Adviesalerts! Cyber

1. 30 november 2021, door Toon Berendsen
2. 0 reacties

Het kabinet wil niet langer dat verzekeraars losgeld vergoeden dat is betaald aan cybercriminelen. Dat wil zeggen, zo ging het verhaal op het moment van schrijven van dit artikel. De vraag is hoe realistisch een verbod is. Want je rekent niet per se af met losgeldbetalingen. Bovendien, zo werd ook aangegeven in de vorig jaar verschenen VVP-special Cyber, kan het betalen van losgeld soms echt het laatste redmiddel zijn bij belangrijke bestanden die zijn gegijzeld.

Inge Bryan, CEO van FOX-IT, zei onlangs bij BNR (in een programma dat overigens hoe dan ook de moeite van het beluisteren waard was): “De ontwikkeling die je nu ziet, met name in de Angelsaksische wereld, is een soort van criminalisering van losgeld betalen. Publieke actoren zou het verboden moeten worden losgeld te betalen, verzekeraars zou het verboden moeten worden losgeld te vergoeden. Daar ben ik het pertinent mee oneens. We moeten heel scherp in de gaten houden: wie is hier het slachtoffer? Ik vind niet dat je diens laatste strohalm mag wegnemen.”

Wordt ongetwijfeld vervolgd. Tot een eventueel verbod lijken adviseurs er verstandig aan te doen cyberverzekeringen te (blijven) kiezen die losgeld vergoeden. Niet alle polissen doen dit.

Bekijk als adviseur hoe dan ook goed de voorwaarden van de verschillende verzekeraars, want daar zitten – en heus niet alleen als het gaat om vergoeden van losgeld – soms belangrijke verschillen tussen. Een handig hulpmiddel hierbij zijn de verzekeringskaarten die verzekeraars verplicht zijn op te stellen. Verzekeraars moeten deze dan natuurlijk wel actueel houden en ze moeten een beetje makkelijk vindbaar zijn.

Kijkend naar polisvoorwaarden valt de bijzondere benadering op van De Goudse. Deze maatschappij hanteert bij haar cyberverzekering “geen dichtgetimmerde polisvoorwaarden, maar één A4’tje met spelregels. Hierin leest u wat u moet doen om cybercrime te voorkomen, hoe wij u daarbij helpen en wat wij voor u doen als het toch fout gaat”.

Minimaal acht tekens

Hoe ze het ook brengen, in de vorm van voorwaarden of spelregels, verzekeraars stellen nadrukkelijk eisen aan risico-inventarisatie en preventie. Zo is er een maatschappij die verlangt dat wachtwoorden bestaan uit minimaal acht tekens. Voorheen leken cyberverzekeraars in geval van schade niet altijd heel strikt te kijken of alle beveiligseisen waren nageleefd. Maar nu de schadelast oploopt, is dit veranderd. Maar juist het creëren van preventiebewustzijn is zo enorm lastig, niet alleen als het gaat om cyberbeveiliging trouwens.

Volgens Marie-Louise de Smit, Cyber Broking Director bij Aon’s Cyber Solutions, moet cybersecurity binnen organisaties fors verbeterd worden willen de verzekeringen betaalbaar blijven. De Smit eerder dit jaar op de website van de broker: “Of we verbeteren massaal, over de gehele breedte van het bedrijfsleven, onze cybersecurity. Verzekeraars blijven dan hoogstwaarschijnlijk geneigd om het restrisico te verzekeren, omdat er dan ook een brede basis is aan maatregelen waardoor de schade beperkter wordt. Wat echter ook kan, maar niet wenselijk is, is dat cyberverzekeringen enorm duur worden en alleen voor hele grote bedrijven nog betaalbaar zijn.”

Wat ons betreft nog steeds een goede tip: de Risicoklassenindeling Digitale Veiligheid, te vinden op de website van het Digital Trust Center.

Ondertussen is het te gek voor woorden dat de ontwikkeling van keurmerken cyberbeveiliging achterblijft. Keurmerken zijn nooit een garantie, maar kunnen natuurlijk toch wel helpen bij het kiezen van goede cyberbeveiliging en -beveiligers.

Dora

Adviseurs moeten natuurlijk zelf ook aan cyberbeveiliging doen. Een van de zaken die daarbij op ze afkomt is de Europese Digital Operational Resilience Act (DORA). De AFM noemt het “belangrijk voor financiële ondernemingen om zich op de invoering (voorzien over ruim een jaar, red.) tijdig voor te bereiden”. De vraag is ook hier weer of de impact voor kleine ondernemingen even groot zal zijn als voor grote.

DORA stelt eisen aan financiële organisaties ten aanzien van: IT-risicomanagement, IT-incidenten, periodieke testen van digitale weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden. Daarbij wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van individuele organisaties.

Met DORA heeft de Europese Commissie drie hoofddoelen voor ogen: de versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren, een basiskader scheppen voor financiële organisaties waarvoor nog geen regelgeving is, het beter mitigeren van risico’s van uitbesteding door de financiële sector aan kritieke digitale derde dienstverleners.

Leidraad

In Nederand is de aandacht voor uitbestedingsrisico’s al steeds groter geworden. Het Verbond van Verzekeraars en de NVGA introduceerden onlangs de nieuwe leidraad IT-risico’s Volmacht. De leidraad besteedt nadrukkelijk aandacht aan uitbesteding: “Het is voor gevolmachtigden van belang dat de prestaties van de dienstverlener overeenkomen met de eigen prestaties. In de contractvoorbereidingsfase wordt dan ook aandacht besteed aan de prestatie en monitoring hiervan. De maatregelen worden in een contract vastgelegd.”

De AFM onderzocht eerder dit jaar een aantal pakketten voor adviessoftware. In het onderzoeksrapport een aantal specifieke aandachtspunten voor opslag van data via cloudsoftware. De toezichthouder: “De leverancier van de adviessoftware zorgt doorgaans voor opslag van klantgegevens in de cloud. Verzeker u ervan dat de klantinformatie daar goed beveiligd is, bijvoorbeeld door naar certificeringen te vragen, zoals ISO 27001. En maak afspraken over bewaartermijnen en beschikbaarheid van data.”

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen