‘Verzekeren tegen cyberrisico's geen overbodige luxe’
28 juli 2015 -
Onvoorziene gebeurtenissen als een brand of inbraak kunnen grote schade met zich meebrengen. Niet voor niets zijn veel organisaties dan ook goed verzekerd tegen dit soort pech.
Maar wat als een hacker tonnen schade bezorgt? Volgens Dave Maasland, Managing Director van ESET Nederland, staan organisaties te weinig stil bij dit gevaar. "Het is de hoogste tijd dat organisaties zich ook tegen deze risico's indekken."
Goed functionerende IT
Een goed functionerende IT is voor de meeste organisaties van groot belang voor de continuïteit. De fysieke hardware zelf is daarbij steeds minder van belang. "Dankzij de cloud zijn veel bedrijven weer snel up & running na brand of diefstal. En die cloud wordt steeds populairder. Toch is dat precies waar de meeste organisaties zich nog tegen verzekeren: schade veroorzaakt door fysieke pech," legt Maasland uit. "Bovendien zijn de kosten van cyberrisico's moeilijk in te schatten. Veel bedrijven onderschatten bijvoorbeeld wat een forensisch onderzoek na een hack kost. Je zou denken dat door de vele verhalen en harde cijfers die in de media verschijnen organisaties wel wakker zijn geschud. Maar niets is minder waar, de koppen worden veelal in het zand gestoken."
Ondertussen groeit het gevaar van een digitale inbraak, waarvan het herstel vaak veel lastiger is en de gevolgen voor de continuïteit groter. "Om nog maar te zwijgen over de gevolgen van privacy gevoelige gegevens die openbaar worden. Op de traditionele verzekeraars hoeven organisaties niet te rekenen, die vergoeden dit soort kosten doorgaans niet of nauwelijks." Volgens Maasland is de situatie dan ook niet lang houdbaar. "Binnen vijf jaar heeft vrijwel iedere organisatie, klein of groot, een cyberrisicoverzekering. Daarvan ben ik overtuigd. IT en data zijn simpelweg te belangrijk geworden. Het is de motor achter innovatie, de motor achter continuïteit, het schept inzicht en creëert business. Maar dreigingen nemen toe, financiële risico's kunt u niet meer aan het toeval overlaten."
Eerste verzekeringen
Gelukkig zijn de eerste cyberrisicoverzekeringen in Nederland gesignaleerd. "Sommige ontzorgen daarbij de organisatie geheel, door bijvoorbeeld ook voor de nodige veiligheidsvoorzieningen te zorgen," legt Maasland uit.
Wat zijn cyberrisico's?
Cyberrisico's zijn er in verschillende varianten. Het meest voor de hand ligt natuurlijk schade veroorzaakt door hackers en virussen. Denk daarbij bijvoorbeeld aan de DDOS-aanvallen, waar niet alleen banken, maar steeds meer organisaties mee kampen. "Hackers kunnen systemen en daarmee de organisatie volledig lamleggen en daarbij gegevens buitmaken."
Maar data belandt ook vaak genoeg op straat door menselijke fouten of zelfs opzettelijke acties. Uw personeel is vaak een zwakke schakel als het gaat om informatiebeveiliging. Zo lekte een verbolgen medewerker van de Britse supermarktreus Morissons bewust de gegevens van 100.000 personeelsleden. "Daar is geen firewall of security suite tegen opgewassen," zegt Maasland.
Traditionele verzekeringen schieten tekort
De kosten voor zo'n data breach zijn torenhoog: volgens een Amerikaans onderzoek ligt de gemiddelde schade op 3,8 miljoen dollar. En daar komen volgend jaar nog de kosten van een eventuele boete voor het datalek bovenop. Ondertussen gaat het meeste verzekeringsgeld nog altijd richting traditionele verzekeringen.
Maar traditionele verzekeringsproducten hebben deze digitale risico's niet of nauwelijks afgedekt. Zo biedt een standaard aansprakelijkheidsverzekering doorgaans geen dekking bij schade aan derden veroorzaakt door cyberrisico's. "Organisaties kunnen daardoor met een flinke schadepost blijven zitten. Zo'n traditionele aansprakelijkheidsverzekering geeft hen een vals gevoel van veiligheid."
Goede voorbereiding
Moeten organisaties nu dan maar halsoverkop aan een cyberrisicoverzekering? Zo eenvoudig is het niet. Een weloverwogen keuze is volgens Maasland belangrijk, wil een organisatie niet een kat in de zak kopen. "Let goed op de voorwaarden van zo'n verzekering. Vergoed de verzekeraar bijvoorbeeld ook met terugwerkende kracht de schade van inbraken die eerder zijn gepleegd dan de start van de verzekering? Ook zullen maar weinig verzekeraars schade vergoeden bij ernstige nalatigheid. Maar wat verstaat de verzekeraar daar precies onder? Een goede vergelijking voorkomt nare verrassingen." Deze checklist kan u daarbij helpen.
Niet achterover leunen
Overigens is het niet zo dat organisaties met zo'n verzekering achterover kunnen leunen. "Was dat maar zo," licht Maasland toe. "Maar wat te denken van de misgelopen inkomsten door imagoschade. Er is geen enkele verzekering, ook geen cyberrisicoverzekering, die daartegen beschermt. Een goede IT-security blijft van het allergrootste belang."
Nog veel organisaties onderschatten de mogelijke financiële schade van cyberrisico's. Dat terwijl zij doorgaans voor fysieke zaken meer dan voldoende zijn ingedekt. Die situatie is volgens Maasland niet meer van deze tijd. "Wake up, ondernemend Nederland, voor het te laat is!"
