In 2023 steeg het aantal ransomware-incidenten met 85% in vergelijking met het jaar 2022. Belgische ondernemingen en instellingen, zowel in de publieke als de private sector, zijn zich meer dan ooit bewust van digitale risico’s en zien de noodzaak in om zich hiertegen te beschermen via een cyberverzekering.

Wat houdt een cyberverzekering in?

Het aandeel van bedrijven met een cyberverzekering in de portefeuille van Howden zit al enkele jaren in stijgende lijn. De cyberverzekering zorgt voor terugbetaling van de geleden schade, maar geeft ook toegang tot een netwerk van professionals dat het bedrijf helpt om de schade te beperken en na een incident spoedig weer operationeel te zijn. Een professionele IT-provider staat onder meer in voor het detecteren en oplossen van het IT-incident. Ook het verlenen van juridische bijstand is inbegrepen, net als de begeleiding van een PR-bureau bij de (crisis)communicatie aan de pers.

De cyberverzekeraar zal de eerste hulp faciliteren en financieren in geval van een cyberincident. Indien uw onderneming het slachtoffer wordt van een ransomware-aanval, heeft u nood aan ervaren IT-experten die hulp bieden die verder reikt dan wat u van uw gebruikelijke IT-provider kan verwachten.

Indien er geen technische weg rond het incident is en back-ups niet teruggezet kunnen worden, zal de verzekeraar het losgeld betalen. Verzekeraars hebben eveneens contacten met Bitcoin-providers, want niet elke onderneming beschikt over enkele 100.000 euro’s aan Bitcoins.

Ook de geleden winstderving door bedrijfsonderbreking wordt terugbetaald door de verzekeraar welke aanzienlijk kan oplopen wanneer uw onderneming enkele weken geheel of gedeeltelijk is stilgelegd.

Dit totaalpakket aan dekkingen en dienstverleningen via ervaren experts biedt een enorme en concrete meerwaarde aan een onderneming die geconfronteerd wordt met een cyberincident. Dat verklaart meteen de stijgende interesse in een cyberverzekering. In 2023 bleek bijgevolg dat deze verzekering voor veel organisaties intussen deel uitmaakt van hun standaard verzekeringspakket.

Belangrijke uitsluitingen in cyberpolissen

Een cyberverzekering dekt de financiële schade die een bedrijf lijdt naar aanleiding van een cyberincident. Materiële of lichamelijke schade wordt uitgesloten in nagenoeg elke cyberpolis. Ook de materiële oorzaak van een cyberincident (bijvoorbeeld een server die oververhit) wordt in de meeste gevallen uitgesloten.

De buitencontractuele schade naar aanleiding van een beveiligingsincident wordt vergoed, waarbij de fout van de verzekerde, schade van de eisende partij en het oorzakelijk verband zal aangetoond moeten worden. Contractuele schade wordt uitgesloten. Aansprakelijkheid naar aanleiding van een foutieve handeling in het IT-systeem door de verzekerde zelf wordt niet gedekt in een cyberpolis.

Cyberincidenten die ontstaan door een gebrekkige dienstverlening van bijvoorbeeld internet- en energieleveranciers zijn eveneens uitgesloten. Wanneer deze immers gebreken vertonen in hun dienstverlening, zou dit kunnen leiden tot massa-claims, aangezien vele bedrijven hierdoor tegelijk geraakt zullen worden. Deze cumulatieve schade naar aanleiding van hetzelfde incident zou een cyberverzekeraar potentieel niet kunnen dragen.

Hoe omgaan met schadelijdende derden of de Gegevensbeschermingsauthoriteit na een cyberincident?

Wanneer vertrouwelijke data van een onderneming worden gestolen en publiek worden gemaakt, kan deze geconfronteerd worden met de gegevensbeschermingsautoriteit in het kader van de GDPR-wetgeving. De verplichte kennisgeving, de verdediging en eventuele administratieve boetes (voor zover de wet dit toelaat) in het kader van de GDPR-wetgeving worden gedragen door de cyberverzekeraar.

Bovendien wordt de buitencontractuele aansprakelijkheid die de verzekerde zou oplopen ten opzichte van derden vergoed, alsook de verdedigingskosten ten opzichte van deze laatste.

Bedrijven zelf aan stuur van betaalbare cyberverzekering

Cyberverzekeraars verwachten van ondernemingen hogere inspanningen op vlak van preventie zoals interne procedures aanscherpen, IT-systemen geregeld updaten en sterker beveiligen, maar ook medewerkers trainen. Een menselijke handeling ligt aan de basis van een groot deel van de cyberincidenten.

De mens is en blijft de zwakke schakel in de beveiliging van het IT-systeem van een onderneming. Bedrijven in alle sectoren zetten daarom hier steeds meer op in. Overal in het bedrijf worden medewerkers er attent op gemaakt dat ze zich bewust moeten zijn van hackers die gebruik willen maken van een onoplettendheid.

Steeds meer bedrijven zijn geïnteresseerd in Phishing-as-a-Service. Deze dienstverlening houdt onder meer in dat valse phishing e-mails worden uitgestuurd naar medewerkers. Via rapporten wordt bijgehouden hoeveel medewerkers hierop ingaan zodat gericht kan worden bijgestuurd door onder meer training aan te bieden.

Soms besteden medewerkers binnen ondernemingen te weinig aandacht aan de confidentialiteit die wordt opgeheven bij het gebruik van gratis platformen, zoals Gmail, Dropbox en ChatGPT. Slechts een enkeling leest de bijhorende algemene voorwaarden. Daarin staat wel degelijk dat deze Outsourced System Providers kennis mogen nemen van de inhoud van de documenten die via deze platformen worden geüpload. Dit kan dus een data breach veroorzaken, waarvoor een cyberverzekeraar helaas niet tussenkomt aangezien de verzekerde dit wist of werd geacht dit te weten. There ain’t no such thing as a free lunch…

Ethische hackers die penetratietesten uitvoeren op vraag van bedrijven gaan niet alleen via de digitale weg aan de slag. Zij trachten zich eveneens fysiek toegang te verschaffen tot het gebouw (bijvoorbeeld als cliënt) om daar via de publiek beschikbare wifiverbinding toegang te krijgen tot het netwerk. USB-sticks worden in jaszakken achtergelaten in de hoop dat een nieuwsgierige medewerker deze in zijn of haar laptop zou steken waarna er malafide software wordt geïnstalleerd. Soms gaat het nog verder: een hacker wandelde in 2022 een Belgische onderneming binnen, deed zich voor als een externe IT-provider die een update kwam uitvoeren aan de kopieerapparaten en kreeg zonder verdere vragen toegang via zijn laptop tot het hele IT-systeem. Het gevolg: een massale hacking van de bedrijfsdata.

Transparante dienstverlening via externe partners

Behalve een sterke focus op de eigen processen, is aandacht voor kwalitatieve partnerships met externe dienstverleners belangrijk. Vele bedrijven zetten vandaag in op hun eigen cyberveiligheid, overigens een vereiste van alle cyberverzekeraars, maar de verzekeraars kijken ook steeds vaker naar bijvoorbeeld de IT-partners waarmee het bedrijf samenwerkt. Uw partners, net als uw leveranciers, vooraf grondig screenen, is meer dan aangewezen. Uw eigen beveiliging kan van topkwaliteit zijn, maar die komt op de helling als die van uw databeheerder of IT-leveranciers dat niet is.

Hoe biedt u tot slot het hoofd aan het cyberrisico van uw onderneming?

Het antwoord op het cyberrisico van elke onderneming is een ‘en-en-en’-verhaal. Beheer uw IT-systeem als een goed huisvader. Uiteraard zijn technologische oplossingen onontbeerlijk, maar geen enkele IT-dienstverlener zal durven beweren dat zijn oplossing elk incident te slim af zal zijn.

Het opleiden van elke medewerker is daarom essentieel en wanneer het dan toch mis gaat, is er een team van specialisten nodig om de eerste hulp te verlenen, alsook de financiële draagkracht van een verzekeraar om de bedrijfsbalans in evenwicht te houden.

De “human firewall” is een zeer belangrijke component in preventie van cyberincidenten. Investeer hierin, net als in IT-technische verweermiddelen, zoals firewalls, multi factor authentication, veilige VPN-verbindingen, off-line back-up systemen, End Detection and Response oplossingen enz.

Wanneer u geconfronteerd wordt met een cyberincident trekt u best niet onmiddellijk de stekker van de server uit, maar verwittigt u uw makelaar en uw verzekeraar zo snel als mogelijk via een noodnummer dat door de verzekeraar 24/7 ter beschikking wordt gesteld, alsook uw IT-dienstverlener. Zo kunnen de juiste mensen in samenspraak met u de nodige stappen zetten om het probleem in te dijken en op te lossen. Tip: sla de relevante telefoonnummers op in uw gsm. Als het IT-systeem geëncrypteerd is, kan u deze immers niet opzoeken op uw laptop. Als u een digitale kopie van uw cyberpolis wil bewaren, doe dit dan op een veilige manier, aangezien dit vaak het eerste is waar cybercriminelen naar op zoek zijn bij een hacking of houd een hard copy bij.

Nu nog meer dan vroeger is het, ook voor kleinere en middelgrote ondernemingen, helaas niet meer de vraag óf een cyberincident zal gebeuren, maar wanneer en dan kan u maar beter voorbereid zijn.

Christophe Liekens – Broker Leader Cyber & Financial Lines Howden Belgium, ere-advocaat aan de Balie te Antwerpen sinds 2016

Lees van dezelfde auteur ook het eerste artikel over cyberrisico’s.