Ja tegen cyberverzekeringen. Maar doe eerst mee, waarschuwt ESET. Begin bij het begin, adviseert de uitgever. Identificeer je kwetsbaarheden en doe er alles aan om ze te verminderen.

Bedrijven die denken dat ze een cyberverzekering kunnen gebruiken om investeringen in betere cyberbeveiligingspraktijken te vervangen, hebben het mis. In feite zijn deze praktijken nu steeds essentiëler voor een cyberverzekering, waarschuwt ESET.

Erger dan natuurrampen zouden digitale aanvallen “onverzekerbaar” kunnen worden vanwege hun systemische aard en hoge kosten, kondigde het hoofd van Zurich Insurance een paar maanden geleden aan. Het is waar dat we het hebben over een risico als geen ander.

Een olievlek

In tegenstelling tot lichamelijk letsel of materiële schade is cyberrisico een olievlek: het tast eerst IT-systemen aan, waarvan de storingen vervolgens invloed hebben op de bedrijfsvoering en uiteindelijk de reputatie en omzet van een bedrijf ernstig kunnen schaden. De eerste vraag is dus of cyberrisico verzekerd moet worden bovenop de kosten van IT-reparaties. Een andere bijzonderheid is dat de slachtoffers de ernst van de cyberramp kunnen beïnvloeden, afhankelijk van het al dan niet nemen van passende maatregelen – onder deze maatregelen staat het betalen van losgeld niet ter discussie. Tot slot vereist het beoordelen, beperken en beheren van cyberrisico’s expertise op het gebied van digitale beveiliging, wat de vraag oproept naar de rol van de verzekeraar – die steeds meer vertrouwt op externe expertise, waaronder ratingbureaus, om het risiconiveau te bepalen – en naar de volwassenheid en verantwoordelijkheden van de polishouder.

Als gevolg hiervan heeft de cyberverzekeringsmarkt volgens ESET grote veranderingen ondergaan. De verliezen die veel bedrijven hebben geleden, hebben geleid tot corrigerende maatregelen – een aanzienlijke stijging van de premies en een verlaging van de dekking. Ook de markt zal evolueren.

Onderscheid tussen grote en kleine bedrijven

Voor veel experts is een cyberverzekering misschien niet de juiste keuze voor grote bedrijven. Investeringen in deze externe bedrijven snijden namelijk in de budgetten van de teams die verantwoordelijk zijn voor risicobeperking. Bovendien kunnen cyberverzekeraars, gezien hun rendementsdoelstellingen, slechts een zeer perifere rol spelen, in relatie tot wat elke cyberexpert in grote bedrijven moet weten te doen, en zonder afleiding van de belangrijke kwesties waar cyberverzekeringen van nature geen antwoord op kunnen geven.

Voor kleine en middelgrote bedrijven is de situatie complexer. Zij hebben meestal niet de middelen om een cyberaanval het hoofd te bieden en de gevolgen kunnen dodelijk zijn. Het is echter interessant om te zien dat sommige grote bedrijven verzekeringscaptives opzetten om hun kleine onderaannemers te beschermen die strategische gegevens en belangen delen. Het idee is enerzijds om de risico’s globaal te analyseren en de belangrijkste risico’s op het niveau van hun ecosysteem te beperken, en anderzijds om wat meer cybervolwassenheid te brengen naar deze bedrijven, die niet over voldoende middelen beschikken om deze acties te ondernemen.

“Wij zien de rol van cyberverzekeringen evolueren van geldschieter in laatste instantie naar beveiligingspartner, die goed gedrag aanmoedigt. Kortom, door bedrijven te dwingen om best practice beveiligingscontroles en cyberhygiënemaatregelen in te voeren, kunnen verzekeraars de basis van cyberrisicobeheer echt verbeteren.“

Afhankelijk van het type polis, kunnen deze maatregelen het volgende omvatten:

• Regelmatige back-ups van gegevens (en offsite)
• Gebruik van sterke, unieke wachtwoorden en twee-factor authenticatie
• Scannen op kwetsbaarheden en geautomatiseerd patchbeheer op basis van risico’s
• Permanente bewustwordingstrainingen op het gebied van cyberbeveiliging
• Eindbeveiliging software
• Regelmatig geteste incidentbestrijdingsplannen
• Netwerksegmentatie om de ‘straal’ van aanvallen te minimaliseren.

Vandaag de dag is het duidelijk dat we steeds meer gebruik zullen maken van cyberverzekeringen. En dit ondanks het feit dat de kosten stijgen. Dit zou de veiligheid moeten verbeteren, risico’s verminderen en een meer betaalbare dekking moeten bieden. Het WEF (World Economic Forum) merkte onlangs op dat er nog een lange weg te gaan is: 48% van de KMO’s heeft nog steeds geen dekking. Om in de toekomst optimaal gebruik te maken van verzekeringen, is het belangrijker dan ooit om de kleine lettertjes van de polis te lezen.