Kan je je verzekeren tegen IT-problemen, hackers en andere cyberrisico’s? Wat kan zo’n cyberverzekering betekenen wanneer je al je data kwijt bent? ‘Ja’ en ‘veel’, blijkt het antwoord. Bovendien is zo’n verzekering best toegankelijk, ook voor kmo’s.
Je gaat er misschien vanuit dat grote enterprise-ondernemingen speciale cyberverzekeringen hebben waarmee ze zich beschermen tegen verlies door bijvoorbeeld IT-problemen. Nuttig, zeker in tijden van verregaande digitalisering, gecombineerd met malware als WannaCry en Not.Petya. Dergelijke verzekeringen bestaan inderdaad en ze zijn bovendien ook toegankelijk voor kmo’s.
Klassieke polissen
Techzine praat op de Cybersecurity Convention van Brewery of Ideas in Mechelen met Koen Druyts van CyberContract over cyberverzekeringen. Druyts benadrukt vooraleerst dat bestaande verzekeringen, zoals bijvoorbeeld voor bedrijfsonderbreking of aansprakelijkheid, cyberproblemen doorgaans niet dekken.
“De contracten zijn gebaseerd op gedateerde polissen en werden nooit opgesteld met digitale problemen in het achterhoofd”, verduidelijkt hij. De dekking van een traditionele verzekering is doorgaans erg goed afgebakend en van cyber is er geen sprake. “Er zijn voldoende voorbeelden van verzekeringsmaatchappijen die niet uitbetalen in geval van een cyberaanval”, weet Druyts.
Er zijn voldoende voorbeelden van verzekeringsmaatchappijen die niet uitbetalen in geval van een cyberaanval.
Een eerste alternatief is een uitbreiding van een bestaande polis, maar ook die blijft doorgaans redelijk beperkt zodat je er nog steeds alleen voor staat wanneer de impact van een probleem echt groot is. Denk bijvoorbeeld aan ransomware die je server en de back-ups lam legt. Om tegemoet te komen aan die realiteit ontwikkelden verzekeraars polissen, maar die zijn om goede reden niet erg talrijk.
Premies en risicospreiding bij cyberverzekeringen
“Er zijn twee grote problemen”, schetst Druyts. “Eerst en vooral bestaat er te weinig betrouwbare historische data om risicomodellen mee te ontwikkelen en premies te bepalen. Vervolgens is er geen sprake van een traditioneel gedistribueerd risico.”
Denk ter verduidelijking aan een brandverzekering. De kans dat een zaak brandschade oploopt, is eerst en vooral statistisch te berekenen. Vervolgens zorgen veel verzekerden ervoor dat het risico verdeeld wordt. Iedereen betaalt een premie, maar slechts een handvol klanten zullen op een bepaald moment ook aanspraak maken op een uitbetaling.
Niet zo in cyberland. Er zijn natuurlijk de risico’s die ondernemingen individueel treffen: een serverprobleem, een gericht hack, defecte apparatuur… Anderzijds zijn er de globale dreigingen zoals WannaCry. Wanneer zo’n malware-infectie uitbreidt, kan zowat iedereen tegelijkertijd slachtoffer worden. Een groot portfolio van verzekerden is in dat geval geen voordeel, maar een nadeel.
Druyts: “Die realiteit zorgt ervoor dat momenteel slechts een handvol heel grote spelers in de markt van de cyberverzekering durft te springen, aangezien enkel zij de middelen hebben.” Dat wil zeggen dat cyberverzekeringen wel degelijk bestaan. De volgende vraag is dan: wat wordt er precies gedekt?
Financiële dekking
De dekking gaat erg breed. Eerst en vooral is er aansprakelijkheid. Als data gestolen wordt en derden een schadevergoeding claimen, of een GDPR-boete boven je hoofd hangt, dan kan de cyberverzekering die dekken. In het geval van ransomware helpt de verzekering met crisimanagement en wordt in het uiterste geval zelfs het losgeld betaald. Ook diefstal wordt gedekt. Dat kan gaan om digitale munten, maar ook fysieke goederen. “Denk aan een hacker die door een datalek containers laat verdwijnen, of geld van een rekening laat wegsluizen”, aldus Druyts.
Als er een GDPR-boete boven je hoofd hangt, dan kan de verzekering die dekken.
Dan is er nog de terugbetaling van de kosten. Bij de ontdekking van een hack is typisch een forensisch onderzoek nodig en dat wordt doorgaans door externe partijen uitgevoerd. Dat kost een aardige duit en die wordt door de verzekering betaald.
Een zwaar hack zal gevolgen hebben op de winst, al dan niet direct. Een DDoS-aanval die een webshop ontoegankelijk maakt, een database die door een fout vertraagt waardoor online bestellen plots lang duurt en klanten afhaken: ook dergelijke zaken worden gecompenseerd.
Voorbij het geld: dataherstel
Dergelijke tegemoetkomingen zijn logisch, aangezien het om financiële compensatie gaat. Typisch aan een cyberincident zijn de meer verstrekkende gevolgen. Wat gebeurt er wanneer je data niet terugkrijgt? En wat met de onvermijdelijke reputatieschade? Ook daar biedt de cyberverzekering antwoord op.
Wat reputatieschade betreft geeft Druyts toe dat die moeilijk te berekenen valt. Daarom kijkt de verzekeraar typisch naar een marketingcampagne die de problemen moet beperken. De verzekeringsspecialist denkt aan een voorbeeld waarbij een optieker de gegevens van al zijn klanten kwijtspeelt na een incident. Iedere klant moet dus binnenkomen voor een nieuwe meting van de ogen. Dat kost tijd, niet alleen voor het bedrijf maar ook voor de klant. Een campagne waarbij klanten worden gecontacteerd om een afspraak te maken en daarbij een waardebon krijgen, kan op kosten van de verzekering gebeuren.
De verzekering kan in bovenstaand geval zelfs tussenbeide komen bij de aanwerving van extra personeel om de metingen uit te voeren. Het gaat dan om datarecompositie. Als gegevens onherroepelijk verdwenen zijn en er geen back-up beschikbaar is, krijgt de klant bijstand in het opnieuw aanmaken van de data. Bij een brillenwinkel kan het om metingen gaan, een architect kan hulp krijgen van een leger freelancers om plannen opnieuw te tekenen… Data opnieuw verzamelen is een duur fysiek proces, dat onder een traditionele dekking valt.
Tot slot zijn er meer industriële scenario’s, waarin niet data het belangrijkste goed is, maar fysieke machines, aangestuurd door SCADA-software. Legt een hack je fabriek lam, dan is dat een zaak voor de cyberverzekering, zelfs als er machines sneuvelen als gevolg van de aanval.
Wel aanvallen, geen vergissingen
Een cyberverzekering gaat dus ver en dekt problemen als gevolg van een cyberlek in de brede zin. Het is echter belangrijk dat de oorzaak van het probleem digitaal is. Wordt een medewerker gefopt door een phishingmail die afkomstig lijkt van de CEO en vraagt om de facturatiegegevens aan te passen, dan is dat een cyberincident. Geld dat verdwijnt doordat klanten plots betalen op rekening van een hacker in de plaats van het bedrijf in kwestie wordt gecompenseerd. Stuurt de medewerker per ongeluk zelf facturen uit met een verkeerd rekeningnummer, dan gaat het om een menselijke fout en die valt typisch niet onder de coverage.
Het is belangrijk dat de oorzaak van het probleem digitaal is.
“Een standaardpolis is best uitgebreid”, vat Druyts samen, “en dekt zowat alle gevolgen van een cyberincident. Het hoofddoel van de verzekering is om voor de continuïteit van een onderneming te zorgen.” Hoe ver de polis gaat, hangt natuurlijk af van de verzekerde onderneming in kwestie. Voor kmo’s ziet Druyts typisch covers van om en bij de 250.000 euro. De kost van de verzekering op jaarbasis is volgens hem vergelijkbaar met de verzekering van twee bedrijfswagens. “Voor 3.000 euro koop je als kmo een adequate verzekering.”
Grotere impact dan brand
Voorkomen is natuurlijk beter dan genezen. Goede digitale beveiliging en een slim back-upbeleid kunnen al veel problemen oplossen. Dat er desalniettemin een verzekeringsmarkt verschijnt, is logisch. Een brandverzekering is vandaag standaard, ook al doet iedereen aan brandpreventie. Een kleine onderneming die veel digitaal doet, zal echter meer hinder ondervinden van verdwenen data dan van een afgebrand kantoor. Zolang gegevens bijvoorbeeld via de cloud toegankelijk zijn of iemand een fysieke back-up op locatie heeft, kan er verder gewerkt worden. Is het kantoor intact maar zijn de data weg, dan stopt het werk.