Wel of geen cyberverzekering?
Regelmatig wordt mij gevraagd hoe ik aankijk tegen het afsluiten van een cyberverzekering. De dooddoener “dat het nut van een cyberverzekering in sterke mate afhankelijk is van de omstandigheden” is uiteraard waar, maar niet erg behulpzaam. Daar zijn de vragenstellers doorgaans niet mee geholpen. Wat vaak wel helpt is om even een stapje terug te zetten en het verzekeringsvraagstuk te benaderen vanuit een risicomanagement perspectief.
Nog niet zo heel lang geleden konden bedrijven makkelijk een cyberverzekering afsluiten. Dat is niet meer het geval. Verzekeraars ontdekten namelijk al snel dat het uitkeringsrisico steeds groter werd en dat haalde de business case onderuit. Daarom moeten bedrijven tegenwoordig aan een flinke hoeveelheid eisen voldoen om überhaupt in aanmerking te komen voor een cyberverzekering: alleen wanneer het risicoprofiel van jouw bedrijf binnen (voor verzekeraars) acceptabele grenzen valt, mag jij een cyberverzekering afsluiten. En eigenlijk is dat maar goed ook. Ik zal uitleggen waarom.
Risicomanagement
In de basis zijn er vier wijzen om een risico te behandelen en in sommige gevallen kunnen deze ook gecombineerd worden toegepast:
- Accepteren – Er is voldoende risicobereidheid om het risico te laten bestaan. Vaak wegen de te maken kosten niet op tegen het risico. Bijvoorbeeld omdat de kans extreem laag is.
- Vermijden – Iets niet doen, waardoor het bijhorende risico ook niet kan optreden. Bijvoorbeeld geen gebruik maken van een bepaalde technologie.
- Verlagen – Het nemen van technische en/of organisatorische maatregelen (van preventieve, detectieve, respressieve of correctieve aard) om het bruto risico te verlagen tot een acceptabel restrisico. Er zijn tegenwoordig genoeg baselines, best practices of standaarden die beschrijven welke maatregelen je allemaal kunt nemen.
- Overdragen – Hoewel het belangrijk is om te beseffen dat beveiligingsrisico’s op zichzelf (doorgaans) niet overdraagbaar zijn, is het wel mogelijk om de (financiële) consequenties van het desbetreffende beveiligingsrisico over te dragen. Bijvoorbeeld aan een verzekeraar.
Een cyberverzekering is dus een voorbeeld van “overdragen”. Het maakt de kans en impact van een cyberincident niet kleiner, maar zorgt er wel voor dat de financiële gevolgen (deels) zijn gedekt. Het is dus een correctieve maatregel en daarmee gericht op het minimaliseren van de gevolgen van een incident. Net zoals bijvoorbeeld een back-up dat ook kan zijn, maar toch is er een (in mijn ogen) belangrijk verschil. Een back-up adresseert namelijk de daadwerkelijk ontstane schade van de informatievoorziening: een ongewenste afname van de beschikbaarheid, integriteit en/of vertrouwelijkheid. Een verkregen kapitaalinjectie (als gevolg van een uitkerende verzekeraar) gaat daar volledig aan voorbij: het is gewoon een zak met geld en verder niks.
Ok, misschien moet ik dit nog iets nuanceren. Natuurlijk kan een zak met geld je bedrijf redden van een faillissement. Ik probeer hier ook niet te zeggen dat een cyberverzekering een vies ding is. Het geeft financiële ademruimte op het moment dat dit nodig is, en daarmee hopelijk ook de ruimte om je bedrijf digitaal weer op de rit te krijgen. En ja, ik weet ook dat verzekeraars tegenwoordig steeds vaker incident response diensten in hun verzekeringspolis opnemen en dat is geen zak met geld. Het is wel heel slim, want in veel gevallen kan een snelle én juiste reactie op een incident de uiteindelijke schade (en dus de grootte van de zak met geld die de verzekeraar uit dient te keren) aanzienlijk beperken. Met een dergelijke aanvulling wordt een cyberverzekering dus ook een tikkeltje repressief, maar feit blijft dat het niks bijdraagt aan de daadwerkelijke bescherming of het herstel van de informatievoorziening.
Standaard advies
Mijn standaard advies is om je geld in de eerste plaats uit te geven aan (voornamelijk preventieve en detectieve) maatregelen en pas als allerlaatste aan een cyberverzekering. Informatiebeveiliging regel je niet met een verzekering, maar met een goede set aan maatregelen. Alleen daarmee kun je incidenten voorkomen of tijdig pareren. Een cyberverzekering kan beveiligingsmaatregelen niet vervangen. Wat mij betreft sluit je alleen een cyberverzekering af wanneer het restrisico (dus ná het nemen van voldoende maatregelen) te groot is. En daarom vind ik het (vanuit mijn security hart) een goede ontwikkeling dat je niet meer zomaar even een cyberverzekering kunt afsluiten. Het is goed dat bedrijven worden aangespoord om eerst hun (fundamentele) informatiebeveiliging goed te regelen met maatregelen.
Mocht je ooit besluiten om toch een cyberverzekering af te sluiten, laat je dan bijstaan door een onafhankelijk expert zodat je op basis van de juiste argumenten de meest geschikte polis kiest. Ik weet uit ervaring dat polissen behoorlijk complex kunnen zijn. Ter afsluiting een aantal (willekeurige) aandachtspunten voor wanneer je je oriënteert op een cyberverzekering:
- Kijk goed naar de polisvoorwaarden (kleine lettertjes) en vertaal dit door naar wat dit betekent in de praktijk. Ik heb voorbeelden gezien waarbij het niet duidelijk was waarvoor je je nu eigenlijk verzekert. Zorgt dat de overeenkomst met de verzekeraar duidelijke, eenduidig interpreteerbare en meetbare afspraken bevat, zodat snel tot betaling (van een eerste bedrag) kan worden overgegaan. Je hebt mogelijk niks aan een verzekering die pas na 6 maanden uitkeert als gevolg van tijdrovende discussies en een hoop uitzoekwerk.
- Soms moet je aantonen dat bepaalde maatregelen succesvol functioneerden toen het incident optrad. Denk goed na over hoe je dit gaat doen. Vraag aan de verzekeraar wat deze hierin exact verwacht.
- Wordt zowel directe als indirecte schade vergoed? Hoe stel je de hoogtes van dergelijke schades vast? Wat kost het bijvoorbeeld wanneer je website er een dag uit ligt als gevolg van een cyberaanval?
- Wat is de scope van de verzekering. Ben je ook gedekt voor incidenten die zijn veroorzaakt door toeleveranciers? Hoe verwacht de verzekeraar dat je met dergelijke supply chain risico’s omgaat? Zijn goede contractuele afspraken met je leveranciers voldoende, of is er meer nodig?
Plaats een Reactie
Meepraten?Draag gerust bij!