Cybercriminaliteit is niets nieuws onder de zon. Denk maar aan ransomware, vandaag veel effectiever in het genereren van inkomsten dan ooit tevoren. Veel bedrijven sloten dan ook verzekeringen af om zich te beschermen tegen de grote financiële gevolgen ervan, wat de vraag tot ongekende hoogten deed stijgen en de sector erg volatiel maakt. Premies gaan omhoog, er zijn meer regels over wat wel en niet gedekt is en minimum normen voor bedrijven die zich willen verzekeren. Slecht nieuws voor bedrijven? Eigenlijk zijn deze ontwikkelingen positief.
Verzekeringen voor de digitale wereld
Mensen denken soms dat cyberbeveiliging iets mysterieus is. In realiteit lijken onze fysieke en digitale wereld veel meer op elkaar dan we denken. Dertig jaar geleden dachten bedrijven in de eerste plaats aan brand- en diefstalverzekeringen om hun kritieke bedrijfsmiddelen te beschermen. Vandaag zijn hun risico’s meer digitaal. Volgens het Veeam Data Protection Trends Report 2024 hadden drie van de vier organisaties voirg jaar ten minste één keer te maken met een ransomware-aanval. Hierbij werd één van die vier organisaties meer dan vier keer aangevallen.
Niet verwonderlijk sluiten steeds meer organisaties dan ook een cyberverzekering af. Van deze sector wordt dan ook verwacht dat hij 24% zal groeien tot een industrie ter waarde van meer dan 84 miljard dollar in 2030. Naarmate meer bedrijven een verzekering afsluiten en terugvorderen, stegen ook de kosten, net als de premies, gestaag, de afgelopen drie jaar. Verzekeraars willen cyberbescherming natuurlijk winstgevend houden. Daarom hanteren ze nu ook een uitgebreide risicobeoordeling, introduceren ze minimum veiligheidsnormen en bieden ze een lagere dekking.
Beloon criminelen niet
Cyberverzekering is een veel besproken onderwerp. De vraag van 1 miljoen: betalen of niet? Hoewel velen beweren dat verzekerde bedrijven minder snel losgeld betalen, blijkt uit een rapport van 2023 dat 77% van de losgelden door de verzekering is betaald. Iets wat verzekeraars meer en meer proberen te vermijden. Uit hetzelfde rapport blijkt dat voor 21% van de verzekeringsorganisaties ransomware nu expliciet is uitgesloten van hun polissen. We zien ook dat anderen het betalen van losgeld expliciet uitsluiten van hun polis. Ze dekken de kosten van downtime en schade, maar niet de kosten van afpersing.
Naar mijn mening is deze laatste aanpak de beste. Losgeld betalen is geen goed idee. En zeker niet iets waar verzekeringen voor dienen. Ethisch is het onverantwoord, misdaad wordt erdoor aangewekkerd en bovenal: het lost het probleem niet op, maar creërt nieuwe. Ransomware-bendes markeren bedrijven die betalen, zodat ze weten dat ze daar nog eens kunnen toeslaan. Of ze delen de informatie met andere bendes. Onderzoek bevestigt dat 80% van de bedrijven die losgeld betaalden een tweede keer is getroffen. Maar zelfs voordat het zover is, loopt het herstel na de betaling van losgeld zelden van een leien dakje. Het herstellen met de decryptiesleutels die door de aanvallers worden geleverd duurt lang. Vaak wordt er per sleutel ook extra losgeld gevraagd. En dan mag je al blij zijn dat de decryptie werkt. Eén op de vijf bedrijven slaagt er niet in zijn gegevens te herstellen, ook al betaalden ze losgeld.
De lat hoger leggen
Gelukkig sterft het betalen van losgeld via verzekeringsgeld langzaam uit. Maar er veranderde ondertussen nog meer. Bedrijven die een cyberverzekering willen, moeten steeds vaker voldoen aan minimumeisen op het vlak van beveiliging en weerbaarheid tegen ransomware. Dit kan door het gebruik van versleutelde en onveranderlijke back-ups (immutable) of het implementeren van best practice gegevensbeschermingsprincipes zoals least privilege (alleen toegang geven aan degenen die het nodig hebben) of vier ogen (eisen dat belangrijke wijzigingen of verzoeken door twee personen worden goedgekeurd). Sommige beleidsregels vragen ook dat bedrijven robuuste plannen hebben om de beschikbaarheid van systemen te garanderen, inclusief goed gedefinieerde herstelprocessen om downtime als gevolg van een ransomware-aanval te voorkomen. Immers, hoe langer een omgeving buiten werking is, hoe hoger de kosten van downtime en daarmee ook de verzekeringsclaimkosten.
Ondernemingen moeten dit alles zowieso op orde hebben. Zijn er, naast een verzekering, alleen gebrekkige processen voor gegevensbescherming en -herstel, dan is de uitbetaling door de verzekering slechts een doekje voor het bloeden. De invoering van minimumnormen is goed nieuws voor bedrijven. Niet alleen zullen hierdoor de kosten van de premies op de lange termijn dalen, de voorgeschreven beveiligingsprincipes zullen voor bedrijven waardevoller zijn dan eerst gedacht.
Een cyberverzekering is geen wondermiddel, maar een nuttig onderdeel van een bredere cyberweerbaarheidsstrategie. Het is goed beide te hebben. Kan je er maar één hebben, kies dan voor weerbaarheid. Iets waar verzekeraars het gelukkig mee eens zijn. Bedrijven zonder bescherming zijn immers niet winstgevend voor hen.
Bedrijven met een cyberverzekering evolueerden mee en beschikken nu ook over een sterke cyberweerbaarheid. Ze hebben een goed noodherstelplan en gebruiken de verzekering alleen om de impact van aanvallen en de kosten van downtime te beperken, terwijl ze herstellen via onveranderlijke back-ups.
Deze bedrijven zijn veel weerbaarder tegen ransomware dan bedrijven die met verzekeringsgeld naar het probleem gooien.
Dit is een ingezonden bijdrage van Edwin Weijdema, Field CTO & Lead Cybersecurity Technologist bij Veeam. Klik hier voor meer informatie over de oplossingen van het bedrijf.