Verbond van Verzekeraars komt met schadeoorzaken voor cyberverzekeringen
Het Verbond van Verzekeraars heeft de schadeoorzaken gepubliceerd die voor cyberverzekeringen kunnen worden gebruikt. Het gaat dan om zaken als systeemfouten, datalekken en menselijk handelen (pdf). Verschillende verzekeringsmaatschappijen bieden inmiddels verzekeringen die cybergerelateerde incidenten vergoeden.
In samenwerking met het kennis- en standaardisatie-instituut voor de financiële dienstverlening SIVI heeft het Verbond van Verzekeraars de schadeoorzaken ontwikkeld die voor cyberverzekeringen zijn te gebruiken. "Het doel van deze codes is om duidelijkheid en meer eenduidigheid te bieden", aldus het Verbond. De terminologie die cyberverzekeraars nu gebruiken in het opslaan van gegevens rondom cyberschades kan nog weleens verschillen.
Deze verschillen maken het volgens het Verbond lastiger om concreet te kunnen zien welke schadeoorzaken het meest of het minst voorkomen. Om deze onduidelijkheid weg te nemen zijn samen met SIVI de codes ontwikkeld. De schadeoorzaken zijn onderverdeeld in hoofd- en subcategorieën. De hoofdcategorieën zijn onderverdeeld in: ‘criminaliteit’, ‘diefstal’ en ‘menselijk handelen’. Daarna worden de oorzaken verder verdeeld in specifiekere subcategorieën die deels nader onderverdeeld worden in sub-subcategorieën.
In het geval een een ransomware-aanval waarbij een cybercrimineel zich toegang verschaft tot gezondheidsgegevens en deze na het niet betaald krijgen van losgeld publiceert, is 'criminaliteit' de hoofdcategorie, gevolgd door 'cyberafpersing' als subcategorie en 'publiciteit data' als sub-subcategorie. Wanneer een medewerker per ongeluk een e-mail verstuurt met persoonsgegevens naar de verkeerde afzender is de hoofdcategorie 'menselijk handelen', met 'datalek' als subcategorie. De sub-subcategorie is dan 'mailfout'.
Door met generieke oorzaken te gaan werken kan er op gestructureerde wijze data worden verzameld. De komende tijd zal het Verbond van Verzekeraars kijken hoe de oorzaken binnen de verzekeringssector worden gebruikt en of die verder moeten worden uitgebreid.
Verzekeren waar tegen?
- De gedupeerde?
- De daaropvolgende boete?
- De opgelopen imagoschade?
Goed om structuur aan te brengen, maar dan moeten ze ook uitkeren als dat nodig is.
Ik ben benieuwd hoeveel interne statistiek de verzekeraars (al) hebben, want uiteindelijk is dat hun kerncompetentie :
gemiddeld risico kennen, en gemiddelde schade erbij kennen .
Voor de analoge wereld is er veel bekend (en soms : verbeterd) vanuit de de druk van verzekeraars.
Brand (steen,hout, rieten dak) of inbraak risico, en de mitigerende maatregelen die vereist worden om een bepaalde dekking te willen aanbieden.
Het lijkt me toch lastig om dat al in de cyberwereld te doen , en het risico, en het effect van mitigaties , goed in te schatten.
Mogelijk dat ook de "schade" (uitgedrukt in geld dat uitgekeerd moet worden aan de verzekerde) nog lastig in te schatten is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
