Een cyber-security verzekering: geen overbodige luxe

Je moet een cyber-security verzekering afsluiten omdat je een bedrijf niet voor 100% kunt beveiligen. Hackers kunnen altijd binnenkomen. Ieder bedrijf moet een cybersecurity plan klaar hebben voor een inbreuk op de beveiliging.

Als een bedrijf denkt aan cyber-security, denkt het automatisch aan firewalls, antivirussoftware en technieken om netwerk anomalieën te detecteren. Hun IT-afdeling wendt zich tot cyber security bedrijven om ervoor te zorgen dat bedrijfskritische systemen worden beschermd. Hackers die transacties proberen te vervalsen, data of bedrijfsgeheimen proberen te stelen, of gewoon de boel willen saboteren moeten buiten de deur worden gehouden.

De cyber-security verzekering

Dit beveiligingsmodel bevat een opvallende tekortkoming. Naast de technologie die wordt gebruikt om het bedrijf te beschermen ontbreekt het onderdeel dat zich bezighoudt met de ‘overdracht van risico’s‘. Het richt zich op het beschermen van de bedrijfsreputatie en dat vereist een cyber-security verzekering.

Omdat je al het mogelijke tegen hackers al hebt gedaan vraag je jezelf misschien af waarom je een verzekering zou nemen. Je hebt immers een firewall en andere maatregelen genomen?

Spraakmakende malware en ransomware bewijzen echter het tegendeel, de kans dat je getroffen zal worden wordt steeds groter. Bij andere bedrijven vinden grote aanvallen plaats en veel bedrijven weten niet eens dat ze zijn gehackt of rapporteren het liever niet.

De AVG verandert het spel

Met de komst van de AVG regelgeving ben je verplicht om datalekken en andere incidenten te rapporteren aan de Autoriteit Persoonsgegevens (AP). Daardoor wordt iedere inbreuk openbaar en je reputatie loopt daadwerkelijk gevaar. Afhankelijk van de aard van een incident variëren de rapportagevereisten maar over het algemeen zijn deze behoorlijk streng. Ondertussen zijn er voor de AVG honderden incidenten geweest waarvoor forensisch onderzoek nodig was. Daar heb je waarschijnlijk niets over gehoord omdat ze andere een aanzienlijk reputatieschade veroorzaken.

Wat gebeurt er na een cyber-security incident?

Tegelijk met het melden van het incident bij de AP schakel je een expert-team in. Dit team voert eigen programma’s uit en zet deskundige consultants in om te zien hoe een hacker toegang kreeg tot het netwerk en waar het IP-adres vandaan kwam. Ze bepaalt ook hoe lang de hacker zich in het netwerk bevond en tot welke informatie hij toegang had. Een rapport over de bevindingen wordt teruggegeven aan de IT afdeling. Zij werken aan het oplossen van de problemen. Tevens nemen ze maatregelen om een ​​toekomstige aanval te voorkomen en om de schade te beperken.

Cyber-security plan

Voor het geval zich aanval voordoet heeft ieder bedrijf een cyber-security plan nodig. Het managen van de gevolgen van een aanval is een wezenlijk onderdeel van dat plan. De aanpak van cyber-security incidenten is bepalend voor de vertrouwensrelatie tussen het bedrijf en zijn klanten en leveranciers. Als er een cyberaanval plaatsvindt ben je verplichting is om iedereen in de keten op de hoogte te stellen. Tevens moet je aangeven dat je bedrijf verantwoordelijk is voor datalekken en gevolgschade. Dit soort elementen moeten in het plan worden opgenomen.

Plan vereist voor cyber-security verzekering

Veel bedrijven hebben al een algemene bedrijfsrisicoverzekering. Deze is echter te algemeen en voldoet niet voor cyber-security. Daarbij gaat het om maatwerk want bij ieder bedrijf is de IT anders ingericht. Bovendien voegt het internet een nieuwe dimensie toe die een eigen soort dekking vereist. Een verzekeringen op zich is pure risico-overdracht, maar voor cyber-security wil je tevens het risico verminderen.

De beste manier om het risico dat gepaard gaat met cybercriminaliteit te accepteren en te verplaatsen, is een cyber-security verzekering. Het is een nieuwe categorie verzekeringen die verzekeraars zoals AON aanbieden.

Naast alle technische maatregelen is de aanwezigheid van een cyber-security plan veelal een vereiste voor het afsluiten van een dergelijke verzekering.

De voordelen van verzekeren

Ook de overheid moedigt bedrijven aan om te investeren in cyber-security en cyber-security verzekering. Deze maatregelen helpen bij het verminderen van het aantal succesvolle cyberaanvallen door:

• Het bevorderen van preventieve maatregelen in ruil voor meer risicodekking.
• De implementatie van Best Practices in ruil voor premies verlaging op basis van het niveau van zelfbescherming van een verzekerde.

De dekking van een cyber-security verzekering

Verzekeraars eisen technische maatregelen en een cyber-security plan. Daarentegen bieden ze een oplossing voor de gevolgen van cyberaanval. Een cyber-security verzekering dekt onder andere:

• De schade aan technische infrastructuur en data.
• De schade als gevolg van bedrijfsonderbrekingen.
• Inkomstenderving als gevolg van klantenverlies.
• De mogelijkheid om producten terug te roepen. 

De politiek wil dat verzekeraars nog een stap verder gaan door de dekking uit te breiden naar een groeiende private en publieke zorg. De meeste hackers doen er namelijk alles om als het maar enigszins mogelijk is ernstige schade aan te richten aan de fysieke infrastructuur. Een succesvolle cyberaanval tegen infrastructuur zoals water- en energievoorzieningen kan leiden tot fysieke en lichamelijke schade. Ook hiervoor wil men een dekking zien te vinden.

Discussieer mee op LinkedIn.