Nieuwssite Dark Reading zette op een rijtje welke vragen een organisatie zich eerst moet stellen, voordat ze zo’n cyber security-verzekering afsluit.
Algemeen management wordt zich er steeds beter van bewust dat cybercrime grote risico’s met zich meebrengt door de toename van het aantal aanvallen. En met de naderende komst van de Europese dataprivacywet wordt dat bewustzijn alleen maar sterker. Allied Market Research (AMR) schat in een onderzoek naar de wereldwijde markt voor cyber security-verzekeringen dat de omzet tot 2022 jaarlijks met 28 procent zal stijgen tot in totaal 28 miljard dollar. PwC houdt het op verdrievoudiging van de premie in de periode tussen 2015 en 2020 tot in totaal 7,5 miljard dollar.
1. Waar ben ik bang voor?
Zoek eerst uit welke schade met de verzekering gedekt moet worden. Dat gaat dan niet alleen om de schade op het gebied van IT als gevolg van een aanval. Er kunnen ook flinke kosten gemaakt worden voor PR-expertise om reputatieschade zo klein mogelijk te houden. Biedt deze verzekering hier ook dekking voor?
2. Gaat het bij cyberverzekeringen alleen om data-aanvallen?
Cyberverzekeringen dekken meer dan alleen schade door data-aanvallen. Ook dekken ze onder meer de kosten voor forensisch onderzoek, juridische kosten, de schade doordat een deel van de organisatie plat ligt. Zoek goed uit waar dekking voor nodig kan zijn.
3. Waar zitten mijn zwakke plekken?
Veel organisaties weten niet goed waar ze kwetsbaar zijn voor cybercrime. Voer daarom eerst risk assessments uit om te bepalen waar de grote zwakke plekken zitten en wat het meest kwetsbaar is. Waar zijn je gevoelige data en ben je op al die plekken goed beschermd? Zo kun je beter kwantificeren hoeveel dekking je nodig hebt.
4. Wat is de potentiële schade?
Als duidelijk is welke bezittingen van het grootste belang zijn en waar de zwakke plekken in de bescherming daarvan zitten, moet bepaald worden hoe waarschijnlijk het is dat een aanval daarop zal plaatsvinden en wat de mogelijke kosten daarvan zijn. Die kosten kunnen ook nog eens veranderen als een organisatie nieuwe technologieën gaat gebruiken zoals cloud en IoT. Vaak zorgen die voor een grotere kans op aanvallen en hogere mogelijke kosten daarvan.
5. Wat is de invloed van de omvang van een organisatie op de verzekering?
Voor kleinere bedrjiven is het makkelijker om een verzekering aan te schaffen. Een onderzoek dat uit een aantal vragen bestaat zoals ‘Heeft u een firewall?’ en “Versleutelt u belangrijke data?’, volstaat voor acceptatie van een verzekerde. Hoe groter de organisatie, hoe gecompliceerder echter de onderzoeken en de variatie in dekking die een verzekeraar biedt. Echt grote organisaties moeten eerst complete audits doorlopen.
6. Waar liggen de gaten in mijn verzekeringen?
Veel organisaties weten niet goed wat wel en niet gedekt is door hun verzekering. Daardoor schaffen ze of te veel of te weinig verzekering aan. Zo is een leverancier van medische appartuur meestal niet verzekerd tegen de fysieke schade die klanten oplopen als het apparaat in kwestie gehackt is. Ook is voor een fabrikant fysieke schade in zijn fabriek als gevolg van een hack vaak niet gedekt.