

Cybersecurity: zo neem je de juiste maatregelen in vier stappen

Het nemen van de juiste maatregelen is onder te verdelen in vier stappen - prevent, detect, govern en respond.

Allereerst probeer je cyberaanvallen te voorkomen, door bijvoorbeeld regelmatig software te patchen en alles up-to-date to houden. Daarna is het belangrijk om te kunnen detecteren wanneer je aangevallen wordt, want zelfs met de beste preventie kun je nog steeds gehackt worden. Monitor daarom wat er gebeurt op het netwerk zodat er direct ingegrepen kan worden bij verdachte activiteiten. Daarna is governance belangrijk, om de beveiligingsaanpak te controleren en sturen. En als laatste is het van belang om te weten hoe je reageert als het toch raak is. Wie ga je bellen en hoe zorg je ervoor dat het probleem zo snel mogelijk is verholpen?

Een cyberverzekering kan dus zeker goed zijn, maar bedenk wel dat je hiermee niet voorkomt dat je gehackt wordt. Het gaat allereerst om het in kaart brengen van de specifieke risico’s en de impact voor jouw bedrijf en vervolgens gericht preventieve maatregelen te nemen. Een verzekering kan daarbij het sluitstuk zijn van jouw security vangnet.