De verzekering tegen cybercriminaliteit

“De vraag is niet meer of mijn organisatie of ikzelf het slachtoffer zullen worden van een cyberaanval, maar wanneer en hoe vaak dit zal gebeuren en hoe ik daaraan het hoofd bied!” 

1. Voor wie is een cyberverzekering bedoeld?

Er bestaan zowel voor particulieren als voor ondernemingen cyberverzekeringen, maar de waarborgen, verzekerde bedragen en betrokken verzekeringsproducten verschillen doorgaans.

Voor particulieren worden de (vaak beperkte) waarborgen meestal opgenomen als een uitbreiding van de dekking in bestaande verzekeringsovereenkomsten bij de verzekeraar.

Voor ondernemingen is er een ruimer aanbod, onder voorbehoud van specifieke voorwaarden bij de sluiting van de polis (zie vraag 4), met meer mogelijkheden qua waarborgen, verzekerde bedragen en vrijstellingen (het bedrag dat de verzekerde zelf betaalt). 

2. Welke soorten cyberaanvallen komen het vaakst voor?

Cyberaanvallen komen voor in allerlei vormen.

Ze omvatten onder meer hacking, DDos-aanvallen (Distributed Denial of Service) en het verspreiden van virussen binnen en/of in de periferie van het IT-netwerk van de persoon of structuur die men wil treffen. 

3. Hoe dergelijke risico’s voorkomen?

Met de steeds toenemende digitalisering zijn preventie en weerbaarheid fundamenteel.

Dergelijke risico’s voorkomen vereist onder meer een aanhoudende sensibilisatie en educatie over de juiste gedragingen en gewoonten om aan te nemen. Zo schat het CCB (Centrum voor Cybersecurity België) dat 80% van de cyberaanvallen mee mogelijk wordt gemaakt door onoplettendheid of een onverstandige menselijke handeling. Preventie houdt ook regelmatige updates in van de programma’s en software die de geviseerde gegevens en installaties moeten beschermen.

Weerbaarheid tegen cybercriminaliteit uit zich daarnaast in het anticiperen op toekomstige cyberbedreigingen. Kwetsbaarheden analyseren en de activiteiten identificeren die essentieel zijn voor de continuïteit van de werking van de onderneming of de taken van personen, zijn stappen waar men niet omheen kan. 
Zijn ook meer dan wenselijk: incidentsimulaties om de reacties van de betrokkenen te testen en na te gaan of de vooraf ingevoerde procedures (het crisismanagementplan) correct worden gevolgd. 

4. Tot wie kan ik mij richten als ik een cyberverzekering wil sluiten?

Zowel ondernemingen als particulieren kunnen zich in de eerste plaats het best richten tot hun verzekeraar of verzekeringstussenpersoon (makelaar, agent, …). Deze verzekeringsprofessionals weten de behoeften van hun (kandidaat-)verzekerden precies in kaart te brengen en kunnen hen, dankzij hun marktkennis, advies geven en de meest geschikte verzekeringsformules voorstellen. 

5. Welke stappen moet ik volgen om het cyberrisico te verzekeren?

De kandidaat-verzekerde die zo’n verzekering wil sluiten, krijgt van de verzekeraar een vragenlijst die hij zorgvuldig en volledig moet invullen. Deze vragenlijst moet de verzekeraar in staat stellen het te verzekeren risico in te schatten en inzicht te krijgen in de al ingevoerde maatregelen op het gebied van preventie en weerbaarheid.

Belangrijke technische elementen waaraan de verzekeringsonderneming aandacht zal besteden, zijn onder meer multifactorauthenticatie (MFA), regelmatige back-ups, zo mogelijk op verschillende geografische locaties, Endpoint Detection & Response (EDR) en Managed Detection & Response (MDR).

Ook zal de eventuele schadestatistiek opgevraagd en grondig geanalyseerd worden. De aanwezigheid van een crisismanagementplan (CMP) en/of een bedrijfscontinuïteitsplan (BCP) kan de verzekeraar eveneens geruststellen over het risico dat hem wordt voorgelegd.

Tot slot kan een princiepsakkoord voor de uitvoering van een eventuele audit door een erkend extern en onafhankelijk organisme (zie de “fundamentals” van het CCB) de verzekeraar geruststellen bij zijn beslissing om de gevraagde waarborgen al dan niet toe te kennen. 

6. Wat zijn de belangrijkste mogelijke dekkingen in een dergelijke verzekeringsovereenkomst?

De belangrijkste mogelijke dekkingen zijn:

• eigen schade (bedrijfsonderbreking, analysekosten, kosten voor gegevensherstel, kosten voor IT-specialisten en consultants, eventuele administratieve boetes ...)
• schade aan derden (aansprakelijkheidskwesties), inclusief de eventuele kosten voor de verdediging
• de noodzakelijke bijstand op verschillende vlakken (technische bijstand, assistentie op het gebied van communicatie, crisisbeheer, reputatieschade, ...)
• een luik kidnapping/ransom (bijstand bij onderhandelingen en betalingsmodaliteiten), dat overigens niet altijd door de verzekeraar wordt toegekend. 
   

7. Wat zijn de te verzekeren bedragen en de eventuele vrijstellingen, en hoeveel kost zo’n verzekering?

De te verzekeren bedragen worden bepaald op basis van het reële risico dat blijkt uit de analyse van de verzekeraar met de betrokken persoon of organisatie. Over het algemeen verzekert men de bedragen die de persoon of organisatie niet redelijkerwijs zelf kan dragen. Een vrijstelling van enkele honderden of duizenden euro’s signaleert aan de verzekeraar het vertrouwen dat de klant stelt in de geïmplementeerde maatregelen op het vlak van preventie en weerbaarheid.

Naargelang de analyse van de betrokken activiteiten en de al getroffen maatregelen (qua preventie en weerbaarheid) kan de premie variëren van enkele honderden tot duizenden euro’s. Hoe dan ook blijft de tarifering bij deze verzekeringen vaak maatwerk.

Voor particulieren zal de premie lager liggen, maar is de dekking vaak beperkt door de aard van de polis (die geen luik aansprakelijkheid bevat) of wat het verzekerd bedrag per schadegeval betreft.

Het is voor organisaties verstandig om zich ook tegen fraude te verzekeren (interne fraude, externe fraude, CEO-fraude) als aanvulling op een cyberverzekering. Volgens makelaar Van Breda gaf 25% van de ondernemingen hieraan dan ook gevolg.