Geconfronteerd met een grotere kans op een schadelijke beveiligingsinbreuk, overwegen veel bedrijven om (een deel van) hun aansprakelijkheid over te dragen aan een externe operator. Maar zij die denken dat ze cyberverzekeringen gewoon kunnen gebruiken om investeringen in ‘best practices’ op het vlak van cyberbeveiliging te vervangen, hebben het mis. In feite is dit steeds meer een voorwaarde voor dekking geworden.
Cyberrisico’s nemen toe als gevolg van de gecombineerde impact van stijgende dreigingsniveaus, groeiende aanvalsmogelijkheden en gebrek aan beveiligingsvaardigheden die organisaties in een nadelige positie brengen. Geconfronteerd met een grotere kans op een schadelijke beveiligingsinbreuk, overwegen veel bedrijven om (een deel van) hun aansprakelijkheid over te dragen aan een externe operator. Maar zij die denken dat ze cyberverzekeringen gewoon kunnen gebruiken om investeringen in ‘best practices’ op het vlak van cyberbeveiliging te vervangen, hebben het mis. In feite is dit steeds meer een voorwaarde voor dekking geworden.
Wat is een cyberverzekering?
Cyberverzekeringen helpen bedrijven, kleine of grote, te beschermen tegen de financiële gevolgen van ernstige incidenten – data-inbreuken en lekken. Volgens het type polis kunnen ze het volgende verstrekken:
· Toegang tot pre-inbreukanalyses, goedgekeurde leveranciers en informatie om weerstand op te bouwen vóór een incident
· Bijstand bij aangifte na incident, forensisch onderzoek, juridische dienstverlening en expertise op gebied van crisismanagement
· Financiële steun voor juridische kosten en schadeclaims tegen het bedrijf
· Dekken van gemaakte kosten om de operationele activiteit in stand te houden en gegevens te herstellen alsook inkomensderving.
Polissen kunnen sterk variëren, maar er zijn twee hoofdsoorten:
· Primaire dekking: gerelateerd aan de directe impact van een cyberincident in het bedrijf. Dit dekt de kosten van verloren of beschadigde software, juridische kosten, forensisch onderzoek, klantmeldingen, gelddiefstal, enz.
· Dekking voor derden: dekt claims van anderen tegen het bedrijf voor verliezen die zij hebben geleden als gevolg van een cyberincident. Dit omvat juridische schikkingen met klanten, advocaat- en accountantskosten, enz.
Het is belangrijk te weten dat cyberaanvallen die als “oorlogsdaden” worden gezien niet door de polis gedekt zijn. Lloyd’s of London besliste zijn verzekeraars te dwingen een uitsluitingsclausule voor cyberoorlogen op te nemen, om de aansprakelijkheid te verminderen bij door natie-staten gesponsorde aanvallen. Bewijzen dat een dreigingsacteur een oorlogsdaad uitvoerde, kan bijzonder moeilijk zijn.
Waarom heb ik een cyberverzekering nodig?
De meeste bedrijven zullen begrijpen waarom cyberverzekeringen in 2029 naar verwachting 64 miljard dollar zullen bereiken. Een combinatie van groeiende cyberdreigingen en bijbehorende kosten, samen met toenemende controle door regelgevers, dwingt bedrijven om op bewezen manieren hun blootstelling aan risico’s te beperken.
De overstap op hybride werken, in combinatie met cloud- en digitale investeringen tijdens de pandemie, heeft productiviteit en flexibelere bedrijfsprocessen helpen stimuleren, maar ook de ruimte voor cyberaanvallen vergroot. Niet-gepatchte endpoints voor thuiswerken, verkeerd geconfigureerde cloudsystemen en mobiele dreigingen zijn slechts het topje van de ijsberg. Een rapport uit 2022 beweert dat 79% van de organisaties van mening is dat deze recente wijzigingen een negatieve invloed hadden op de cyberbeveiliging van hun organisatie. In een ander rapport bevestigt 43% van organisaties wereldwijd dat hun aanvalsoppervlak “ongecontroleerd” groeit. Het aanvalsoppervlak omvat ook complexe toeleveringsketens en mogelijk nalatige werknemers. Alleen al in 2021 zou naar schatting 98% van bedrijven wereldwijd te maken hebben gehad met een inbreuk via hun leveranciers.
Resultaat:
· In 2022 hadden de VS bijna een recordaantal openbaar gemelde datalekken
· In 2022 antwoordde twee vijfde van de ondervraagde organisaties in het VK dat ze de laatste 12 maanden te maken hadden met een beveiligingsinbreuk
· Meer dan een kwart (27%) van de IT- en business managers in het VK verwacht dat zakelijke mailcompromissen en hack-and-leak-aanvallen in 2023 zullen toenemen, en 24% zegt hetzelfde over ransomware
Ernstige veiligheidsincidenten komen vandaag vaker voor, maar kosten slachtoffers ook meer. In 2021 bedroegen de kosten van incidenten die aan de FBI werden gemeld 6,9 miljard dollar. Een jaar later was het totaal 10,3 miljard dollar, een stijging van 49%. Over de laatste vijf jaar tot 2022 is dit $ 27,6 miljard.
Hoe kan ik dekking krijgen?
De markt voor cyberverzekeringen is de afgelopen jaren sterk veranderd. Een toename van ransomware-inbreuken en -claims tijdens de pandemie heeft ertoe geleid dat sommigen de industrie de schuld geven van het indirect aanmoedigen van aanvallers. De verliezen geleden door veel operatoren hebben geleid tot corrigerende maatregelen : een forse verhoging van de premies en een meer beperkte dekking. Gelukkig zijn de prijzen aan het stabiliseren en worden polissen weer betaalbaar.
Dit is grotendeels te wijten aan meer gedetailleerde polissen waarvoor meer potentiële klanten nodig zijn. We zien dus de rol van cyberverzekeringen evolueren – van geldschieter in laatste instantie tot beveiligingspartner die ‘goed gedrag’ stimuleert. Kortom, door van bedrijven te eisen dat ze ‘best practice’ beveiligingscontroles en cyberhygiënemaatregelen invoeren, kunnen verzekeraars de basis voor cyberrisicobeheer werkelijk verbeteren.
Afhankelijk van het beleid kunnen deze maatregelen het volgende omvatten:
· Regelmatige (en off-site) back-ups van gegevens
· Gebruik van sterke, unieke wachtwoorden en tweefactoren authenticatie
· Scannen van kwetsbaarheden en geautomatiseerd, op risico’s gebaseerd patchbeheer
· Doorlopend trainingsprogramma’s aanbieden voor het bewustmaken voor cyberbeveiliging
· Endpoint security software
· Regelmatig geteste responsplannen voor incidenten
· Netwerksegmentatie om de “explosieradius” van aanvallen te beperken.
En daarna?
KMO’s en grote organisaties beschouwen cyberincidenten nog steeds als hun grootste bedreiging. Zelfs met stijgende kosten, zullen ze steeds vaker een beroep doen op cyberverzekeringen. Dit moet de veiligheid verbeteren, risico’s verminderen en een meer betaalbare dekking bieden. Maar de weg is nog lang: volgens het World Economic Forum heeft ongeveer de helft (48%) van de KMO’s nog steeds geen dekking, vergeleken met 16% voor grote organisaties. In de toekomst wordt het lezen van de kleine lettertjes van de polis belangrijker dan ooit om het gebruik van verzekeringen te optimaliseren.
Om meer te weten over cyberverzekeringen voor KMO’s, kan dit ESET-handboek u helpen. https://www.eset.com/int/business/resource-center/handbooks/cybersecurity-insurance-for-enterprises-making-an-educated-decision/
