Campagne: artikel 8: Het nut van de cyberverzekering: een cybercrimineel komt nooit alleen

9 juni 2020

Bij een discussie over budgetten (en zeker als het gaat over budget voor IT en cybersecurity), komt het er telkens op neer van een gefundeerde business case op te bouwen om voldoende geld te reserveren, zodat u de nodige beveiliging in de lucht kunt houden.

In het geval dat u of uw bedrijf al slachtoffer geworden is, is dit een “no-brainer”. U hoeft niet meer na te denken wat het u kost, u heeft het zelf ondervonden…

In het andere geval, waar u de gelukzak bent die nog moet gehackt worden, of erger, u niet wil toegeven dat u al gehackt bent geweest, is het vaak een lastige taak om budget los te krijgen voor cyberbeveiliging.

Zoals we in vorig artikel al hebben aangegeven, is één van de belangrijkste denkoefeningen als bedrijf: een inventaris maken, risico’s analyseren en een goede cyberbescherming plannen, aangepast op uw maat. U zal snel merken dat de schade die een cyberincident kan veroorzaken, vaak groter is dan de draagkracht van uw bedrijf.

In dit artikel leggen we uit dat u meer nodig heeft dan enkel financiële middelen om de cyberbrand te blussen. Vaak moet u ook technische expertise in huis halen die u zelf niet heeft. Tijdens een cyberincident komen er heel wat extra taken en verplichtingen op u af bovenop het rampenplan.

In uw privéleven neemt u daarvoor een verzekering. Dat kan in het bedrijfsleven ook, maar we merken dat de cyberverzekering heel veel moeite heeft om voet aan grond te zetten. Toch het zal alleen maar belangrijker worden.

Vandaar dat we even in de cyberverzekering duiken en op het einde van dit artikel zou u met een paar handige hints & tips aan de slag moeten kunnen.

Wat is het grootste risico voor uw bedrijf?

De eerste vraag die u zichzelf moet stellen: hoe groot is het cyber-risico is voor mijn bedrijf?

U kan daarvoor een aantal (gratis) studies en referentiedocumenten terugvinden.

BELANGRIJKE OPMERKING: wanneer u wat onderzoekswerk doet om uw risico in te schatten, is het belangrijk om RECENT materiaal te gebruiken. Cybercriminaliteit gaat zo hard, dat gegevens van een paar jaar geleden niet meer veel zeggen.

We kunnen u alvast aanraden om volgende gratis studies alvast even door te lezen en de referenties op te slaan. Ze kunnen nog nuttig zijn. (Ze zijn helaas wel enkel beschikbaar in het Engels):

• IBM-Ponemon, Cost of a Data breach report 2019
• 2019 Data Breach Investigations Report (Verizon)

Er zijn nog andere studies, maar daar moet u vaak voor registreren of uw persoonlijke data voor prijsgeven. Deze studies worden jaarlijks bijgewerkt, dus check voor de meest recente versie.

Voor dit artikel en meer specifiek voor cyberverzekering is het volgende artikel echter een veel betere referentie: de Allianz Risk barometer 2020.

Om wat tijd te besparen, halen we de meest frappante conclusies uit het rapport, voor zover dat ze nuttig zijn om een goed dossier op te bouwen voor uw cyberverzekering.

 

Wat is deze barometer? Waarom is zo’n jaarrapport zo handig?

Er zijn in het laatste jaar een aantal belangrijke cybertrends die komen bovendrijven, en het Allianz rapport maakt dat erg zichtbaar:

• De barometer geeft de meest bedreigende risico’s weer voor het voortbestaan van de onderneming het komende jaar.
• Het blijkt dat voor 2020, de cyber Incidenten op de eerste plaats staan qua risico.
• Geldt ook voor kleine ondernemingen, maar dat hadden we u al verteld in een vorig artikel. Nog maar eens het bewijs dat u deze dreiging niet mag onderschatten!
• Geldt ook in België. Dat we een klein land zijn en onze nationale omzet voor bijna 99% door KMO’s gerealiseerd wordt, is geen excuus.
• De verschillende rapporten geven kosten van datalekken en cyberincidenten weer, maar die zijn vaak niet toegespitst op KMO’s. Hieronder vind u een gemiddelde kost naar gelang het incident bij KMO’s (dit is niet wetenschappelijk, maar directe ervaring van Belgische verzekeringsagenten in KMO sector, op basis van eigen portfolio):
  • Incident management : gemiddelde kost 50.000 euro
  • Wedersamenstelling data / Ransomware : gemiddelde kost 50.000 euro
  • Business Interruption : gemiddelde kost 150.000 euro
  • Cyberdiefstal : gemiddelde kost 150.000 euro

Een zeer recente casus brengt ons wel direct tot bij jullie stiel: de encryptie van een boekhoudpakket bij een fiduciaire. Graag willen we jullie er even bij laten stilstaan hoeveel de kost zou bedragen om de dossiers terug van a-tot-z in te boeken voor de afgelopen 3 tot 5 jaar, verhoogd met de reputatie schade, schadeclaims van klanten, etc.

Zo heeft u een relevante, praktische indicator om de berekening voor uzelf eens te maken. Geen tijd te verliezen, meteen mee starten, dus.

Naast de financiële impact is er ook nog een ander aandachtspunt. Laat ons even toe de vergelijking door te trekken naar de autoverzekering die iedereen kent. U sluit zo’n verzekering eerst en vooral af om de schade aan anderen te beperken, zodat u er zelf niet voor moet opdraaien.

U kan vaak ook een omniumverzekering voor eigen schade opnemen. Maar ook voor een vervangwagen, extra takeldiensten, dekking in het buitenland, etc. Hiermee kunt u dus de praktische problemen oplossen, indien u een auto-ongeval meemaakt.

Last-but-not-least, de wet verplicht u een autoverzekering te nemen om schade aan derden te beperken (omnium is niet verplicht).  Maar zover zijn we met cyberverzekering dus nog niet.

Houd er ook rekening mee dat de oorzaak van het cyberincident ook bij één van uw klanten of leveranciers kan liggen. Dit kan omwille van de  GDPR-wetgeving een zware impact op u hebben. Een rechtsbijstandsverzekering laat u toe die schade te verhalen.

Wat kan u…moet u afdekken met een cyberverzekering?

Wanneer is een incident gedekt?

1. Bij een overtreding op een wet op de gegevensbescherming (o.a. GDPR). Een data lek is snel gebeurd. Zelfs wanneer u alle GDPR verplichtingen heeft afgedekt, is een kleine of menselijke fout genoeg om boetes of schade op te lopen. We hebben hier recent nog een aantal pijnlijke uitspraken van de gegevensbeschermingsautoriteit als voorbeeld gezien.
2. Bij beveiligingsfalen: ondanks de beveiliging heeft een derde toch een ongeoorloofde toegang verkregen of een onbedoelde werking van het systeem veroorzaakt (hieronder valt dus ook virus, hacking, dDOS, malware, ransomware, …).
3. Bij systeemfalen: een computer die crasht (een onbedoelde uitval of vermindering van de werking van het computersysteem).

Denk er ook even over na in hoeverre de verzekering de toestellen in uw bedrijf dekt. Het zijn vaak niet alleen ‘computers’, laptops, pc’s, servers,…

Het computersysteem van de onderneming omvat alles dat de onderneming voor haar activiteiten gebruikt, incl. BYOD / Cloud / CNC en PLC gestuurde machines, etc.

Welke type van incidenten wilt u verzekeren?

1. Incident management & recovery: dit moet u helpen zo snel mogelijk weer naar een “normale” werking te gaan.
2. Aansprakelijkheid: buiten operationele schade zal uw aansprakelijkheid veel geld kosten door claims van derden, boetes GDPR, … Dit is voornamelijk van belang voor firma’s die veel en/of gevoelige data bewaren, dus zeker van toepassing op alle vrije beroepen!
3. Netwerkonderbreking: directe bedrijfsschade, “business interruption”, dienstondebreking. Dit is verlies aan operationele winst + een aantal specifieke kosten. Dit treft quasi elke sector.
4. Een aantal eigen kosten voor herstel: bijvoorbeeld wedersamenstelling data, recuperatie van data, herstel reputatieschade, kennisgeving aan betrokkene(n) (cfr. GDPR), etc.
5. Cyberdiefstal: cyber criminelen verschaffen zich toegang tot uw systeem met de bedoeling om goederen van u te stelen, door middel van een cyberaanval. Dat kunnen zowel virtuele goederen als materiële goederen zijn.
6. Rechtsbijstand: wat als er een juridisch dispuut ontstaat naar aanleiding van een cyber incident? Bijvoorbeeld voor het indienen van een claim als het incident bij iemand anders is voorgevallen, of het ontslaan van een nalatige werknemer, etc.

Wat kost u dit, zo’n cyberverzekering?

Het is erg moeilijk om zomaar een prijs te plakken op uw situatie. Hiervoor zijn er een aantal parameters die u in het oog moet houden, zoals de grootte van uw bedrijf, uw omzet, het aantal medewerkers intern en extern, het type activiteit en de digitale gezondheid van uw bedrijf.
De vorige artikels in deze reeks hebben daarin de nodige houvast voorzien.

Een cyberverzekering hoeft niet duur te zijn. De premie ligt in de grootorde van enkele autoverzekeringen voor een business kritisch risico (in tegenstelling tot een auto, die minder direct impact heeft op uw bedrijf).

Er zijn sectoren die speciale korting kunnen krijgen, als ze voldoen aan een aantal minimum cyber-maatregelen, bijvoorbeeld leden van Safeshops (online webshops), die het label krijgen, kunnen korting afdingen op hun cyberverzekering.

Dit zal niet voor alle vrije beroepen aan de orde zijn.

Dankwoordje

Dit artikel kwam tot stand in samenwerking met Koen Druyts van CyberContract, die ons geholpen heeft om de nodige cijfers op tafel te krijgen, zodat we jullie kunnen helpen om een goede cyberhygiëne uit te bouwen voor uw bedrijf.

Het zou ons in dit artikel veel te ver leiden om alle aandachtspunten in detail uit te werken, maar dit document van Cybercontract kan alvast een leidraad zijn.

Binnenkort mag u van ons nog een checklist verwachten om mee aan de slag te gaan, zodat u hopelijk goed voorbereid wanneer (… niet “als”… ) het cyber-noodlot toeslaat. De nodige aandachtspunten voor een degelijke business case in cyberverzekering, zullen niet ontbreken.