Vaak wordt gedacht dat het afsluiten van een cyberverzekering de noodzaak voor goede beveiligingsmaatregelen kleiner maakt. De prijzen voor die verzekeringen stijgen echter fors, terwijl verzekeraars steeds meer uitzonderingen opnemen in hun voorwaarden. Organisaties lopen daardoor het risico om in een situatie terecht te komen waarin een cyberverzekering onbetaalbaar wordt. Of simpelweg niet uitkeert. Met een aantal relatief simpele beveiligingsmaatregelen kan echter een groot deel van deze risico’s worden afgedekt. Terwijl het de kosten van een verzekering juist positief kan beïnvloeden.
Door: Maarten Werff
De kostenstijging van cyberverzekeringen wordt deels veroorzaakt door de toename van het aantal datalekken en cyberaanvallen. In het tweede kwartaal van 2022 zijn de premies voor cyberverzekeringen gemiddeld met 26,8 procent gestegen in vergelijking met hetzelfde kwartaal in 2021. Dit blijkt uit rapporten van verzekeraar AON. Verzekeraar Lloyd’s heeft daarnaast recent voor opschudding gezorgd door de voorwaarden van cyberverzekeringen aan te passen om aanvallen door statelijke actoren niet meer te vergoeden. Hiermee kan potentieel een groot deel van de claims worden afgewezen. Dit omdat ransomware-aanvallers naast hun werk voor een staat ook op eigen titel organisaties aanvallen met diezelfde technologie. Ook wordt uitval van infrastructuur steeds vaker uitgesloten. Daardoor kan de schade door DDoS-aanvallen ook buiten de dekking van de cyberverzekering vallen.
> LEES OOK: Aantal phishing-aanvallen op bedrijven toegenomen
Cyberverzekering afsluiten zorgt steeds vaker voor dilemma
Verzekeringen worden dus duurder en de dekking neemt af. Daardoor krijgen steeds meer organisaties te maken met een dilemma. Cyberaanvallen worden namelijk geavanceerder en komen vaker voor. Daardoor hebben bedrijven adequate verzekeringsdekking nodig om zichzelf te beschermen tegen financiële verliezen. De stijgende kosten maken het echter voor met name kleinere organisaties steeds lastiger om een goede verzekering af te sluiten.
> LEES OOK: Cyberverzekeringsmarkt in 2021 gegroeid naar 36 miljoen euro
Het loont om eigen maatregelen te treffen
Verzekeraars geven steeds vaker korting aan organisaties die kunnen aantonen dat hun beveiliging op orde is. Daarom loont het om te kijken naar de eigen maatregelen. Met een kritische blik op de belangrijkste veiligheidsrisico’s, in combinatie met een aanscherping van het eigen beleid, valt hier vaak flinke winst te boeken.
Maturity assessment eerste stap voor cyberverzekering
Een maturity assessment is voor veel organisaties daarin een eerste stap. Met een grondige nulmeting wordt in kaart gebracht hoe een organisatie er op het gebied van cybersecurity voor staat. Dit gaat verder dan alleen technologie. Juist het gedrag van gebruikers is vaak een belangrijk aandachtspunt. De uitkomst van zo’n assessment verschilt per organisatie, maar er zijn vijf belangrijke maatregelen die op vrijwel iedere plek de weerbaarheid tegen cyberaanvallen flink verhogen.
1. Multifactor-authenticatie (mfa)
Een simpele maatregel met groot effect. Mfa zorgt ervoor dat gebruikersaccounts extra beveiligd zijn tegen het risico van gelekte wachtwoorden en verhoogt de barrière voor kwaadwillenden aanzienlijk.
2. Zorg voor zichtbaarheid
Maak een inventarisatie van alles wat er binnen de organisatie aanwezig is op het gebied van IT-assets, de processen rondom beveiliging, de opbouw van je IT-landschap en de ‘kroonjuwelen’. Zo kun je ook bepalen welke onderdelen het meest kritisch zijn, wie toegang heeft en op welke manier die toegang wordt verkregen. Zorg er daarnaast voor dat deze lijst actueel blijft.
3. Train je medewerkers
Het is niet genoeg om een set richtlijnen op te stellen en naar iedereen te mailen, de medewerkers van je organisatie moeten bewust worden van de risico’s en de verantwoordelijkheid die ze dragen voor de veiligheid van je organisatie. Zorg er daarom voor dat medewerkers hierin worden getraind en op de hoogte worden gehouden van ontwikkelingen op het gebied van cybersecurity die impact hebben op hun werk.
> LEES OOK: Randstad: zorgwekkend weinig personeel krijgt AI-training
4. Zero trust-principes
Pas de principes van zero trust toe, waarbij je altijd vooraf verifieert voordat je toegang verleent. Het is belangrijk om hierbij expliciet te verifiëren waarbij je ervoor zorgt dat gebruikers en apparaten vertrouwd en geverifieerd zijn voordat toegang tot data, applicaties en systemen wordt verleend. Met least-privilege access verleen je alleen de nodige rechten voor toegang tot een bron en bij assume-breach ga je er altijd van uit dat de verdedigingssystemen zijn geschonden en systemen mogelijk gecompromitteerd. Je monitort daarbij je omgeving continu op mogelijke bedreigingen.
> LEES OOK: Hoe houd je ICT-systemen veilig? Updates en patches zijn cruciaal
5. Maak cybersecurity integraal onderdeel van je organisatie
Omdat cybersecurity een steeds grotere rol speelt in de bescherming van vitale bedrijfsonderdelen is het niet iets dat je erbij kunt doen. Wanneer de NIS2 in 2024 in werking is getreden, zijn veel organisaties zelfs verplicht om de cybersecurity op orde te hebben. Het nemen van beveiligingsmaatregelen wordt dus alleen maar belangrijker. Door cybersecurity op strategisch niveau te integreren en mee te nemen in alle belangrijke beslissingen zorg je dat je de controle hebt. En dat je voorbereid bent op incidenten en voorkom je dat je hier pas achteraf op kunt reageren.
> LEES OOK: Ruim tweeduizend bedrijven in 2021 de dupe van ransomware
Verzeker wat nodig is
Met deze basale stappen wordt nog steeds 98 procent van de veel voorkomende cyberaanvallen geweerd. Voor de risico’s die je zelf niet kunt dragen is een cyberverzekering daarnaast nog steeds het overwegen waard. Door zelf de nodige maatregelen te nemen zorg je er echter voor dat een lagere premie en een veiligere en weerbare organisatie hand in hand gaan.
Maarten Werff is solution consultant cybersecurity bij Conscia
Volg Security Management op LinkedIn