Verzekeringen en assurantiën zijn eind 12e eeuw ontstaan (Italië, Genua, Pisa, Livorno) voor de scheepvaart. In Nederland werden de eerste verzekeringen in de 15de eeuw afgesloten voor lading en casco van de schepen - mocht je tijdens de reis kapitein Haak tegen het lijf zijn gelopen. Zou je nu, anno 2023, een cyberverzekering afsluiten tegen een ander soort van piraterij? Is een cyberverzekering de overweging waard? In dit blog geef ik je aandachtspunten om op te letten.
Waarom verzekeren?
Verzekeren, dat doe je in eerste instantie omdat je daartoe (wettelijk) verplicht bent, zoals in het geval van een zorgverzekering en een – wettelijke uitzonderingen daargelaten - WA-verzekering indien je eigenaar van een motorvoertuig bent. Sommige verzekeringen zijn dus wettelijk verplicht, de rest is aanvullend. Het kan ook een voorwaarde zijn wanneer je een overeenkomst sluit, zoals een huurcontract.
Hoe zit het met een cyberverzekering?
Een cyberverzekering of assurantie is niet wettelijk verplicht. Het is aan jou of jij het de investering waard vindt om jouw virtuele (rest)risico te elimineren. Maar let daarbij goed op: in hoeverre elimineer je die risico’s? Hierbij vier aandachtpunten om op te letten.
- De voorwaarden voor uitkering bij deze verzekeringen. Vaak is een voorwaarde om niet uitgekeerd te krijgen, wanneer een medewerker aantoonbaar de oorzaak is geweest van een succesvolle cyberaanval. Dat maakt vaak dat er niet overgegaan wordt tot uitkeren, want in 98% van de succesvolle cyberaanvallen speelde een medewerker hier – bedoeld of onbedoeld – een rol in.
- Uitkeren van imagoschade. Naast de financiële gevolgen brengt een cyberaanval vaak imagoschade toe aan een organisatie. De financiële gevolgen van imagoschade zijn lastig uit te drukken in een bedrag, waardoor ook het uitkeren van een bedrag vaak lastig wordt.
- Beperkte risicodekking. Een cyberverzekering betekent niet dat je beschermd bent op het gebied van informatiebeveiliging en je niets kan overkomen. In de voorwaarden van alle cyberverzekeringen staat namelijk dat een organisatie zich moet inspannen om cyberrisico’s tot een minimum te beperken. Wanneer je de voorwaarden leest, of een vragenlijst invult die inzicht geeft in welke maatregelen jij moet treffen om in aanmerking te komen voor een verzekering, kun je jezelf de vraag stellen of die verzekering dan de investering nog waard is.
- Schijnveiligheid. Het afsluiten van een cyberverzekering kan je een vals gevoel van veiligheid geven. Het blijft belangrijk, ook na het aanschaffen van een cyberverzekering, om informatiebeveiligingsrisico’s in kaart te blijven brengen en hier vervolgens op te acteren. Beheersen, voorkomen en vermijden zijn hierbij belangrijke uitgangspunten. Een cyberverzekering is (slechts) een aanvulling hierop. Dit noemen we een restrisico overdragen/verplaatsen.
- Indien je voldoet aan alle voorwaarden, zal jouw financiële schade n.a.v. een cyberaanval vergoed worden door een verzekeraar. Bovendien kunnen verzekeraars hulp bieden in de vorm van cyberexperts die met je meedenken over de technische en organisatorische maatregelen om cyberaanvallen te voorkomen. Daarnaast hebben verzekeraars ervaring met het afhandelen van schade na een cyberincident en kunnen zij organisaties helpen de schade zoveel mogelijk te beperken. Ook kunnen experts van verzekeraars juristen inschakelen voor het afhandelen van mogelijke schadeclaims van derden. Dat zal goedkoper zijn dan ad-hoc een jurist inschakelen. Maar naast een verzekeraar, zou de juiste IT-partner jou ook met deze zaken – m.u.v. het uitkeren van schade - kunnen helpen.
Conclusie
De financiële schade van een geslaagde cyberaanval is in de meeste gevallen vele malen groter dan het afsluiten van een verzekering. Echter zijn dit kosten voor een maatregel die je neemt wanneer je het hebt over het verleggen van een restrisico. Dan heb je inmiddels al onder andere een risico-analyse, business impact-analyse en een GAP-analyse uitgevoerd. De meeste organisaties zijn nog niet zo ver. Restrisico’s verleggen (verzekeren bijvoorbeeld) doe je pas na een traject, waarbij je een uitgewerkt informatiebeveiligingsplan aan het implementeren bent.
Alles begint met het zorgen dat je de basismaatregelen op orde hebt, met daarnaast een gedegen informatiebeveiligingsplan. Indien je vervolgens eventuele restrisico’s wilt mitigeren (en wilt verleggen) dan kun je een verzekering afsluiten. Maar om een verzekering te krijgen, dien je dus al aan te tonen dat je veel meer doet dan alleen de basismaatregelen. Heb jij je basis op orde en heb je een gedegen informatiebeveiligingsplan geïmplementeerd? Gebruik dan de handvatten en aandachtspunten in dit blog om te toetsen of de cyberverzekering voor jou de investering waard is.