Wie een auto koopt, mag de weg niet op zonder autoverzekering. Maar wie een computer koopt, mag onverzekerd en zonder enige kennis of ervaring de digitale snelweg op. Dat geldt ook voor bedrijven en andere organisaties. Door de toenemende digitalisering en de stijgende cybercriminaliteit lijkt het aantrekkelijk om als zorgorganisatie een cyber(risico)verzekering af te sluiten zodat digitale schade gedekt is als het een keer misgaat. Wat houdt zo’n cyberverzekering in en is het iets voor uw organisatie?
Steeds meer systemen en apparaten in de zorg zijn aangesloten op netwerken. Daarmee zijn ook grote hoeveelheden data digitaal beschikbaar. Het idee dat die data in handen komen van kwaadwillenden, is waarschijnlijk de nachtmerrie van elke IT-manager of Chief Security Officer (CISO). Het afsluiten van een cyber(risico)verzekering kan wat meer gemoedsrust geven. Immers als er data weglekt of gegijzeld wordt bij een incident, wordt de financiële schade mogelijk door de verzekeraar vergoed.
Bij de meeste verzekeraars omvat de polis een dekking voor risico’s rondom gijzelsoftware, datalekken en uitval vanwege DDoS-aanvallen. Ransomware (gijzelsoftware) is voor zorgaanbieders vaak één van de grotere risico’s en daarom de belangrijkste aanleiding om na te denken over een cyberverzekering.
Polissen omvatten in de regel ook dekking voor het betaalde losgeld. Daarbij hoort de principiële vraag of je losgeld wilt betalen aan de aanvaller. Want wie losgeld betaalt, houdt daarmee het businessmodel van deze vorm van afpersing in stand. Aan de andere kant kan het goedkoper zijn om bij een ransomware-incident het losgeld wél te betalen omdat de IT van de organisatie dan sneller hersteld kan worden. En daarmee zal de impact van het incident voor patiënten, cliënten en (zorg)medewerkers kleiner zijn. Betalen of niet blijft dus een lastig dilemma in de zorg.
Overigens onderzoekt de overheid of het mogelijk is om verzekeraars te verbieden om losgeld bij ransomware uit te keren.
Z-CERT heeft onlangs een whitepaper uitgebracht met de titel ‘Overwegingen rondom verzekering cyberrisico’s’.
Deze is te downloaden via de website van Z-CERT: Link
Beperkte dekking
De trend die Z-CERT (Computer Emergency Response Team) ziet, is dat de markt voor gijzelsoftware de laatste jaren steeds professioneler is geworden. Het wordt steeds makkelijker om een aanval uit te (laten) voeren en zijn er steeds meer organisaties slachtoffer. Verzekeraars spelen hierop in door de eigen risico’s te verhogen en de dekkingen bij ransomware en andere incidenten te verlagen. Dit heet in de polis ‘co-assurantie’: verzekeraar en verzekeringsnemer dragen allebei een percentage bij in het afdekken van het risico. Het hebben van zo’n verzekering betekent niet dat je achterover kunt leunen, omdat je toch wel gedekt bent als er iets gebeurt. Verzekeraars keren namelijk lang niet altijd alle geleden schade uit.
Risicoprofiel
Voordat een verzekering wordt afgesloten, proberen verzekeraars een goed beeld te krijgen van de volwassenheid van de beveiligingsorganisatie. De verzekeraar zal via vragenlijsten inzicht willen krijgen in de maatregelen die nog genomen moeten worden om de IT-infrastructuur van de verzekerde te verbeteren.
Een verzekeraar eist vaak ook inhoudelijke maatregelen voordat het überhaupt mogelijk is om een verzekering af te sluiten. Een voorbeeld daarvan is het gebruik van multifactorauthenticatie (MFA). Dit verkleint de kans enorm om slachtoffer te worden van bijvoorbeeld gijzelsoftware. Daarom is het zonder MFA moeilijk of zelfs onmogelijk om een cyberverzekering af te sluiten. Voor de aanvrager van de verzekering is dit traject tegelijkertijd ook een kans om inzicht te krijgen in de eigen kwetsbaarheden.
Forse kosten
Naast de IT-risico’s speelt ook het financiële risico een rol bij de afweging of een cyberverzekering iets voor u is. Op financieel gebied is het belangrijk om te bekijken of er geld apart is gezet voor IT-calamiteiten met grote impact en of er genoeg geld beschikbaar is om onverwachte kosten te dekken. Als allebei niet het geval zijn, wordt het aantrekkelijker om te verzekeren.
Wat u dan betaalt voor uw polis kan per verzekeraar sterk verschillen. Het hangt onder meer af van het risicoprofiel van de verzekeringsnemer. Over het algemeen zijn de jaarlijkse kosten van een cyberverzekering fors. Goed om te weten is ook dat het tegenwoordig uitzonderlijk (en in veel gevallen onmogelijk) is om een polis voor langer dan één jaar af te sluiten. Zo behouden verzekeraars de mogelijkheid om de polis te stoppen en nieuwe voorwaarden of dekkingen af te spreken.
Is het iets voor u?
Het afsluiten van een cyberverzekering maakt een IT-omgeving niet veiliger. De kans op een aanval of datalek wordt er niet kleiner door. Daarom raden we allereerst aan om te investeren in maatregelen die de kans of impact van een aanval of datalek verkleinen. Met een cyberverzekering kunt u het restrisico gedeeltelijk overdragen aan een verzekeraar. Het jaarlijkse premiebedrag kunt u ook anders besteden: bijvoorbeeld aan extra inhoudelijke beveiligingsmaatregelen of om een financiële voorziening aan te leggen.