Cyber insurance: ja, dat heb je nodig!

Thomas de Jong | 12 juli 2017

Hoe geavanceerd je IT-verdediging ook is, je kunt problemen met netwerkveiligheid en privacy nooit 100% uitsluiten. En als je alleen op je eigen verdediging vertrouwt, creëer je een vals gevoel van veiligheid. Sommige risico’s kunnen simpelweg niet uitgesloten worden.

Zo is cyber insurance ontstaan. Daarmee bescherm je jezelf tegen de risico’s die overblijven zodra je je eigen beveiliging op orde hebt. Cyber insurance wordt gezien als de volgende laag in de beveiliging van je online dienstverlening. In dit artikel vertel ik meer over de opkomst van dit fenomeen, over de mogelijke risico’s waar je je tegen kunt verzekeren, en wat je naast een verzekering ook zou moeten doen.

Wat is cyber insurance?

Een cyber insurance, of cyberverzekering, is een verzekering die je kunt afsluiten tegen allerlei gevaren die je online kunt tegenkomen. Meestal moet je denken aan de gevolgen van hacking, zoals diefstal van gegevens, inbreuk op systemen, verlies van data en bedrijfsstilstand. Maar je kunt ook denken aan een vergoeding van de kosten die je maakt in rechtszaken, of de inzet van IT-specialisten om de boel na een aanval weer op de rit te krijgen. Bedrijven worden steeds afhankelijker van het internet, dus de risico’s worden ook steeds groter. Met een goede cyber insurance kun je je tegen sommige risico’s indekken.

Geschiedenis van cyber insurance

In Amerika kwamen er vanaf eind jaren negentig verzekeraars met internetverzekeringen op proppen. Dat waren toen eigenlijk simpele variaties op de beroepsaansprakelijkheidsverzekering. Meestal waren het ook uitbreidingen op bestaande bedrijfsverzekeringen. De polissen waren ook nog vrij beperkt. Je was dan misschien wel verzekerd tegen een beveiligingsprobleem in je eigen systeem, maar bijvoorbeeld niet tegen de kosten die kwamen kijken bij gegevensverlies. Niet lang daarna kwam de online variant van de inboedelverzekering: een verzekering tegen het verlies van je eigen data, en de mogelijke bedrijfsstilstand die daaruit volgt.

Rond 2005 was het internetgebruik al enorm toegenomen. En naarmate dit internetgebruik groeide, kwamen er ook al snel verzekeringen tegen privacyincidenten. Denk dan aan het verliezen of per ongeluk openbaar maken van klantgegevens. De dekking voor je aansprakelijkheid werd ook verder uitgebreid. Ook kon je je verzekeren tegen boetes van bijvoorbeeld creditcardbedrijven. Maar ook de kosten van het onderzoeken en verzachten van de gevolgen van een incident werden opgenomen in de polis.

De markt voor cyberverzekeringen groeit nog steeds, en hard ook. Dat komt omdat we steeds meer met z’n allen online doen. Ook privacywetgeving en andere ontwikkelingen op dit gebied spelen een rol, omdat bedrijven geacht worden steeds voorzichtiger met data van klanten om te springen.

Wat ‘triggert’ een cyber insurance?

Als je verzekerd bent tegen brand in je huis, is het duidelijk wanneer die verzekering in werking treedt: als er brand in je huis is geweest.

Brandend huis.

Dit is waarom je je tegen brand verzekert. Hoe zit dat cyberverzekeringen?

In de wereld van cyber insurance is dat niet anders, er moet altijd een trigger zijn. Over het algemeen zijn er 2 zaken die kunnen gebeuren, waardoor je cyberverzekering in werking treedt: het cyberincident en het privacyincident.

Simpel gezegd is een cyberincident een probleem in de beveiliging van je eigen computersysteem. Dat kan dus van alles en nog wat zijn. Zodra er vertrouwelijke informatie betrokken is bij het incident, wordt het een privacyincident. Denk dan bijvoorbeeld aan het verliezen van klantgegevens.

Soms leidt een cyberincident tot een privacyincident, maar dat hoeft niet altijd. En sommige privacyincidenten hoeven weer niks te maken te hebben met een cyberincident.

Sommige verzekeraars bieden aparte verzekeringen aan voor deze 2 soorten, bij andere verzekeraars zit het allemaal in 1 pakket. Het is goed om te onderzoeken waar je je precies voor verzekerd, dus lees de kleine lettertjes altijd goed.

Wat verzeker je met een cyber insurance?

Elke verzekeraar bepaalt natuurlijk z’n eigen voorwaarden. Over het algemeen kun je je met een cyber insurance verzekeren tegen de volgende zaken:

  1. Verdediging en schadevergoeding voor vermeende aansprakelijkheid als gevolg van een cyber- of privacyincident.
  2. Dekking om een cyber- of privacyincident te onderzoeken en de gevolgen te verzachten.
  3. Bedrijfsstilstand: Dekking voor bedrijfsonderbrekingen door een cyberincident
  4. Afpersing: Dekking voor de reactie op bedreigingen om een netwerk te beschadigen of vertrouwelijke informatie vrij te geven

Aansprakelijkheid bij een cyber- of privacyincident

Eigenlijk werkt deze vorm van cyber insurance hetzelfde als een bedrijfsaansprakelijkheidsverzekering, maar dan specifiek voor problemen online. Stel dat je door een cyberincident je producten niet kunt leveren, dan kan het zijn dat je een rechtszaak van een klant aan je broek krijgt. Met deze vorm van cyber insurance ben je daartegen verzekerd.

In Amerika zie je ook steeds meer cyberverzekeringen komen met een dekking tegen de kosten van het onderzoek dat toezichthouders soms doen. Zeker in het geval van een privacyincident kun je er donder op zeggen dat er een onderzoek naar je bedrijf komt. En dat kost geld! Daarnaast kun je je zelfs verzekeren tegen eventuele boetes die uit zo’n onderzoek voortkomen. In Nederland is dat trouwens niet toegestaan.

In Nederland is het bijvoorbeeld verplicht om ernstige datalekken te melden. Doe je dat niet, dan krijg je een boete. En hoewel je je dus niet tegen zo’n boete kunt verzekeren, kun je dat wel tegen de gevolgen van een cyber- of privacyincident. En dat kan weer gunstig uitwerken op de hoogte van een eventuele boete. Een toezichthouder kijkt altijd naar wat je hebt gedaan om de problemen zo klein mogelijk te houden.

Mochten er gegevens van creditcardhouders betrokken zijn bij het incident, dan kun je zelfs nog een boete krijgen via de PCI-DSS, omdat creditcards opnieuw uitgegeven moeten worden, en betrokken transacties teruggedraaid moeten worden. Dit is een belangrijke factor als je veel klanten hebt die met creditcards betalen, omdat grote datalekken met creditcards echt enorme gevolgen kunnen hebben.

Onderzoek naar het incident

Je kunt je ook verzekeren tegen de kosten die gemaakt worden bij het onderzoeken van een incident. Denk aan kosten voor forensisch onderzoek naar de verspreiding van het incident, kosten voor een eventuele advocaat, de kosten van het inlichten van je klanten en de kosten van crisiscommunicatie. Bedenk ook dat cyberverzekeringen wel helpen het incident te stoppen, maar niet de dekking verzorgen voor de uitgaven die volgen. Bijvoorbeeld om technische problemen in je systeem op te lossen, of de benodigde updates om problemen in de toekomst te voorkomen.

Bedrijfsstilstand

Dit dekt de misgelopen inkomsten en eventuele extra uitgaven die je moet maken als je door een veiligheidsissue geen productie kunt draaien. Meestal wordt dit pas gedekt vanaf een bepaald bedrag of na een vooraf vastgesteld periode.

Afpersing

Online afpersing gebeurt steeds vaker, dat heb je al gelezen in mijn artikel over ransomware. Het dekt de kosten naar het onderzoek of de afpersing serieus genomen moet worden, en eventuele kosten die gemaakt moeten worden om de bedreiging te stoppen. Zoals gezegd is ransomware hier een goed voorbeeld van, maar ook hackers die gevoelige informatie hebben en dat dreigen openbaar te maken. Of ze hebben toegang tot je systeem en dreigen dat plat te leggen.

Computerscherm met code.

Een hacker met slechte intenties kan enorme macht over je bedrijf hebben.

Heb ik een cyber insurance nodig?

Tsja, dat is uiteindelijk aan jou. Eigenlijk is het wel aan te raden, omdat de kosten voor eventuele problemen echt enorm kunnen zijn. Bedenkt goed welk risico je wilt nemen, en waar je je tegen wilt verzekeren. Bij sommige verzekeraars kun je je cyber insurance echt op maat laten maken, waardoor je alleen betaalt voor wat je denkt nodig te hebben. Het loont altijd om de kleine lettertjes te lezen, maar je weet nu in ieder geval een beetje waar je op moet letten.

Besteed ook tijd en aandacht aan de rest van je beveiliging. Want een verzekeraar zal bij een claim altijd eerst kijken naar wat je bedrijf heeft gedaan om problemen te voorkomen. En als dat te weinig is, kun je fluiten naar je geld.

Neem de juiste voorzorgsmaatregelen!

Voorkomen is beter dan gene…eh, verzekeren. Het is dus ook absoluut niet zo dat je met een cyber insurance helemaal veilig bent. De regels rondom de bescherming van persoonsgegevens worden bijvoorbeeld steeds strenger, maar ook de regels van de verzekeraars zelf liegen er niet om. Daarom is het belangrijk dat je cyberverzekering als een extra laag beveiliging ziet. Dit zijn dingen die je, naast het afsluiten van een goede verzekering, nog meer zou kunnen (en moeten) doen:

  1. Zorg dat je een goed beveiligingsbeleid voert. Onderzoek de grootste risico’s voor jouw bedrijf, en zorg dat je dit afdekt. Test dit beleid regelmatig, zodat je zeker weet dat het werkt.
  2. Niet alleen aanvallen van buitenaf kunnen funest zijn voor je digitale bedrijfsvoering. Ook je eigen medewerkers kunnen de boel flink op stelten zetten. Bijvoorbeeld door het per ongeluk downloaden van een virus. Zorg er daarom voor dat je je medewerkers bewust maakt van de risico’s. Hou ze op de hoogte van alle slimme manieren die hackers gebruiken om je medewerkers te verleiden tot de verkeerde dingen, zoals phishing-mails.
  3. Bescherm jezelf tegen de gevaren van ransomware. Ik schreef eerder al over ransomware, want het is echt een probleem waar bedrijven rekening mee moeten houden. Je kunt het risico verkleinen door je medewerkers voor te lichten, maar nog veel belangrijker is het up-to-date houden van je systemen. Elk systeem heeft z’n zwakke punten, en daar maakt ransomware slim misbruik van. De problemen die WannaCry heeft veroorzaakt, hadden met een simpele update voorkomen kunnen worden. Een update die Microsoft trouwens al maanden eerder had verspreid.

Tot slot

Zo, je weet nu een hele hoop meer over het fenomeen cyber insurance. Je weet nu beter waar je op moet letten. Er zijn allerlei aanbieders, en de komende jaren zal dat nog verder groeien. Het belangrijkste is dat je je beseft dat je er met alleen een verzekering niet bent.