Beheer

IT beheer
Verzekering

Cybercrime? Daar kun je je tegen verzekeren

Schade door security-inbreuken, plus eventuele nalatigheidsboete, kan kostbaar zijn. Is verzekeren zinnig?

© Pixabay CC0 Public Domain
17 oktober 2014

De schade die cyberaanvallen een bedrijf kunnen toebrengen, kan enorm zijn. Daar kunnen in de toekomst nog boetes van de overheid bovenop komen. Gelukkig bieden enkele verzekeraars de mogelijkheid die risico’s te verzekeren. Wat houden die verzekeringen in, wat wordt gedekt en waar moet je aan voldoen om je tegen een redelijk tarief te verzekeren?

DDoS-aanvallen, gestolen wachtwoorden, chantage via internet. Cyberincidenten zijn sinds enkele jaren een realiteit. Een realiteit waarvan de financiële schade wereldwijd op meer dan 100 miljard euro wordt geschat. Bovendien komt er wetgeving aan die bedrijven verplicht inbreuken te melden, bijvoorbeeld de Europese Cyber Security richtlijn en de Meldplicht Datalekken in Nederland. Bij een inbreuk op die voorschriften kunnen hoge boetes worden opgelegd. Sinds enkele jaren zijn voor die financiële risico’s verzekeringen af te sluiten.Verzekeringsadviseur AON bijvoorbeeld biedt verzekeringen aan voor computercriminaliteit. Mark Buningh van AON: “Feitelijk is er nu één type verzekering dat door ongeveer tien verzekeraars wordt aangeboden en bij elke verzekeraar ongeveer dezelfde kostencomponenten dekt.” De gedekte kosten zijn:

  • Aansprakelijkheid voor schade aan derden, doordat hun gegevens van jou zijn gestolen of beschadigd.
  • Boetes.
  • Crisismanagement. Vergoeding voor bijvoorbeeld incidentrespons, de inzet van pr-adviseurs, juridische adviseurs, experts voor forensisch onderzoek. “De ervaring leert dat wie een aanval of incident goed uitlegt aan de media niet noodzakelijk grote schade aan zijn imago hoeft te lijden. Dan is pr-advies erg nuttig”, zegt Buningh. Daardoor hoeft de verzekeraar minder schade te vergoeden, want die is ook minder.
  • Reconstructiekosten. Kosten voor het herstel als er gegevens zijn beschadigd of verloren gegaan.
  • Afpersing, bijvoorbeeld in de vorm van ransomware.
  • Bedrijfsstilstand. Hierbij gaat het om vergoeding van gemiste nettowinst. Dit is vooral interessant voor bedrijven die voor hun omzet in grote mate afhankelijk zijn van ICT, zoals webwinkels.

De belangrijkste aanbieder van cybersecurityverzekeringen is momenteel Hiscox. Het bedrijf is bijna vier jaar actief op de Nederlandse markt. Yasin Chalabi, manager Professional Insurance & Data Risks bij Hiscox: “In de eerste jaren hadden we maar enkele klanten. We waren de eerste verzekeraar met cybersecurityverzekeringen en als de rest van de markt nog niet meegaat, is het moeilijk.

Nu is sprake van een positieve trend. Je ziet dat bedrijven kosten in het budget opnemen. We krijgen veel aanvragen en sluiten veel verzeke­ringen af, al kan de conversie beter. We schrijven nog geen omzet met zes nullen.

Ik verwacht een sterkere groei als met de komst van de Meldplicht Datalekken, waarbij boetes opgelegd kunnen worden tot 450.000 euro, het aantal meldingen stijgt. Het Cbp gaat uit van 60.000 meldingen per jaar.”

Dekkingselementen

De Data Risks by Hiscox-verzekering bestaat uit verschillende dekkingselementen, die immer in de verzekering zitten. Het is geen kwestie van modules die een klant wel of niet neemt. De gedekte kosten zijn hier:

  • Aansprakelijkheid bij inbreuken op de privacy. Bij een lek of een hack worden juridische kosten, schade aan derden, het melden bij toezichthouders en de verdediging gedekt.
  • Cyberaansprakelijkheid. Bescherming voor de verzekerde die aansprakelijk wordt gesteld voor smaad, laster, het verspreiden van virussen via e-mail, of schade die ontstaat doordat iemand uit jouw naam uitingen doet. Chalabi: “Ook als een hacker verantwoordelijk is voor een inbreuk, ben je aansprakelijk omdat die hacker dit heeft kunnen doen doordat de beveiliging niet op orde was.”
  • Eigen schade, kosten die worden gemaakt als er een inbreuk is geweest in de systemen. Dekking: Forensisch ICT-onderzoek, de kosten voor het melden van een data-inbreuk, juridische kosten, pr-kosten, kosten voor beantwoorden van vragen van slachtoffer – daar wordt vaak een callcenter voor in de arm genomen – en het monitoren van betaaltransacties.
  • Hackersschade. Kosten voor het herstel aan een site of netwerk en het herstel van alle elektronische gegevens worden gedekt.
  • Cyberafpersing. Dekking voor de kosten die voortvloeien uit de afpersing: experts om te onderhandelen en het losgeld dat mogelijk wordt betaald. Chalabi: “Hierbij moet je tussen twee kwaden kiezen; of principieel geen losgeld betalen of wel. Het laatste is meestal goedkoper dan verloren gegevens herstellen en de impact van reputatieschade wanneer de hacker de gegevens openbaar maakt.”
  • Cyberinkomstenderving. Bedrijven die veel online verkopen, kunnen het verlies van inkomen door een hack of andere digitale aanval dekken. Goed is aan te tonen dat en hoeveel omzet wordt gederfd doordat de systemen uit de lucht zijn.

Welke eisen worden aan de verzekerde gesteld?

AON kijkt naar verschillende aspecten voor het een klant accepteert. Buningh: “Bijvoorbeeld de omvang van het over te dragen risico. Daarbij wordt gekeken naar omzet, industrie, aantal medewerkers, het eigen risico en de gewenste dekkingsgraad. Bedrijven met een omzet tot 50 miljoen euro kunnen online een verzekering afsluiten. AON wil dit oprekken tot 100 miljoen euro. Gaat het om multinationals met meer dan 100 miljoen euro omzet, dan kijken we naar het schadeverleden, aspecten van de huidige beveiliging. Dan komt ook eenauditor langs om te bepalen wat de verzekerbaarheid is van de organisatie.”

De beveiliging moet wel op orde zijn. “Verzekeren is geen alternatief voor goed risicomanagement. Men denkt bijvoorbeeld dat de back-up goed geregeld is, maar als dan bij schade blijkt dat dat niet het geval was, wordt een deel van die schade niet vergoed”, zegt Buningh.

Niet elk verlies is verzekerbaar. Er zijn uitsluitingen bij nalatigheid – bijvoorbeeld in degelijk onderhoud – als ook bij opzet, strafbare feiten, onbevoegd of onrechtmatig verzamelde gegevens, licentievergoedingen of supercontractuele aansprakelijkheid zoals garantie- en vrijwaringsbedingen.

Buningh: “Wij realiseren ons dat je de boel niet 100 procent kunt dichttimmeren. De werkelijkheid is complex. Zelfs als je patchbeleid volledig up-to-date is, kan er 5 minuten later een nieuw lek misbruikt worden. Het is een mission impossible.

Daarom praten wij met klanten over de rol van risicomanagement als vangnet. In het verkeer kun je veiligheidsmaatregelen treffen als autogordels, toch blijft een aansprakelijkheidsverzekering nodig. In het digitaal verkeer is ook nooit 100 procent veiligheid te bereiken, een cyberverzekering is dan een goede aanvulling.”

Afhankelijk van omzet

Bij Hiscox hangen de eisen die de verzekeraar stelt af van de omzet van een bedrijf. “Blijft de omzet onder de 50 miljoen euro dan stellen we weinig beveiligingseisen”, zegt Chalabi van Hiscox. In die gevallen blijft het bij het gebruik van goede antivirussoftware, tijdig updaten, de aanwezigheid van een firewall. De dekking is maximaal 1 miljoen euro. De verzekering kan online worden aangevraagd. Wie een aanvraag doet voor de Data Risks-verzekering kan eerst gratis een risicoscan doen, een self assessment eigenlijk. Aan de hand van een lijst vragen over de beveiliging binnen de organisatie van de aanvrager wordt duidelijk wat niet goed is geregeld. “Dat hoef je niet te doen. Wij zien het als een service waarmee een klant zich realiseert dat het ook voor hemzelf niet goed is dat zijn beveiliging niet op orde is”, aldus Chalabi.

Organisaties met een omzet hoger dan 50 miljoen euro of die een hogere dekking dan 1 miljoen euro willen, moeten eerst een uitgebreider assessment doen die door een partner van Hiscox wordt uitgevoerd. Chalabi: “Wij kijken of er een bepaald beveiligingsniveau is, zoals goede antvirussoftware, tijdige updates, een firewall. Hoe is de awareness van de gebruikers, werken er mensen thuis en hoe is dat beveiligd? Is het bedrijf eerder gehackt? Hoeveel mensen hebben toegang tot de ICT, is BYOD gebruikelijk en hoe is dat beveiligd? Zaken als versleuteling van de gegevens werken bijvoorbeeld premieverlagend. Deze test is ook gratis.” Het maximaal verzekerde bedrag voor deze grotere organisaties is 15 miljoen euro.

Wat kost het?

De verzekering van AON is prepriced, voor klanten met een omzet tot 50 miljoen euro. Bij een dekking van 3 miljoen euro met een eigen risico van 5000 euro is de premie 4800 euro per jaar.

Bij Hiscox betaalt een organisatie met een omzet van meer dan 50 miljoen euro en een dekking van 1 miljoen euro per jaar 7300 euro. Een organisatie met een omzet van 5 miljoen euro betaalt minder dan 2000 euro premie. Een organisatie met een verzekerd bedrag van 250.000 euro betaalt een premie van 845 euro.

Hoe wordt de schade berekend?

Verzekeraars sturen eigen teams deskundigen voor forensisch onderzoek die bekijken wat de impact van de inbreuk is. Vervolgens wordt met een PR-team bepaald of onmiddellijk met nieuws naar buiten wordt getreden of dat dat later moet. Als de verzekerde het incident volgens een meldplicht moet melden, worden juristen ingeschakeld.

AON haakt aan bij bestaande risicotoleranties, zegt Buningh. Kwantitatief is dat deels te onderbouwen met schadestatistieken, maar die zijn heel weinig voorhanden voor cybersecurityschade. “Voor brandverzekeringen kun je terugvallen op 325 jaar ervaring, maar voor cyberverzekeringen maar vijf jaar. Bovendien houden veel organisaties het voor zich, dat ze zijn aangevallen.

Daarom baseren we ons ook op claims en simulaties bij het bepalen van de kans dat het aannemelijk is dat risico’s optreden, de verwachte schade, het cyberrisico. De risicofactoren zijn te complex om tot grote nauwkeurigheid te komen. We bouwen op de waarschijnlijkheid van het optreden van incidenten, de mogelijke impact en de frequentie. Het is niet statistisch uitgekristalliseerd maar uiteindelijk wel nuttig voor de klant. Als de BlackBerry van een medewerker verdwijnt is dat vervelend, maar is het de smartphone van de CEO dan zijn de risico’s op schade veel groter, omdat daar heel andere data in kunnen zitten.”

Ondanks deze onzekerheden is het toch goed om de mogelijke schades te onderzoeken, stelt Buningh. Het vergroot de bewustwording, waardoor de kans op schade kleiner is. Het wijst de bestuurder op zijn aansprakelijkheid, want als er straks een meldplicht is, word je aansprakelijk gesteld voor de schade.

Hiscox’ Chalabi: “De kosten van forensisch onderzoek en PR-teams zijn duidelijk en goed te berekenen. Gaat het puur om verlies van data dan moet je bewijzen welke data dat waren en hoe vaak ze gebruikt werden voor commerciële doeleinden. We zetten er geen prijs op van 2 tot 3 euro per file. Wij vergoeden de kosten die het gevolg zijn van het verlies van data. Dus bijvoorbeeld de kosten voor een creditcardmaatschappij om nieuwe creditcards uit te geven als creditcardgegevens zijn gestolen.”

Virtuele risico’s, echte schade

Het Verbond van Verzekeraars bracht vorig jaar een position paper uit: ‘Virtuele risico’s, echte schade’. De paper dient als handvat voor verzekeraars die zich op deze markt willen richten en vertelt verzekerden wat de risico’s zijn en wat er verzekerbaar is.

“Een nuttig document”, noemt een woordvoerder van het ministerie van Veiligheid en Justitie de paper. De komst van cybersecurityverzekeringen ziet het ministerie als een positieve ontwikkeling. “De verzekering kan een onderdeel zijn van een solide beveiligingsprogramma en een stimulans om de beveiliging te verbeteren. We moeten zien hoe de markt zich ontwikkelt op dit vlak.”

De Nederlandse overheid heeft geen actief stimuleringsbeleid zoals bijvoorbeeld in de VS. Dat lijkt het Verbond van Verzekeraars niet te deren. “Bemoeienis van de overheid om de markt te laten groeien lijkt me een verkeerde doelstelling, het gaat uiteindelijk om belangrijke veiligheidsissues. Dat is de kern”, zegt een woordvoerder. “In Nederland zijn er ook landelijke bewustwordingscampagnes waarin wij participeren zoals Alert Online van het Nationaal Cyber Security Centre.”

Nederland ICT

Ook branchevereniging Nederland ICT ziet dat cybersecurityverzekeringen kunnen fungeren als een financiële prikkel om het bewustzijn over ICT-beveiliging te vergroten in de bestuurskamer. “Als die markt groter is, is dat een goede stimulans en is tussenkomst van de overheid niet nodig om de cyberveiligheid te vergroten”, zegt Bart Pegge, beleidsmedewerker bij Nederland ICT.

De branchevereniging spreekt vaak met verzekeraars. Zo is een beroepsaansprakelijkheidsverzekering voor MKB-bedrijven in de sector tot stand gekomen met tussenpersoon AON en verzekeraar Hiscox. Pegge: “We zijn continu in gesprek met verzekeraars. Maar zaken in de ICT zijn lastig voor verzekeraars en je ziet ze worstelen om grip te krijgen op IT-producten.” Concrete adviezen over cybersecurityverzekeringen heeft de branche-vereniging niet.

‘Klanten eisen verzekering’

Een IT-dienstverlener die niet met naam en toenaam in het blad wil, was twee jaar geleden één van de eerste klanten van Hiscox. Het bedrijf sloot een beroepsaansprakelijkheidsverzekering inclusief volledige Data Risks/Cyber-dekking, een verzekering die onder meer dataverlies dekt.

De dienstverlener rekent bijna alle energie- en waterbedrijven tot zijn klantenkring. Het bedrijf verzamelt gegevens die door bewerking geschikt gemaakt worden om de klantprocessen te voeden. Daarbij gaat het onder meer om data afkomstig van (mobiel) internet, telefonie en fysieke documentenstromen. Ook heeft het bedrijf een product ontwikkeld voor het plannen en managen van werkopdrachten, waarbij de oplossing werkzaamheden op fysieke locaties ondersteunt, onder meer met een app voor tablets en smartphones.

“Wij werken met privacygevoelige gegevens van klanten, die ook nog eens door meerdere partijen bewerkt worden, zoals drukkerijen en de post. Dan bestaat er een risico dat gegevens in verkeerde handen komen”, legt de contractmanager uit. “Sinds de implementatie van ISO 27001 stellen we elk jaar een risico-inventarisatie op om te zien welke risico’s met betrekking tot informatiebeveiliging afgedekt of beperkt moeten worden. Dat data van klanten oneigenlijk gebruikt zouden kunnen worden en mogelijk op straat zouden komen te liggen, bleek een van de grootste risico’s te zijn.”

Het bedrijf heeft een verzekering voor die risico’s. De contractmanager: “Wij zijn een relatief klein bedrijf en doen mee met aanbestedingen. Ons management zag al snel de noodzaak in van goede informatiebeveiliging en het verzekeren van bijbehorende risico’s. Energiebedrijven leggen dit ook aan ons op. Deze verzekering komt bij aanbestedingen dan ook goed van pas. Over commitment van het management omtrent het belang van informatiebeveiliging heb ik echt niet te klagen.”

Toen het bedrijf ruim twee jaar geleden op zoek ging naar een verzekeraar voor een beroepsaansprakelijkheidsverzekering die ook de risico’s van dataverlies dekte, vond het er welgeteld twee: Hiscox en Zürich. “Er zijn heel veel standaard aansprakelijkheidsverzekeringen. Als die al dataverlies dekten, sloten ze het gebruik van open source uit want ‘daar programmeren ook anderen aan’. Wij gebruiken juist open source in onze oplossingen.”

Het werd dus Hiscox. De contractmanager: “De dekking voor dataverlies is uitgebreid en omvat bijvoorbeeld ook dekking van kosten voor forensisch onderzoek. De oorzaak van het dataverlies is voor Hiscox ondergeschikt aan het adequaat oplossen van de gevolgen. Daar hebben we ook op geselecteerd. De premie die we betalen voor deze verzekering is niet laag. Dan willen we niet de hoofdprijs betalen voor een verzekering die niet uitkeert.”

Het bedrijf heeft in de twee jaar dat het verzekerd is, nog niet hoeven claimen. “Maar we zijn ons ervan bewust dat dit géén garantie voor de toekomst biedt.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!