Het overkomt de besten. Per ongeluk ‘verkeerde’ informatie rondmailen, op een ‘foute’ link klikken. We worden steeds afhankelijker van IT en lopen daarmee een grotere kans om slachtoffer van een cyberincident te worden. Jhalmar de Vaal van Schouten Zekerheid gaat daarom in gesprek met drie verzekeraars over de impact, financiële gevolgen en oplossingen voor dit soort digitale risico’s.
Is het digitale risico het grootste ondernemersrisico?
Het antwoord was eensluidend. “Alle risico’s die de continuïteit van een onderneming in gevaar brengen, zijn even belangrijk.” Wel zijn digitale risico’s het meest complex en is hierover (nog) weinig bekend. Zo vroeg CHUBB ondernemers eens naar de meest kritische cyberrisico’s. Daar waar zij de cybercrimineel in algemene zin als grootste veroorzaker noemden, gaven hun IT-ers concreet patchmanagement, het installeren van updates, als dé grootste oorzaak van digitale risico’s aan.
Technische storingen of hacking van een website waarop producten worden verkocht, kunnen de continuïteit van een onderneming ernstig aantasten volgens Lars Springeling (AIG). Omdat dit type schades behoorlijk kunnen oplopen en steeds vaker voorkomen, vraagt Jhalmar de verzekeraars waarom veel ondernemers nu geen of een zéér beperkte dekking hebben.
“Bedrijven zijn in toenemende mate afhankelijk van IT, maar ondernemers zijn zich van de risico’s niet of onvoldoende bewust”, verklaart Zico van Rooijen (CNA Hardy) deze terughoudendheid. Daniël Jacobs (CHUBB) vult aan: “De onlangs in werking getreden Wet meldplicht datalekken brengt deze bewustwording echter versneld op gang en legt een grote verantwoordelijkheid bij organisaties neer. In het verleden konden zaken makkelijker in de doofpot worden gestopt, maar nu moeten gedupeerden over mogelijke nadelige gevolgen worden geïnformeerd. Ook kan sprake zijn van hoge aan-sprakelijkstellingen. Bijvoorbeeld bij het uitlekken van medische gegevens.”
Wat zijn de voordelen van een cyberpolis?
Een cyberpolis vergoedt de kosten voor het inzichtelijk maken en verhelpen van de calamiteit en de mogelijke aansprakelijkheid die daaruit voort kan vloeien. Jhalmar: “Evenzo belangrijk is dat verzekeraars een pallet aan dienstverleners aanbieden die de ondernemer bij een dergelijke calamiteit ondersteunen.” Daniël beaamt dat: “Wij helpen de klant zo snel mogelijk bij het concreet herstellen van zijn IT-systeem. Ook bieden wij callcenter-activiteiten of een responseservice aan om klanten van de gedupeerde ondernemer te informeren of op een andere manier van dienst te zijn. Alles om de continuïteit van de onderneming zo snel mogelijk te herstellen.”
Ook Zico benadrukt: “Aangezien de beleidsregels van de meld-plicht 62 pagina’s beslaan, is ook juridische ondersteuning geen overbodige luxe. Vaak zie je dat een ondernemer niet specifiek is voorbereid op een cyberincident waar het gaat om het opvolgen van deadlines, het informeren van stakeholders en de beschikbaarheid van IT-mensen. Actueel is ook dat bedrijven worden geconfronteerd met ransomware (een vorm van internetfraude). Daarbij worden systemen geblokkeerd en kan de sleutel worden verkregen via het betalen van een afkoopsom in bijvoorbeeld bitcoins. De services van verzekeraars zijn specifiek op deze incidenten afgestemd, met een 24/7-garantie.”
Van links naar rechts: Daniel Jacobs (CHUBB), Zico van Rooijen (CNA Hardy), Jhalmar de Vaal (Schouten Zekerheid) en Lars Springeling (AIG)
Is het noodzakelijk om een cyberpolis af te sluiten?
Vanwege de stijgende schadelast wordt het cyberrisico in de Verenigde Staten voor particulieren meestal standaard verzekerd. De verwachting is dat over tien jaar tachtig procent van de ondernemers een vorm van een cyberverzekering heeft. Jhalmar is het volledig met Lars eens dat ondernemers moeten weten wat hun meest kritische informatie is. Welke informatie over werknemers, processen, klanten of juist leveranciers absoluut niet op straat mag komen te liggen. “Doe dit door bijvoorbeeld een risicoanalyse te maken in samenwerking met je makelaar. De ondernemer kan vaak zelf al een aantal maatregelen treffen voor het waarborgen van de bedrijfscontinuïteit. Verzekeren is een optie, maar is niet altijd noodzakelijk.”
Ook Zico is deze mening toegedaan. “Op voorwaarde dat er goed geanalyseerd is en het een weloverwogen beslissing is om het risico niet te verzekeren, hoeft een verzekering in sommige gevallen niet per se noodzakelijk te zijn. Als ondernemer kun je een team van dienstverleners om je heen verzamelen en een incident-responseplan hebben waardoor je de risico’s volledig in eigen beheer kan tackelen. Als je kapitaalkrachtig bent, zou dit een oplossing kunnen zijn.”
Kun je digitale risico’s helemaal uitsluiten?
Digitale risico’s kennen twee kanten. De harde, IT-procesmatige kant en de zachte, menselijke kant. Lars ziet ook bij klanten van AIG procentueel veel schade door menselijk handelen ontstaan. “Denk aan het kwijtraken van een USB-stick of het door de drukte te laat updaten van software. Je kunt nog zulke goede IT en processen hebben, fouten door menselijk handelen kun je nooit helemaal voorkomen. Op de meeste cyberpolissen kan hiervoor een dekking worden ingekocht.” Een onterecht heersende opvatting is volgens hem ook dat veel schade veroorzaakt zou worden door cybercriminaliteit, maar ook menselijk handelen is een belangrijk component. “Omdat wij veel incidenten als gevolg van menselijk handelen zien langskomen, zoomen we vooral in op de menselijke component. We proberen erop te sturen dat processen en beveiligingen goed op orde moeten zijn en voor de ‘menselijke component’ bieden we trainingen aan.”
Bestaat er een beste polis?
Omdat de technologie sterk in ontwikkeling is, is ook de cyberpolis voortdurend aan verandering onderhevig. Ook zijn er diverse manieren mogelijk om het risico te verzekeren, bijvoorbeeld als een aanhangsel bij bestaande aansprakelijkheidsverzekeringen. Schouten Zekerheid houdt alle aanpassingen in de diverse cyberpolissen goed in de gaten, aldus Jhalmar. “Wij adviseren momenteel uitsluitend een aparte cyberpolis omdat die het meest compleet is en de klant daardoor meer zekerheid en duidelijkheid krijgt.”
Wat kost een cyberpolis?
Een cyberpolis laat zich qua premie moeilijk met andere verzekeringen vergelijken. Daniël: “De premie is sterk afhankelijk van zaken als het type bedrijf en de mate van beveiliging. Op basis van een ingevulde vragenlijst kan de verzekeraar het risico >inschatten en in overleg met de makelaar een eigen risico bepalen afhankelijk van de financiële draagkracht.”
“Een ondernemer moet dit afzetten tegen de kosten die hij bij een incident moet maken voor het inschakelen van specialisten, zoals een IT-er, jurist en/of andere specialisten”, vindt Lars. Zico noemt het kunnen budgetteren van een incident voor de wat grotere organisaties een belangrijk argument voor het afsluiten van een verzekering. “Instellingen met een verhoogd risico, bijvoorbeeld medische instellingen, voorkomen daarmee eventuele negatieve uitschieters in hun cashflow.”
Hoe ziet de digitale wereld er over 10 jaar uit?
Wat Schouten Zekerheid en de verzekeraars nu vooral zien, is dat de bewustwording van de ondernemer na een schade heel hard groeit. Jhalmar: “Wat natuurlijk niet het juiste uitgangspunt is. Bedrijven moeten zich de impact van een incident realiseren en zich bewust zijn van het reële risico dat zij lopen.” Zico ziet een grote diversiteit in de afnemers van cyberpolissen. “Dit loopt uiteen van centrale overheden en zorginstellingen tot productie- en IT-bedrijven.” Volgens alle deelnemers aan het gesprek heeft de bewustwording vooral tijd nodig. “Deze neemt echter zienderogen toe waardoor de risicobereidheid steeds beter kan worden ingeschat.”
Dit rondetafelgesprek is een onderdeel van onze Cybercriminaliteit-krant. In deze krant nemen we u mee in de wereld van de digitale risico's en vertellen wij u welke preventieve maatregelen u kunt nemen om uw risico's te beperken of voorkomen. Heeft u deze nog niet ontvangen? U kunt deze hier opvragen.
Publicatiedatum: 01 juli 2016