Volg Software Zaken

Digital security: Heeft een cyberverzekering zin?

| Sieuwert van Otterloo | Security

Veel organisaties zijn terecht bezorgd over allerlei digitale dreigingen en aanvallen. Schadeverzekeringsmaatschappijen zijn met hun tijd meegegaan en de computerverzekering van weleer evolueerde tot dekkingen tegen computercriminaliteit. Maar is het zinvol om een zogenoemde cyberverzekering af te sluiten?

Boek digital security

Dit artikel is een iets kortere versie van een hoofdstuk in het boek “Multidisciplinaire aspecten van digital security” van uitgeverij deLex. In dit boek schrijven meerdere experts ieder een hoofdstuk over een actueel onderwerp. In februari 2022 is dit boek over digitale informatiebeveiliging verschenen. Eerdere boeken uit deze gingen over digitaal recht, kunstmatige intelligentie en Covid-apps.

Wat is een cyberverzekering

Een cyberverzekering is een schadeverzekering die de schade vergoedt die ontstaat door hacks, systeeminbraak, dataverlies en andere vormen van cybercrime. Een cyberverzekering dekt zowel schade door ongelukken als schade door aanvallen door criminelen. Cijfers uit het Cyber Claims report 2021 van verzekeraar Marsh tonen dat het aantal claims door ongelukken nog maar 20% van het geheel is, en 80% van de claims over cybercrime gaan.
Goed beschouwd is cybercrimeverzekering dan ook een passende benaming, aangezien de verzekering hier het meest op is gericht. Veel bedrijven zijn op zoek naar manieren om zich te verdedigen tegen digitale criminaliteit, onder andere vanwege een aantal in het nieuws gekomen aanvallen. Met name ransomware-aanvallen komen in het nieuws vanwege het aantal aanvallen en de aanzienlijke schade die de aanval brengt. Denk aan de aanval op Universiteit Maastricht in 2019 of de cyberaanval op NWO in 2021. De aanvallen zijn niet alleen gericht op grote organisaties. Het CBS bericht in de cybersecuritymonitor 2020 dat tussen de 5 en 10% van de bedrijven te maken heeft gehad met incidenten door aanval van buitenaf. In de illustratie hieronder is te zien dat dit voor alle gemeten sectoren opgaat.

Veel van de aanvallen betreft infectie met ransomware. Het gaat hier in feite om afpersing. Criminelen versleutelen bestanden en vragen losgeld om de bestanden te ontsleutelen. In sommige gevallen dreigen ze ook met openbaarmaking als er geen losgeld betaald wordt. Dit soort aanvallen leveren direct geld op voor criminele organisaties. Ook is er sprake van een relatief laag risico voor de criminelen omdat het op afstand vanuit een ander land gedaan kan worden. Veel organisaties zijn daarom terecht ongerust over het risico van ransomware. Het is dan ook geen vreemde gedachte om de mogelijkheden voor verzekering te onderzoeken. Veel verzekeringsmaatschappijen bieden daarom een cyberverzekering aan.

Voordelen van de cyberverzekering

De cyberverzekering is een schadeverzekering, net zoals de opstal- of inboedelverzekering. De meesten zullen bekend zijn met de algemene kenmerken van een schadeverzekering: er is sprake van premie, die gebaseerd is op gekozen dekking, omvang bedrijf en een eventueel eigen risico. Het hebben van een schadeverzekering geeft veel mensen gemoedsrust. In theorie verkleint een verzekering het risico op een bepaalde gebeurtenis niet: er wordt alleen financiële stress weggenomen. In de praktijk heeft de cyberverzekering een handvol voordelen:

  • Voorafgaand aan het sluiten van de verzekering wordt een risicoscan gedaan. Dit kan nieuwe inzichten en praktische adviezen opleveren. Onderwerpen die in een scan worden meegenomen zijn bijvoorbeeld beveiliging van websites, back-up-beleid en bewustwording van medewerkers. Wie dit nog niet geregeld heeft, heeft veel aan dit advies.
  • Een verzekeraar kan bepaalde eisen stellen voor de verzekering aan de beveiliging. De verzekering fungeert dan ook als een stok achter de deur om aan de eisen te blijven voldoen.
  • Bij het reageren op een digitaal incident is snelheid essentieel. De meeste middelgrote en kleine bedrijven hebben geen beveiligingsspecialisten in dienst, en weten ook niet wie de beste specialisten zijn bij een cyberaanval. Het zoeken naar de beste hulp kost tijd. Verzekeraars hebben al contacten met security-specialisten die snel onderzoek kunnen doen of kunnen onderhandelen met de gijzelnemers.
  • Het hebben van een verzekering voor een grote schade is soms een eis van bepaalde opdrachtgevers. Ook kan het helpen om de bedrijfscontinuïteit te garanderen in het geval van een incident, of onrust bij klanten en personeel wegnemen.

Nadelen van de cyberverzekering

Een voor de hand liggend nadeel van de cyberverzekering zijn de kosten. Een cybercrime-verzekering kost geld, en de premies zijn volgens internationale experts verhoogd of de voorwaarden zijn aangescherpt doordat het aantal aanvallen en de schade per aanval zijn gestegen. Naast dit voor de hand liggende nadeel zijn er echter ook andere nadelen, die specifiek voor cybercrime-verzekeringen gelden:

  • In de kleine lettertjes van verzekeringen kunnen bepaalde omstandigheden worden uitgesloten. Bij veel verzekeringen geldt dat schade door ‘oorlog’ en ‘terrorisme’ niet worden vergoed. Een grootschalige cyberaanval, zoals de notPetya-aanval in 2017, is door onder andere Zurich International als ‘oorlog’ gezien waardoor claims zijn afgewezen.
  • Een groot deel van de schade bij cybercrime-incidenten is reputatieschade die moeilijk aantoonbaar is. Bij een grootschalig datalek zal een organisatie alle betrokken mensen moeten informeren dat er een hack heeft plaatsgevonden, en zal de organisatie ook negatief in het nieuws komen. Dit heeft invloed op de reputatie en dus op toekomstige omzet. Deze schade is indirect, niet aantoonbaar en wordt dus niet vergoed. Voorkomen is dus veel beter dan genezen of claimen. Wie echt schade wil voorkomen, moet dus preventieve maatregelen nemen en niet vertrouwen op een verzekering.
  • Verzekeringen worden vaak gesloten om het ‘losgeld’ dat cybercriminelen vragen te kunnen betalen. Het betalen van losgeld is echter ethisch en moreel problematisch. Het is voor de lange termijn beter als bedrijven geen losgeld betalen, maar dan heb je dus ook weinig aan de dekking van de verzekering.

Betaal geen losgeld

Het laatste punt vraagt om een toelichting. Cybercrime is niet nieuw, maar heeft wel sinds 2015 een grote vlucht genomen. Voor 2015 betrof computercriminaliteit vaak vermogensdelicten, zoals verduistering en diefstal (ook door het eigen personeel), en sabotage, zoals een DDOS-aanval waardoor systemen uitvallen. Sabotage en vandalisme veroorzaken veel schade, maar leveren de daders geen financieel gewin op. Digitale afpersing kwam weinig voor omdat hackers dan hun bankgegevens moeten doorgeven om betaald te worden. Hierdoor zijn zij niet meer anoniem. Sinds 2015 kunnen cybercriminelen echter anoniem betaald worden via Bitcoin en andere virtuele valuta, en is er een ransomware-industrie ontstaan. De huidige golf aan ransomware-aanvallen, is dus een gevolg van het besluit van organisaties om losgeld te betalen: zolang het geld oplevert, zullen organisaties ermee doorgaan. Het betalen van losgeld houdt het probleem in stand. De Nederlandse overheid overweegt om het betalen van losgeld te verbieden.

Conclusie

Een cyberverzekering  is niet de meest effectieve maatregel tegen ransomware en andere aanvallen. Sterker nog, de verzekering voorkomt aanvallen en schade niet. Organisaties moeten een plan maken om cyberaanvallen te voorkomen, dat gebaseerd is op technische en organisatorische maatregelen. Dit plan kan bijvoorbeeld gebaseerd zijn op ISO 27001 en de concrete maatregelen uit deze standaard implementeren. Pas nadat alle basismaatregelen, zoals wachtwoordbeleid, tweefactor-authenticatie, backups, firewalls, securityscans en event  logging zijn genomen, heeft het zin om de dekking en kosten van een cyberverzekering te onderzoeken. Hiervoor zal men meerdere offertes moeten aanvragen, waarna men de dekking, eigen risico en premie moet vergelijken. Een voordeel van deze aanvraag is dat uit de vragen van de verzekering nieuwe acties voor digitaal veiligheidsbeleid ontstaan. Het aanvragen van een verzekering kan dus wel een een nuttige toevoeging zijn op andere maatregelen.

Bron afbeelding: Hassan Pasha via unsplash

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.