4min

De toename van ransomware heeft ertoe geleid dat organisaties op zoek zijn gegaan naar de goedkoopste en meest legale uitweg bij een aanval. Hoewel de cyberverzekering gelijke tred heeft gehouden met de cyberrisico’s, is het moeilijk gebleken deze risico’s voor te blijven en de resultaten te voorspellen.

Groei in de verzekeringsmarkt

Naar verwachting zal er tegen 2026 ongeveer 25 miljard dollar in de cyberverzekeringsmarkt omgaan. De cyberverzekeringsmarkt werd ooit beschouwd als een winstgevende business. Maar sinds het groeiende aantal ransomware-aanvallen, zijn ook de uitbetalingen toegenomen: de gemiddelde uitbetaling bedroeg in 2021 bijna 250.000 dollar. Cyberverzekeraars beschikken niet zoals andere branches over tientallen jaren aan gegevens, wat nadelig is, omdat dit het moeilijker maakt om prijsmatrices aan te passen. Dit maakt de markt onzeker.

Cyberverzekering over beveiligingstechnologie en -processen

Het hebben van cyberverzekeringspolissen mag niet betekenen dat bedrijven laks worden met hun security. Cybercriminelen hebben namelijk ook geleerd van de opkomst van cyberverzekeringen en kunnen deze zelfs tegen slachtoffers gebruiken. Ransomeware-bende Hive eiste bijvoorbeeld 500.000 pond na een aanval, wetende dat dit overeenkomt met het bedrag dat  werd gedekt door de cyberverzekeringspremie van de organisatie. Zo kunnen cybercriminelen vaststellen welke bedrijven zullen toegeven en welke verzekeraars bereid zijn deze betalingen te financieren, wat afpersing nog complexer maakt. Cybercrimegroepen zullen in de data zoeken naar de verzekeringspolis en een losgeldeis vaststellen die overeenkomt met de polislimiet, of hieronder ligt.  Dan luidt de vraag: als je een hogere polislimiet hebt, verhoogt dit dan ook de kans op een aanval? Deze vraag onderstreept de absolute noodzaak van best practice cybersecurity, ook mét een verzekeringspolis.

Onbedoelde gevolgen

De ernst van ransomware-aanvallen dwingt verzekeraars om premies te verhogen en strengere acceptatierichtlijnen op te stellen. Het opstellen van strengere acceptatierichtlijnen kan effectief zijn als langetermijnoplossing, omdat het een van de hoofdoorzaken aanpakt: een onvoorbereide organisatie.

In de toekomst zullen nieuwe applicaties aan veel strengere eisen moeten voldoen om dekking te krijgen via een verzekeringspolis. Deze eisen kunnen bestaan uit de implementatie van multi-factor authenticatie, 24/7 SOC-mogelijkheden, het bestaan van back-ups of bewijs dat er toegewijde deskundigen zoals CISO’s zijn. Sommige verzekeraars zullen sub-limieten toevoegen, of uitsluitingen opnemen voor schade of kosten die voortvloeien uit bekende hacks. Sommige kunnen zelfs eisen dat bepaalde kwetsbaarheden, bijvoorbeeld Log4j, worden verholpen voordat de polis wordt aangeschaft.

Evoluerende industrienormen

Onlangs kondigde Lloyd’s of London de nieuwste evolutie in de cyberverzekeringsmarkt aan, namelijk de uitsluiting van oorlogrisico’s. Deze maakt het verplicht om specifiek dekking uit te sluiten voor  verliezen die “voortvloeien uit een oorlog”. Lloyd’s is al lange tijd toonaangevend op de verzekeringsmarkt en staat bekend om de ontwikkeling van innovatieve cyberpolissen die complexe risico’s dekken. Dit maakt het waarschijnlijk dat andere maatschappijen dit voorbeeld gaan volgen.

De stap om uitsluitingen duidelijk en ondubbelzinnig te maken is belangrijk voor de sector. Het is aan de cyberverzekeraars om uitsluitingen te verdedigen, dus moet men zich afvragen of zij de consequenties goed hebben doordacht. De uitdagingen liggen in het feit dat dit soort aanpassingen met vertrouwen moeten gebeuren en dat geschikte partijen gevonden moeten worden om daarbij te helpen. Daarnaast moeten verzekeraars bij de ontwikkeling van het proces hun concurrentiepositie in acht nemen.  

Overheidsadvies kan onhoudbaar zijn voor het bedrijfsleven

Overheden wereldwijd adviseren slachtoffers consequent om geen losgeld te betalen, omdat dit toekomstige cybercriminaliteit aanmoedigt. De vraag is of dit standpunt realistisch blijft. Het komt steeds vaker voor dat er aanvallen plaatsvinden waarbij slachtoffers, vaak in het openbaar, worden gegijzeld. Losgeldeisen, verzekeringspremies, forensische onderzoeken en collectieve rechtszaken worden steeds frequenter en duurder. Vooral voor kleine en middelgrote bedrijven zijn de kosten onhoudbaar geworden. Daarnaast kan ook de reputatieschade een grote impact hebben.

Organisaties zouden een cyberverzekering moeten zien als een core business in plaats van een reactief beleid. Dreigingen nemen alleen maar toe en het is aan particuliere bedrijven om methoden te zoeken om aanvallen te beperken en voorkomen. De beveiliging aanscherpen wordt een essentiële manier om überhaupt toegang te krijgen tot verzekeringspremies. Door de basis op orde te hebben, kunnen bedrijven zich extra indekken door middel van verzekeringen, om uiteindelijk toe te werken naar maximale cybergezondheid.

Dit is een ingezonden bijdrage van BlueVoyant. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.