Cyberverzekering: betaal je voor bescherming of voor een vinkje?
Cyberverzekeringen worden duurder en dekken steeds minder. Uitsluitingen voor de meest voorkomende dreigingen – ransomware, social engineering en aanvallen door buitenlandse overheden – maken de polis vaak minder waard dan hij lijkt. Erger: als je bij een incident niet kunt aantonen dat je maatregelen had getroffen, keert de verzekeraar niet uit. De oplossing zit in het voorkomen van de schade zelf – en in de logging en monitoring die bewijzen dat je het serieus neemt.
Veel grote bedrijven zagen hun cyberpremie in korte tijd één of meerdere keren verdubbelen. In sommige extreme gevallen ging het om stijgingen van honderden procenten. En toen die bedrijven hun polisvoorwaarden doorlazen, ontdekten ze dat de dreigingen waartegen ze zich wilden verzekeren waren uitgesloten. Dit is geen uitzondering. Peter Pronk legt uit wat er aan de hand is met de cyberverzekeringsmarkt en wat je daar wel en niet aan kunt doen.
Waarom de polis minder dekt dan je denkt
Uit een onderzoek van QBE blijkt dat 57% van de Nederlandse bedrijven met 100 tot 2.000 werknemers inmiddels een cyberverzekering heeft afgesloten. Maar wat veel directeuren niet weten: de polis dekt lang niet alles als je preventie niet op orde is.
Het aantal cyberincidenten stijgt. Tegelijkertijd concurreren steeds meer verzekeraars op premie. Om die premie enigszins laag te houden, vergroten ze de uitsluitingen. Je betaalt hetzelfde of meer, maar krijgt minder dekking.
Waar de kleine lettertjes het meest pijn doen
– Aanvallen door of namens buitenlandse overheden – een categorie die verzekeraars breed interpreteren.
– Social engineering en phishing, de meest voorkomende oorzaken van datalekken.
– Ransomware-aanvallen waarbij criminelen data stelen in plaats van alleen versleutelen.
– Aanvallen via toeleveranciers, terwijl supply-chain-aanvallen sterk toenemen.
Je raadt het al; dit zijn nu net de dingen die het vaakst voorkomen.
Dat dit geen abstract probleem is, liet een Britse CISO onlangs zien op LinkedIn. Zijn premie steeg met 97% terwijl hij nooit een claim had ingediend en ruimschoots aan alle eisen voldeed. Toch werden de meest voorkomende dreigingen uitgesloten. Zijn conclusie: “We’re not buying cyber insurance for protection. We’re buying it for checkboxes.”
Geen bewijs van maatregelen, geen uitkering
Verzekeraars keren pas uit als je kunt bewijzen dat je beveiligingsniveau op orde was. Ze eisen gedocumenteerde logging van netwerk- en systeemactiviteiten, een incident-response-proces op papier, centrale monitoring van cloudomgevingen en endpoints, regelmatige vulnerability-scans en multi-factor authenticatie op alle kritieke systemen. (Bron: Verbond van Verzekeraars)
Heb je dat niet geregeld en zwart-op-wit? Dan is de kans groot dat de verzekeraar de dekking beperkt of zelfs weigert uit te keren.
Preventie versterkt je claimpositie
Een cyberverzekering zonder aantoonbare preventie is als een inboedelverzekering zonder sloten op de deur. De verzekeraar zal bij schade als eerste vragen: wat heb je gedaan om dit te voorkomen?
Bedrijven die investeren in preventie krijgen betere polisvoorwaarden en hebben een sterkere positie bij een claim. Wie dat niet doet, betaalt premie voor een verzekering die bij een incident mogelijk niet uitkeert.
Wat verzekeraars willen zien bij een incident
Verzekeraars willen twee dingen zien als er een aanval is geweest.
1. Dat je actief monitort om de signalen op te pikken.
2. Dat je kunt reconstrueren wat er is gebeurd, welke systemen zijn geraakt en welke data mogelijk is gelekt.
Dat vereist een centraal logplatform dat alle systemen samenbrengt en continue monitoring die afwijkingen signaleert. Plus een loghistorie die je bij een incident kunt aanleveren aan je verzekeraar – en aan de Autoriteit Persoonsgegevens. Zonder dat sta je met lege handen.
Veelgestelde vragen
Heeft een cyberverzekering zin? Zeker – zolang je het ziet als aanvulling op een goede beveiligingsaanpak. Een verzekering kan schade opvangen die je niet kon voorkomen. Maar ze keert alleen uit als je die beveiliging op orde had en dat kunt laten zien.
Wat eisen verzekeraars voor cyberdekking? Dat verschilt per verzekeraar en polis, maar de rode draad is: multi-factor authenticatie, gedocumenteerde back-up-procedures, centrale logging en een plan voor als het misgaat. Steeds vaker stellen verzekeraars ook continue monitoring als voorwaarde.
Mijn verzekeraar vraagt nooit naar mijn beveiliging. Klopt dat? Dat was lang normaal, maar verandert snel. Verzekeraars die bij het afsluiten weinig naar je beveiliging vragen, kunnen dat alsnog uitgebreid doen bij een claim. En dat is het moment waarop het telt.
Hoe helpt security-monitoring bij een schadeclaim? Een platform zoals Apex Lumi levert de logging, monitoring en loghistorie die een verzekeraar wil zien. Je kunt laten zien welke maatregelen je had getroffen, wanneer het SOC een afwijking heeft gedetecteerd en hoe er is gereageerd. Dat is de documentatie die het verschil maakt tussen wel of niet uitkeren.
Wat is het verschil tussen MDR en een gewone firewall? Een firewall houdt verkeer tegen aan de poort. MDR (Managed Detection and Response) monitort wat er binnen je omgeving gebeurt – ook nadat iemand al binnen is. Die combinatie is wat verzekeraars bedoelen als ze vragen naar ‘continue monitoring’.
Meer weten?
Benieuwd wat gedocumenteerde monitoring concreet voor jouw organisatie betekent en hoe dat je positie bij een verzekeraar versterkt? Bekijk het Apex Lumi-platform of neem vrijblijvend contact op via +31 (0)85 4896060 of info@apexsecurity.nl. We laten je graag zien hoe ons platform er in de praktijk uitziet.
