Een cyberverzekering, wat is het en raden we het aan?

Dat het risico op cyberaanvallen voor organisaties alleen maar groter wordt weten we allemaal. Steeds meer verzekeraars spelen hierop in. Wat kun je verwachten van een cyberverzekering? Waar kun je je als organisatie tegen verzekeren, en waartegen niet? Wat is het voor- en nadeel van een cyberverzekering? Heb je als organisatie zelf nog een verantwoordelijkheid? Je leest het in dit artikel!

Je kunt je als organisatie verzekeren tegen schade

Onder schade kunnen verschillende dingen worden verstaan. Zo wordt er bij schade een onderscheid gemaakt tussen materiele- en immateriële schade. Het verschil hiertussen is dat materiele schade feitelijk uit te drukken is in een geldelijk bedrag. Dit geldt niet voor immateriële schade.

Bij materiele schade kan worden gedacht aan de schade die wordt geleden door bijvoorbeeld de vertraging en het nawerk bij een datalek. Er moet vaak namelijk onderzoek worden gedaan waar de datalek vandaan komt, en ook moet er daarna vaak worden geïnvesteerd in betere beveiliging om de datalek de volgende keer te voorkomen. Ook kan het zijn dat hard- en software vervangen moeten worden. Hier zitten hoge kosten aan verbonden

Immateriële schade wordt voornamelijk geleden in de vorm van bijvoorbeeld reputatieschade of aantasting van een goede naam. En is lastiger uit te drukken in geld?

Bij de meeste verzekeraars worden beide soorten schade verzekerd Materiele schade is vrij makkelijk te bepalen. De kosten die voortvloeien uit een cyberaanval worden bijvoorbeeld verzekerd, en ook de schade die wordt geleden wanneer een bedrijf schade lijdt doordat ze geen werkzaamheden voort kunnen zetten door de cyberaanval worden vergoed. Bij deze kosten kan gedacht worden aan bijvoorbeeld werkonderbrekingen, verloren gegevens en financiële verliezen door netwerkstoringen. Voor immateriële schade is er op een andere manier sprake van verzekering. Er wordt bijvoorbeeld vaak hulp aangeboden door middel van een expert die de gegevensinbreuk of een vermoedelijke gegevensinbreuk voor de organisatie onderzoekt en beperkt. Ook wordt bijvoorbeeld een expert ingeschakeld die de reputatie van de organisatie beschermt.

Soorten verzekeringen

Wanneer gekeken wordt naar cyberverzekering worden er meerdere termen gebruik. Zo komen voornamelijk cyberverzekering, cybercrimeverzekering en cyberriskverzekering veel voor. Ondanks dat deze termen erg veel op elkaar lijken, zijn ze niet exact aan elkaar.

Een cyberverzekering is een overkoepelende term. Hier wordt dan gepraat over verzekeringen die te maken hebben met cyber. Een cybercrimeverzekering beschermt tegen cybercriminaliteit. Dat betekend dat je gedekt bent wanneer je als onderneming te maken krijgt met een computervirus zoals ransomware. Ook wordt de aansprakelijkheid tegenover slachtoffers vaak gedekt. Over het algemeen is de schade door cybercrime het belangrijkste cyberrisico. Vandaar dat de term cybercrimeverzekering breed gebruikt wordt. Een cyberriskverzekering is er voor bedoeld om risico’s te dekken die samenhangen met het gebruik van computers en internet. Deze verzekeringen hebben vaak wel de nadruk sterk op de risico’s van cybercrime, maar dekken ook voor andere risico’s zoals een kapotte computer of cyberpesten. Deze term is dus niet enkel specifiek op cybercrime gefocust.

Hoe werkt een cyberverzekering dan? In de meeste gevallen kan bij een cyberverzekering worden gerekend op:

Hulp van cybersecurityspecialisten: zij sporen de oorzaak van het cyberincident op en helpen u bij het herstellen van de schade. Bijvoorbeeld als cybercriminelen hebben ingebroken in uw computersysteem of als uw website platligt door een DDoS-aanval.
Juridische en communicatieve ondersteuning: denk bijvoorbeeld aan juridische ondersteuning als u aangifte doet van diefstal van persoonlijke gegevens. Vervolgens kan communicatieve ondersteuning u helpen als u klanten moet informeren over deze diefstal.
Vergoeding van de schade als herstel niet mogelijk is: denk bijvoorbeeld aan het vervangen van een beschadigde website of vergoeding van juridische kosten voor verweer als u te maken krijgt met een aansprakelijkheidsclaim. Ook krijgt u een financiële vergoeding als uw bedrijf tot stilstand komt door een cyberaanval.

Er zijn natuurlijk ook een aantal uitzonderingen, waarbij een verzekeraar geen schade zal vergoeden. Denk bijvoorbeeld aan:

Wanneer de verzekerde opzettelijk iets of niets doet,
Een verzekerde schuld heeft aan de schade
Als er niet goed wordt samengewerkt met de toezichthouder
Als er niet wordt gehouden aan de preventieafspraken. Onder preventieafspraken vallen bijvoorbeeld:
- Een wachtwoordbeleid waar iedere gebruiker een eigen account heeft,
- Gebruik maken van anti-virus, anti-spyware-, en firewallsoftware die automatisch worden geupdate.
- Er worden wekelijks back-ups gemaakt van digitale data op essentiële computersystemen.

Wat betekent dit voor de organisatie?

Een cyberverzekering is altijd goed om af te sluiten, maar het is belangrijk om er als organisatie op voorbereid te zijn dat zij slachtoffer kunnen worden van een cyberaanval en hier dus ook maatregelen voor nemen. Buiten de verplichte vereisten zijn er een aantal maatregelen die getroffen kunnen worden om extra beveiligd te zijn. Voorkomen is immers beter dan genezen.

Een aantal maatregelen die getroffen kunnen worden zijn bijvoorbeeld het kijken naar multi-factorauthenticatie (MFA), bewustwording onder werknemers creëren en ook veel check-ups doen. Er bestaan veel verschillende manieren van MFA. Zo bestaan er bijvoorbeeld fysieke tokens, er kan gebruik worden gemaakt van een One Time Password (OTP) en dit kan in combinatie gedaan worden met SMS of een token. Deze verschillende manieren hebben ook allemaal verschillende levels van bescherming. Het is dus belangrijk om te kijken hoeveel gebruikers er zijn, maar ook welke gegevens verwerkt worden. Het is voor een bedrijf van 5 personen bijvoorbeeld minder snel nodig om de allernieuwste technologie te hebben. Beveiliging is veel beter te overzien en de boodschap van bewustwording is veel makkelijker over te brengen. In een bedrijf waar 1000 mensen aan het werk zijn is dat natuurlijk veel anders. De kans dat bij één van deze 1000 personen iets fout gaat is veel groter. Dit vereist dus ook meer hightech beveiliging.

Zorg

In deze sector komen phishing en ransomware voornamelijk voor. Dit geldt voor de zorginstellingen zelf, maar ook voor de leveranciers van de zorginstellingen. De zorginstellingen zijn grote organisaties, met veel werknemers en erg veel (bijzondere) persoonsgegevens. Het is voor een zorginstelling dus essentieel om goed beveiligd te zijn. Een verzekering kan de geleden schade natuurlijk dekken, maar het zou in principe niet voor moeten kunnen komen dat de persoonsgegevens van bijvoorbeeld patiënten gelekt worden.

Voor de zorgsector zou het dus verstandig zijn extra beveiliging raad te plegen. Hierbij is het van belang om werknemers alert te houden, maar deze aanvallen gaan voorbij de mens. Om cyberaanvallen op afstand te kunnen houden is het van belang alle systemen up-to-date te houden. Denk hierbij aan besturingssystemen, mailprogramma’s, webbrowsers en websites. Updates zijn belangrijk omdat deze altijd beschikken over de nieuwste en veiligste versie van je software. Als er geen updates gedaan worden, kan het zijn dat er wordt gewerkt met software waar fouten en kwetsbaarheden in zitten. Deze sporen de hackers op binnen no-time.

Overheid

Bij overheid is de grootste bedreiging spionage en ook ransomware. Maar wat kun je doen tegen spionage? Een verzekering helpt natuurlijk tegen geleden schade, maar niet tegen informatie die verspreid ook al moest deze informatie geheim blijven. Wat kun je nog meer doen? Het helpt al om je bewust te zijn van het feit dat spionage bestaat. Als je een vreemd gevoel krijgt bij een contact is het altijd verstandig om je terughoudend op te stellen en dit 7 te melden bij de afdeling veiligheid van je werkgever. Door signalen te herkennen kun je spionage voor zijn. Vermoed je spionage door een inlichtingendienst? Meld dit dan bij je werkgever en de Algemene Inlichtingen en Veiligheidsdienst (AIVD): aivd.nl/contact. Hiernaast is het ook in deze situatie belangrijk om apparatuur te beschermen. Wees alert op phishing mails, installeer beveiligingssoftware en houd deze up-to-date.

MKB

Een cyberverzekering zal voor veel Mkb’ers erg behulpzaam zijn. Bij MKB bedrijven is ook phishing de grootste bedreiging. Onder Mkb’ers vallen veel kleine bedrijven. Vaak wordt hier dus geen hoeveelheid data verwerkt als hoe dat bij de sector overheid of zorg gedaan wordt. Ook zijn de gegevens minder gevoelig. Maar vaak werken Mkb’ers wel voor grotere organisaties, en hier kunnen wel grotere problemen worden veroorzaakt. Deze Mkb’ers hebben de middelen niet om de organisatie goed te beschermen, zoals zorginstellingen dat bijvoorbeeld hebben. Doordat zij vaak deel maken van grotere organisaties, zijn ze vaak doelwit. Dit komt doordat ze vaak de zwakste schakel zijn in een proces. Het is dus ook voor kleine bedrijven dat ze hun bescherming goed op orde hebben. Vaak wordt er geen MFA ingesteld, omdat er gedacht wordt dat dit vast niet nodig zal zijn. Maar niks is minder waar. Juist deze bedrijven kunnen gauw doelwit worden.

Een aantal maatregelen die relevant zijn voor Mkb’ers zijn trainingen die kunnen worden gehouden voor het personeel om bewustwording te creëren, technische maatregelen zoals implementatie van multi-factorauthenticatie en het organiseren van phishingtests. Medewerkers informeren over het belang van cybersecurity en het opstellen van protocollen zijn ook erg belangrijk.

Conclusie

Na te hebben gekeken wat bedreigingen zijn voor verschillende sectoren, welke verzekeringen er zijn, waar deze tegen beschermen en wat voor maatregelen er verder nog getroffen kunnen worden kan er vooral worden geconcludeerd dat een organisatie altijd up-to-date moet zijn en altijd alert moet blijven. Een cyberverzekering is zeker een goede aanvulling op bescherming tegen cybercrime. Geleden schade kan vergoed worden, of dit nou om materiele of immateriële schade gaat. Wel zitten er een aantal haken en ogen aan, en vereisten waar aan voldaan moet worden om verzekerd te zijn. Het is belangrijk verzekeringen te vergelijken en te kijken waar jouw organisatie het beste bij aansluit. De ene verzekering kan veel breder verzekeren dan een andere verzekering doet. Maar buiten de verzekering en de vereisten waar aan moet worden voldaan, is het natuurlijk van belang een cyberaanval ten alle tijden te kunnen voorkomen. De meest voorkomende zwaktes zijn matige beveiliging, en niet genoeg bewustzijn van de gevaren onder werknemers. Kijk dus goed naar beveiligingssystemen en welke het meest passend zijn, en op wat voor manier bewustwording kan worden gecreëerd binnen de organisatie. Investeren in beveiliging zal uiteindelijk veel efficiënter zijn, en zo kan cybercrime voorkomen worden, in plaats van genezen.

Ook interessant:

Lees meer

#CybersecurityHackers en hacks

12 tips om je als hotel en gast te wapenen tegen hackers vanuit Booking.com

Hackers hebben een paar maanden geleden via Booking.com inloggegevens van hotels buitgemaakt. Vervolgens probeerden zij gasten te bestelen met phishingmails (met valse betalingslink), blijkt uit een artikel van BNR. Mogelijk zijn duizenden hotels doelwit!

Lees meer

#Cybersecurity

Aan de slag met cybersecurity tijdens de Cyber Security Maand

Elk jaar staat de maand oktober in het teken van cybersecurity. De gehele maand vragen diverse organisaties, wereldwijd, aandacht voor...

Naam	Aanbieder	Doel	Vervaldatum
CookieConsent	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 jaar

Naam	Aanbieder	Doel	Vervaldatum
_ga	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	2 jaar
_gat	privacy1.nl	Gebruikt door Google Analytics om verzoeksnelheid te vertragen.	1 dag
_gid	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 dag
collect	google-analytics.com	Gebruikt om gegevens naar Google Analytics te versturen over het apparaat en het gedrag van de bezoeker.	Sessie