De mogelijkheid voor organisaties om zich te beschermen tegen de risico’s van gegevensbescherming waren jarenlang beperkt. Risico’s konden nooit geëlimineerd worden, maar organisaties konden wel proberen deze te verminderen. In de afgelopen 20 jaar hebben cyberbeveiligingsverzekeraars risico-dekking toegevoegd aan het aanbod van beschikbare verzekeringen. Echter zijn bedrijven onlangs pas gaan onderzoeken hoe cyberveiligheidsverzekeringen bescherming kunnen bieden tegen de gevolgen van een cyberbeveiligingsincident, en of zij bescherming kunnen bieden tegen mogelijke rechtszaken. En dat ze kunnen helpen, is zeker.
De functie van een cyberverzekering
Een cyberveiligheidsverzekering is een financiële verliesdekkingsmethode voor beveiligings- en privacyincidenten. Het biedt geen bescherming tegen fysieke schade; die traditioneel door eigendoms- of ongevallenverzekeringspolis zijn gedekt. Het kan echter wel de opruimingskosten van een incident en de daaruit voortvloeiende aansprakelijkheid dekken.
Cyberveiligheidsverzekeringen waren oorspronkelijk bedoeld om gegevensinbreuken te dekken, als gevolg van Amerikaanse regelgeving. De eerste polissen waren bijvoorbeeld gericht op kosten voor kredietbewaking en kennisgeving van inbreuken. Naarmate de privacyregelgeving en de cyberrisico’s toenamen, is een verzekering die deze uitdagingen dekt steeds populairder geworden. Dit is een direct gevolg van de frequentie van ransomware-aanvallen en de hogere losgeldeisen van cybercriminelen. Deze risico’s hebben organisaties ertoe aangezet oplossingen te zoeken, zowel op technisch als op administratief vlak.
Vanuit verzekeringsoogpunt heeft de sector zijn aanpak moeten aanpassen om het risico beter te kunnen onderschrijven. Aanvankelijk stelde een verzekeraar alleen eenvoudige vragen, bijvoorbeeld of gevoelige bedrijfsgegevens versleuteld zijn en of er een herstelplan paraat was. Met de opkomst van ransomware hebben verzekeringsmaatschappijen hun technische kennis vergroot om de verzekerbaarheid van een bedrijf beter te kunnen beoordelen.
De belangrijkste maatregelen
Een organisatie die de belangrijkste maatregelen heeft genomen, kan de breedste dekking krijgen. De drie belangrijkste maatregelen zijn:
- Multi-Factor Authenticatie (MFA)
- Patching frequentie
- Incident response plannen
MFA is misschien wel de belangrijkste controle in een organisatie. Steeds meer organisaties zien het belang van MFA. Zij zijn verbaasd hoe eenvoudig het is om het binnen hun bedrijfsomgeving toe te passen. Cybersecurityverzekeringen zijn afhankelijk van de aanwezigheid van bepaalde controles. Het ontbreken van deze controles kan ofwel een weigering van dekking betekenen of extreem hoge eigen risico’s. Het lijkt erop dat verzekeringsmaatschappijen door MFA te stimuleren een groter effect realiseren dan dat regelgeving ooit heeft kunnen bereiken.
Andere overwegingen
Amerikaanse regelgeving was de aanleiding voor cybersecurityverzekeringen, maar nu de wereldeconomie is geëvolueerd, zijn er regionale overwegingen die in acht genomen moeten worden. Bij de evaluatie van een cyberverzekeringspolis is het belangrijk te weten welk gebied wordt gedekt; de polis moet wereldwijd zijn. Naast het wereldwijde bereik moet de polis ook een breed regelgevingsbereik hebben.
Met steeds nieuwe privacyregels die opduiken, is het van cruciaal belang dat je verzekering rekening houdt met deze ontwikkelingen. Boetes en sancties zijn mogelijk niet gedekt, dus het is van belang om dat te weten. Een ander belangrijk element om te begrijpen is dat betaling over verschillende regio’s ook moet worden aangepakt, met name in landen met beperkingen.
De waarde van bedrijfsinformatie die bij een aanval verzameld kan worden, mag niet onderschat worden. Informatie over mogelijke bedreigingen en aanvallen die door beveiligingsorganisaties en verzekeringsmaatschappijen wordt verzameld, kan een bron zijn voor nuttige samenwerkingen. Kleinere organisaties die niet over de middelen beschikken, kunnen gebruik maken van deze informatie om hun beveiliging in de juiste richting te helpen. Door de informatie op deze manier in te zetten, kan het hen helpen in aanmerking te komen voor een cyberverzekering.
Robuuste beveiliging – Check!
Een voordeel van cyberverzekeringsbeoordelingen is dat er een zekere mate van “kruisbestuiving” plaatsvindt. Het beoordelingsformulier kan bijvoorbeeld ook worden gebruikt als checklist voor naleving van de regelgeving en risicobeoordeling binnen een organisatie. Dit kan het vertrouwen van verzekeringsmaatschappijen vergroten omdat dit aantoont dat erbinnen een bedrijf daadwerkelijk een robuuste beveiliging van kracht is.
We kunnen concluderen dat het allemaal neer komt op het doen van controles. Vergelijk het met automobilisten die korting krijgen op hun verzekering bij meerdere schadevrije jaren. Aanbieders van cyberveiligheidsverzekeringen kunnen hetzelfde doen wanneer organisaties kunnen aantonen dat zij hun activa zo zorgvuldig als mogelijk beschermen. Door de juiste maatregelen te treffen, kunnen bedrijven zichzelf beschermen en zich verzekeren tegen cyberaanvallen.
Dit is een ingezonden bijdrage van Thales. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
2 uur geleden
