Door Anoniem: Door Anoniem: Waarom niet beiden? Zowel een cyberspecialist als een verzekering?
Je hebt die cyberspecialist toch nodig om te voldoen aan alle extra eisen van de cyberriskverzekering. Als je iets verkeerd hebt gedaan in hun ogen keren ze namelijk niet uit.
Dus dan heb je aan een cyberspecialist genoeg en is de verzekering overbodig. Wel onder voorbehoud dat deze specialist ook de middelen krijgt die nodig zijn en niet een sluitpost op de begroting is.
Daar kun je grote vraagtekens bij zetten. Het is hetzelfde als zeggen dat de brandweer je huis beoordeelt op brandveiligheid, om vervolgens geen inboedelverzekering af te sluiten.
Het afsluiten van een cyberverzekering is een vak apart en is niet iets dat je even tussen neus en lippen door doet. Er komt veel onderzoek bij kijken. Ik weet niet of iemand in de organisatie lid is van (ISC)2, maar de cursus "Navigating cyber insurance", die te volgen is via
https://learn.isc2.org/ geeft een aardig (beginners)inkijkje in de wereld van cyberverzekeringen. Hoewel er op internet ook de nodige informatie is te vinden die in lekentaal uitlegt welke stappen doorlopen moeten worden bij het afsluiten van een cyberverzekering (zie b.v.
https://cyberinsureone.com/small-business-insurance/checklist/), geeft deze cursus in een rustig tempo aan waar je op moet letten om in ieder geval niet overrompeld te worden door de tegenpartij.
Aspecten waar je tegenaan gaat lopen en waar je duidelijkheid over moet krijgen zijn o.a.:
- First-party cyber insurance en third-party cyber insurance verschillen. First-party cyber insurance dekt de schade die de organisatie zelf oploopt na een incident; third-party cyber insurance dekt de kosten voor derde partijen die geraakt worden door het incident. De tekst hierboven "Een cyberverzekering is hoogstens nuttig om de kosten te dekken om na een inbraak het netwerk weer geheel vanaf de grond opnieuw op te kunnen bouwen, maar dan is het kwaad al geschied." vereist wat nuance.
- De specifieke aspecten van een verzekering (DICED):
+
Declarations: welke entiteiten vallen precies onder de dekking?
+
Insuring agreement: welke events vallen precies in scope? Malware uitbraken? Defacements? Ransomware? Datadiefstal? Iets anders?
+
Conditions: de verplichtingen van de verzekeraar en de verzekerden voor, tijdens en na een incident.
+
Exclusions: wat wordt niet gedekt door een verzekering? Hoe meer je betaalt, hoe meer dekking, maar ja, geld groeit helaas niet aan een boom. Denk aan:
* Dekking tot een maximum bedrag (per keer?) met een eigen risico. Je zult eerst een risk assessment uit moeten voeren op je assets, want wat is dat bedrag voor jullie?
* Dekking voor niet-versleutelde data. Als je alles plaintext opslaat, dan kan een verzekeraar dwars gaan liggen bij uitbetalen.
* Dekking voor fysieke documenten. Ben je alleen geïnteresseerd in electronische zaken?
* Dekking bij
negligence. Als ik hierboven lees over ongepatchte systemen, ben er dan niet zeker van dat een verzekeraar uitbetaalt bij een incident.
* Dekking bij specifieke beperkingen die zijn afgesproken.
* Dekking voor kosten die je maakt om oude software die EoL is te vervangen.
* ...
+
Definitions and provisions: definities wat waar onder wordt verstaan etc.
- Valkuilen waar je op moet letten. Zie b.v. ook
https://www.rmmagazine.com/articles/article/2020/04/01/-What%27s-in-a-Word-The-Hidden-Pitfalls-of-Cyber-Insurance-Policy-Language-. Dat is ook de reden dat ik aangaf dat je dit zeker niet zelf moet doen! Jurisprudentie omtrent uitbetalingen gaat ook een rol spelen (zie b.v.
https://www.itgovernance.co.uk/blog/an-act-of-war-zurich-american-refuses-to-pay-out-on-cyber-insurance-policy-following-notpetya-attack, waardoor het inschakelen van een jurist zeer is aan te raden.
- Vragen die je als organisatie dient te stellen wanneer je een verzekering wilt afsluiten. Zie
https://1drv.ms/b/s!AgAJHMI2tjFh60EX7ehhA4_9OOWZ?e=HEhoDT voor een lijst met voorbeeldvragen die in de (ISC)2 cursus werd gegeven. Zoeken via je favoriete zoekmachine op "cyber security checklist" helpt je nog veel verder.
- De dekking die je misschien al hebt als onderdeel van een bestaande verzekering. Let erop dat die dekking meestal zeer beperkt is.
Kortom, het afsluiten van een verzekering is niet iets dat je even doet. Als ik de juristen die we hier rond hebben lopen hoor over dit onderwerp, dan ben ik soms ook met mijn oren aan het klapperen. Moraal van het verhaal: niet zomaar wat aanklooien en gedegen advies inwinnen voordat je besluit een verzekering af te sluiten. Het gevaar van een verzekeraar die wel premie int maar niet uitbetaalt bij een incident ligt op de loer.