Cyber security verzekering

Er zijn tegenwoordig verzekeringen tegen cyberrisico's. Het ondersteunt bedrijven in het ergste geval en bij concrete schade met de expertise van de IT-beveiligingsspecialisten. Net als bij de brandverzekering geldt de regel: sluit een verzekering af voordat de brand onder het dak is.

Het juiste moment

Net als bij de brandverzekering wordt ook bij acute problemen een cyber security verzekering afgesloten. Op verzoek zullen experts het risico beoordelen van de verzekeringnemer en voeren ze risico-engineering uit om het cyber gevarenpotentieel te bepalen en te helpen bij de risicopreventie. Op basis van deze bevindingen worden de verzekeringsdekking en -premie bepaald.

Risico: winstderving

Vaak zijn bedrijven zich niet bewust van het groeiende cyberrisico: een enkele hacker aanval kan leiden tot een enorm verlies aan inkomsten. Zo kan een ransomware-aanval, waarbij de hacker gegevens versleutelt, het hele inlogsysteem blokkeren. Dan komen alle bedrijfsactiviteiten tot stilstand - van de productie tot de online shop. Of de infrastructuur als een sleutelsysteem werkt niet meer en de hotelgasten worden geconfronteerd met gesloten kamerdeuren. De winstderving als gevolg van denial-of-service-aanvallen leidt ook elk jaar tot aanzienlijke financiële verliezen.

Hoe werkt een cyber security verzekering?

Wie een verzekering afsluit, moet rekening houden met de volgende aspecten:

1. De wet: De onderneming moet voldoen aan de wettelijke minimumeisen.
2. Zelfbescherming: Het bedrijf moet zorgen voor adequate zelfbescherming. Preventieve beschermingsmaatregelen (bijv. firewalls, veiligheidsmonitoring, kwetsbaarheidsscans, malwarebescherming, regelmatige systeempatches, enz.)
   • Veiligheidsbewustzijn trainingen voor medewerkers.
   • Scenario voor herstelmaatregelen (bijv. geteste processen voor backup/restore)
   • Financiële reserves
3. De verzekering: Het bedrijf verzekert zich tegen de onvoorziene cyberaanval (niet tegen het gebrek aan zelfbescherming) en moet haar contractuele verplichtingen met de verzekeringsmaatschappij nakomen. Dit zijn zogenaamde verplichtingen zoals het regelmatig maken van back-ups van gegevens, het installeren van anti-malware software en andere beschermingsmechanismen. Bedrijven moeten zich ervan bewust zijn dat een verzekering geen vervanging is voor ontbrekende zelfbescherming.

Risico-engineering

Risico-engineering laat zien hoe robuust de zelfbescherming van een bedrijf is. Zo kunnen preventieve maatregelen voorstellen om de IT-infrastructuur nog voor het afsluiten van de verzekering veiliger te maken. De risk engineering kan in opdracht van de verzekeringsmaatschappij of als veiligheidsaudit rechtstreeks bij de verzekeringnemer worden uitgevoerd.

Voor wie is een cyber security verzekering de moeite waard?

Het risico wordt vaak onderschat - net als de gevolgen zoals een verlies van zaken. Het risico neemt ook toe door de digitalisering; bijna elk bedrijfsproces is tegenwoordig IT-ondersteund. Nederland is een waardevol doelwit voor hackers, want er zijn hier veel financieel sterke kleine of middelgrote ondernemingen die de upgrade naar state-of-the-art IT-beveiliging hebben gemist en daardoor bijzonder kwetsbaar zijn. Denk aan de volgende gebieden:

• Overheidsinstanties zoals gemeenten
• Gezondheidszorg met artsen, ziekenhuizen en verpleeghuizen
• Metaal-, machine- en elektronica-industrie
• Adviseurs zoals juristen, planners/architecten, ingenieurs
• Horeca
• Energie- en milieubescherming

Wil je ook jouw bedrijf of systeem verzekeren, valideren en kwetsbaarheden in kaart brengen? Om deze vervolgens te versterken? Bekijk hier een overzicht met cyber security bedrijven die deze service aanbieden.