Tijd voor verandering? ‘Cyberverzekeringen nodig, maar gebrekkig’

Abonneer je gratis op Techzine!

Het besef van goede cybersecurity is er bij de meeste IT-professionals wel. Toch kunnen veel bedrijven hun cybersecuritystrategie nog verbeteren, om zich verder te beschermen tegen potentiële schade. Een verzekering tegen cybercrime is het mogelijke slot op de deur dat nog ontbreekt, al blijkt het voor bedrijven soms nog moeilijk om zo’n verzekering te vinden.

Wanneer we over cybersecurity schrijven hier op Techzine, dan schrijven we doorgaans over wat je met specifieke tools en oplossingen bereikt. Een verzekering kan echter ook heel functioneel zijn. Vaak stelt zo’n verzekering eisen aan een bedrijf om er zeker van te zijn dat het te verzekeren bedrijf zijn zaken op orde heeft. Het juiste security-niveau wil echter niet zeggen dat een bedrijf niet meer slachtoffer kan worden van een cyberincident. Criminelen zoeken voortdurend naar gaten, terwijl onzorgvuldigheid van een werknemer ook grote gevolgen kan hebben. Indien een bedrijf toch slachtoffer wordt, kan een verzekering een goed vangnet zijn.

“Als je niet verzekerd bent, dan zou dat in het meest negatieve geval kunnen leiden tot faillissement”, stelt Director Business Development Bastiaan Bakker bij security-dienstverlener Motiv. We spraken onlangs met Bakker en Durmus Barlas, Specialist Cyberrisk bij assurantiemakelaar VLC & Partners. Beide heren zien veel voordelen in het afsluiten van zo’n verzekering, aangezien het veel kosten en lasten als gevolg van een cyberaanval dekt. Denk hierbij aan aansprakelijkheidsschade, schade voor herstel, forensisch onderzoek en juridische kosten. Niet elk bedrijf kan zo’n financiële impact dragen. Soms lopen de schades immers tot in de miljoenen.

Tip: ‘Corona slecht voor security, massaal dataverlies’: VMware ziet groei

De staat van verzekeringen

Vlak voor ons gesprek komt het Financieele Dagblad met het bericht dat bedrijven die data verwerken zich nauwelijks kunnen verzekeren tegen cybercrime. Met name voor bedrijven onder het grote enterprise segment is het een lastig verhaal. De snel veranderende security-risico’s zouden voor verzekeraars complex zijn. Tegenover de zakenkrant beweert een ondernemer bijvoorbeeld dat Nederlandse verzekeraars de verkeerde vragen stellen, zoals over het gebruik van USB-sticks. Dergelijke hardware verdwijnt bij veel bedrijven. De status van de markt heeft ertoe geleid dat bijna uitsluitend grote enterprises via een tussenpersoon terecht kunnen bij een internationale verzekeraars.

Als je niet verzekerd bent, dan kan dat in het meest negatieve geval leiden tot faillissement

Barlas erkent dat er wat obstakels zijn, maar ziet wel dat de interesse toeneemt. Dat komt mede doordat de aandacht voor desastreuze cyberincidenten groeit. Regelmatig verschijnen er berichten in de media over datalekken en ransomware-aanvallen bij bedrijven, waarbij het om fors dataverlies en financiële schade gaat. Dergelijke incidenten schudden bedrijven wakker. Bovendien zouden potentiële klanten van bedrijven die data verwerken willen weten of het risico is afgedekt. Die motivaties hebben er volgens Barlas toe geleid dat momenteel zeven tot acht procent van de organisaties zich verzekerd hebben. De komende vijf jaar zal dat percentage significant groeien, stelt Barlas. Hier wordt hij in bijgestaan door analisten, die een flinke groei voor cyberverzekeringsmarkt in de komende jaren verwachten.

Verandering gewenst

Om de groei aan te drijven, zal er wel het nodige moeten veranderen. Volgens de heren is een verzekering afsluiten in bepaalde gevallen namelijk moeilijk, zoals bij het verwerken van bijzondere persoonsgegevens. Een certificering als ISO 27001 is momenteel een goede richtlijn met de nodige standaarden. ISO 27001 toont aan dat het security-beleid en de gebruikte technieken voldoen aan best practices. De richtlijnen worden in de industrie gezien als een goede manier om aan te tonen dat assets ruim voldoende beveiligd zijn. Volgens Bakker en Barlas blijkt het verkrijgen van de ISO 27001-certificering in de praktijk vaak alleen haalbaar voor grote bedrijven. Voor de certificering moeten bedrijven een dusdanig intensief traject doorlopen, dat het voor organisaties van een bepaalde omvang een lastig verhaal wordt. “Het kan wel degelijk, maar in de praktijk is dit minder geschikt voor MKB”, aldus Bakker.

Het is daarom tijd voor verandering. Bakker ziet dan ook het liefst algemene minimale vereisten opgesteld worden waar bedrijven aan moeten voldoen voor het afsluiten van een cyberverzekering. Daardoor ontstaat er een werkbare situatie. Voor bedrijven wordt het eenvoudiger een cyberverzekering af te sluiten, terwijl verzekeraars meer zekerheid hebben over het veiligheidsniveau van een te verzekeren bedrijf. Aanvullende vragen en eisen kunnen nog wel gesteld worden, maar dat zal veel minder vaak het geval zijn doordat alle partijen weten wat er moet gebeuren.

Het is tijd voor verandering. Bakker ziet het liefst algemene minimale vereisten opgesteld worden.

Hoe ziet die minimale veiligheid er dan uit? Allereerst is er een organisatorisch element om duidelijkheid te scheppen over wie intern verantwoordelijk is voor de security. Je kan best externe security-hulp inschakelen, maar het is wenselijk om binnen de eigen organisatie ook iemand als eindverantwoordelijke te hebben. Volgens Bakker voorkomt dit het vingertje wijzen bij cyberincidenten, iets wat nu nog wel eens voorkomt. Daarnaast maakt het op orde hebben van de ‘basis cyberhygiëne’ onderdeel uit van minimale veiligheid. Hieronder vallen de minimale security-oplossingen waar een moderne organisatie van gebruik zou moeten maken. Denk hierbij aan goede endpoint security, het gebruik van two-factor authentication en het versleutelen van data (zeker als het privacygevoelige informatie betreft). Als er onverhoopt toch iets misgaat, dan moet er als onderdeel van de basis cyberhygiëne een back-up aanwezig zijn. Dit als laatste reddingsmiddel. De minimale veiligheid bestaat verder nog uit zekerheid inbouwen over patchbeleid en de juiste security-instellingen van systemen gebruiken. Dit kan je bijvoorbeeld afvangen met een lijst met daarop alle gebruikte oplossingen, welke regelmatig nagelopen wordt om te checken of alles op orde is.

De vraag is wanneer de massa adoptie volgt

Met de minimale veiligheidsnormen moet de markt voor cyberverzekeringen een stimulans krijgen. Dat is nodig om cyberverzekeringen in Nederland verder van de grond te krijgen. Daarnaast kan de markt nog verder geholpen worden met een aantal andere stappen. Denk hierbij aan intensievere en extra investeringen van Nederlandse verzekeraars zodat ze meer zicht krijgen op de cybersecurity-markt, maar ook aan een andere houding van sommige bedrijven. We komen nog regelmatig bedrijven tegen die cybersecurity als technische kostenpost zien. Een grote enterprise organisatie maakt soms wel gebruik van honderden security-oplossingen, iets wat geld kost en weinig tot niets oplevert. Je wilt echter niet dat je bedrijf stil komt te staan of een gigantische schade leidt als gevolg van een cyberaanval. Zonder voldoende investeringen in cybersecurity is de kans op de desastreuze scenario’s echter reëel. Dat kan je met een cyberverzekering opvangen en dat maakt het een zinvolle investering, besluiten Motiv en VLC & Partners.

Tip: Auth0 helpt ontwikkelaars identiteit in applicaties te bouwen