Imminente dreigingen vragen om preventieve en curatieve maatregelen. Is dat het geval bij de uitbraak van een epidemie zoals we spijtig genoeg weten, in een it-context is dat niet anders. Cyberbedreiging en cyberaanvallen zijn namelijk niet weg te slaan uit de berichtgeving, ondertussen zelfs in mainstream-media. Een van die curatieve maatregelen is het afsluiten van een cybersecurity-verzekeringspolis.
Naast procedures en maatregelen om cyberaanvallen te voorkomen, stellen ondernemingen zich vaak de vraag wat te doen indien het misgaat. Een van die curatieve maatregelen is het afsluiten van een cybersecurity-verzekeringscontract. Daarmee verzeker je je tegen de schadelijke gevolgen die gepaard gaan met cyberaanvallen. Een goede zaak, want de gevolgen van een cyberaanval kunnen enorm zijn.
Vaak kijkt men daarbij in eerste instantie, en deels ook terecht, naar de rechtstreekse impact van een cyberaanval op het productieproces zelf. Met andere woorden, de directe bedrijfsschade in geval van een onderbreking van het productieproces of het verlenen van diensten. Maar ook de onrechtstreekse bedrijfsschade kan hoog oplopen. Denk aan vertragings- of annulatieboetes indien orders te laat of niet kunnen worden voldaan. Een ander voorbeeld is het aanleveren aan een klant van foutieve informatie omwille van datavervuiling, als gevolg waarvan die klant schade ondervindt.
Kosten
Ook op andere vlakken kan een cyberaanval aanzienlijke schade en kosten veroorzaken. Zo kan ze gepaard gaan met het verlies van of ongeoorloofde toegang tot persoonsgegevens of andere beschermde informatie. Wie draagt in dat geval de kosten van gespecialiseerd advies, een audit, administratieve boete, et cetera? Met de inwerkingtreding van de GDPR/AVG kunnen dergelijke boetes trouwens aanzienlijk zijn.
Een ander punt zijn de bedragen die worden betaald of ontvreemd als gevolg van de aanval. In de gevallen van ransomware die de media halen, wordt doorgaans niet meegedeeld of er werd betaald maar gelet op de impact ervan is dit allicht vaak het geval. Ceo-fraude kan dan weer tot gevolg hebben dat (grote) bedragen onterecht worden overgeschreven op buitenlandse rekeningen. Interessant dus om na te gaan of de cyberpolis die ontvreemde bedragen dekt.
Nog iets anders. De kosten voor het eigenlijke beheer van een aanval kunnen ook oplopen. Zo is het soms aangewezen om een it-specialist en juridisch expert in de arm te nemen om het incident correct in kaart te brengen. Maar ook een communicatiestrateeg en/of crisisconsulent kunnen aangewezen zijn, vaak in grotere organisaties. Die kosten zijn dan ook maar beter af te dekken in de cyberpolis.
Die mogelijke risico’s, en de omvang ervan, verschillen natuurlijk van bedrijf tot bedrijf. De gevolgen van een cyberaanval in een dienstverlenend bedrijf met uitgebreid klantenbestand zullen doorgaans anders zijn dan degene die worden veroorzaakt bij een speler in de maakindustrie. Essentieel is in elk geval om de risico’s binnen de organisatie op een correcte wijze in te schatten en zorgvuldig na te gaan of de beoogde polis die bezorgdheden voldoende afdekt.
Kleine lettertjes
En dan zijn er, met dank aan de juristen, natuurlijk ook nog de kleine lettertjes. Denk aan zaken die niet of beperkt gedekt zijn door de polis, zoals territoriale beperkingen. Maar ook de definitie die aan bepaalde verzekerde begrippen wordt gegeven zal mee bepalen hoe zeker u mag zijn van een tussenkomst door de verzekeraar.
Oh ja, houd trouwens ook rekening met het dekkingsbedrag en de verzekeringspremie natuurlijk, allicht niet onbelangrijk.
Verschillende verzekeraars hebben zich intussen op deze markt begeven en bieden gespecialiseerde polissen aan. Deze tak is nog relatief jong en volop in beweging en ontwikkeling. In de praktijk zien we dat de precieze draagwijdte van de polissen daardoor onderling sterk varieert. Cyberpolissen zijn dus een goede curatieve maatregel tegen cyberaanvallen maar een goed gesprek met de verzekeraar of makelaar en een goed nazicht van de polis is in elk geval een must.
