Hoeveel bescherming bieden cyberverzekeringen bedrijven daadwerkelijk?
Terwijl de branche zich aanpast aan de toenemende cybercriminaliteit, verhogen verzekeraars de premies en kijken ze steeds strenger naar wie ze verzekeren en wie niet. Als organisaties niet voldoen aan de minimale vereisten op het gebied van beveiliging en gegevensbescherming, zal een cyberverzekering hen weinig goed doen. Het zou eigenlijk slechts een onderdeel moeten zijn van de toolbox voor digitale veerkracht. Laten we eens kijken naar het grotere plaatje van cyberverzekeringen en wat bedrijven moeten doen om echt gemoedsrust te hebben.
Het Wilde Westen?
Het onderwerp cyberverzekeringen domineerde de afgelopen maanden de cybersecurity-agenda. Ondernemingen zijn wijselijk op zoek naar zekerheid in het licht van bijna onvermijdelijke cyberaanvallen. Recent onderzoek wijst uit dat 85% van de organisaties in 2022 met succes werd aangevallen door ransomware, tegen 76% in het voorgaande jaar. Tegelijkertijd worstelt de verzekeringssector nog steeds om zich aan te passen aan een dreiging die ze niet volledig begrijpt. De prijzen voor cyberverzekeringen zijn wereldwijd ook verhoogd met 28% in Q4 2022. Dit na een eerdere stijging van 53% in het kwartaal daarvoor.
Naast stijgende premies worden verzekeraars steeds kritischer over wie ze wel of niet verzekeren. De minimumnormen voor het afsluiten van een verzekering zijn omhoog gegaan. Ook veranderen de regels over welke incidenten wel en niet worden gedekt. Zo gaf een belangrijke Londense verzekeraar onlangs aan dat ze niet langer door staten gesponsorde cyberincidenten verzekeren. Het voelt allemaal een beetje aan als het Wilde Westen en dat was misschien ook wel te verwachten. Het is een jonge, snelle branche en cyberincidenten hebben een unieke complexiteit waar verzekeraars en organisaties nog steeds niet echt grip op krijgen. Bedrijven moeten hier echter rekening mee houden als ze naar verzekeringen kijken. Een claim indienen kan ingewikkeld zijn, en we weten allemaal dat verzekeraars vooral ook heel erg goed zijn in het niet uitbetalen. Het indienen van een claim kan tijdrovend zijn en er is veel bewijs voor nodig, wat bijdraagt aan de inspanning in de nasleep van een cybergebeurtenis.
Het ‘best case-scenario’
Zelfs met een succesvolle uitbetaling moeten organisaties begrijpen dat dit geen wondermiddel is voor zoiets als ransomware. Hoewel hetzelfde kan worden gezegd van elke vorm van verzekering, kan geld de verliezen dekken, maar lost het de bredere impact van het incident niet op. Bij een cyberaanval zijn de gevolgen unieker en genuanceerder. Er heeft zich namelijk een ernstig beveiligingsincident voorgedaan, en hoewel een financiële buffer zeker helpt, zorgt het er niet voor dat de brand volledig wordt geblust.
In de onmiddellijke nasleep van een incident zoals ransomware, heb je nog steeds de uitdaging dat alles zoveel en zo snel mogelijk moet worden hersteld, vaak in combinatie met het mogelijke strafrechtelijke onderzoek en de verzekeringsclaim die wordt ingediend. Voor de onderneming is het herstellen van gegevens, applicaties en systeembeschikbaarheid cruciaal - elke seconde kan hen duizenden dollars kosten. De extra uitdaging is dat systemen doorgaans niet kunnen worden hersteld naar de plaats waar ze eerder werden gehost (dus waar de aanval plaatsvond), omdat het niet alleen een plaats delict is in een onderzoek, maar je kunt ook niet garanderen dat de omgeving veilig is. Als je kantoor bijvoorbeeld van de ene op de andere dag afbrandt, kun je niet meteen een nieuw kantoor bouwen op dezelfde plek. Je zult in plaats daarvan een alternatieve werkomgeving voor je werknemers moeten zoeken, totdat het kantoor veilig is om naar terug te keren of er een nieuw kantoor staat.
Afgezien hiervan zijn er verschillende potentiële ‘katers’ na het incident. Datakwaliteit is een van de grootste zorgen, dus het is van cruciaal belang om datasets te controleren en te controleren of ze al dan niet beschadigd zijn. Als je herstelt met oudere versies van gegevens en systemen, zorg er dan voor dat deze zo snel mogelijk worden bijgewerkt. In wezen moet je controleren of alles nog intact is en nog steeds integreert en samenwerkt. Tegelijkertijd is het moeilijk om te weten of deze incidenten voorbij zijn, aangezien het risico op herbesmetting door achtergebleven malware op het systeem of de dreiging van dubbele of driedubbele afpersing groot is.
In dit scenario gaan we er vanuit dat het bedrijf is hersteld zonder in te gaan op de ransomware-eisen. Als een organisatie het losgeld wel betaalt (misschien in de veronderstelling dat de verzekering de kosten daarvan zal dekken), dan blijft er een hele reeks problemen over. De belangrijkste uitdaging is de kans dat de gegevens niet kunnen worden hersteld, ondanks het betalen van het losgeld. Zelfs als dit proces succesvol verloopt kan het met behulp van de meegeleverde decoderingssleutels een ongelooflijk traag proces zijn. Een ander risico voor bedrijven die losgeld betalen, zijn herhaalde aanvallen - bendes markeren vaak degenen die betalen, zodat zij of andere groepen later kunnen terugkeren om nog een hap uit de taart te nemen.
Wat kunnen bedrijven doen?
Dit wil niet zeggen dat verzekeringen niet de moeite waard zijn. Ze dienen alleen onderdeel te zijn van een bredere strategie voor digitale veerkracht. Een goed gegevensbeschermingsmodel beschikt over robuuste beveiligings-, back-up- en herstelprocessen. Niet alleen om de kans op een aanval te verminderen, maar belangrijker nog om het bedrijf voor te bereiden om te reageren en te herstellen in het geval van een ramp. Begin met het regelmatig testen en patchen van systemen om kwetsbaarheden te vinden en te verwijderen. Zorg ervoor dat je het personeel in het hele bedrijf traint op het gebied van digitale hygiëne en veilige toegang op afstand. Hierdoor wordt ook het afsluiten van een goede verzekering eenvoudiger en het kan zelfs leiden tot lagere premies. Het volgende dat bedrijven moeten doen, is hun gegevens beschermen en ervoor zorgen dat IT beschikbaar blijft in het geval van een cyberincident.
Ondernemingen moeten identificeren welke gegevens en systemen echt bedrijfskritisch zijn en ervoor zorgen dat deze worden gekopieerd en veilig worden opgeslagen in het geval van een ransomware-aanval. Organisaties gaan er soms vanuit dat ze dit al hebben gecoverd, intern of via hun cloudprovider (dit is een veelgehoorde mythe), maar dat is vaker niet dan wel het geval. Onderzoek onder duizenden zakelijke IT-leiders laat zien dat 79% een ‘realiteitskloof’ heeft tussen de gegevens en systemen waarvan de business units verwachten dat ze beschermd zijn, en de realiteit. Het is ook belangrijk dat gegevens op verschillende manieren in meerdere exemplaren worden opgeslagen, zoals off-site, off-line en dat de kopieën niet gewijzigd kunnen worden (immutable).
Ten slotte moeten bedrijven beschikken over processen voor beschikbaarheidsbescherming en noodherstel om downtime zoveel mogelijk te voorkomen en te verminderen. Uit hetzelfde onderzoek blijkt dat de realiteitskloof op het gebied van beschikbaarheid zelfs nog groter is: vier op de vijf bedrijven hebben er geen vertrouwen in dat hun IT-systemen veerkrachtig genoeg zijn om de bedrijfscontinuïteit te waarborgen. Zelfs met een back-up om te herstellen, moeten IT-teams een omgeving hebben die klaar is om systemen te herstellen (zelfs al is het maar tijdelijk). Organisaties die hun IT-infrastructuur ontwerpen met herstel in het achterhoofd, zullen echt veel gemakkelijker kunnen herstellen.
De cyberverzekeringssector zal blijven veranderen en zich aanpassen naarmate het dreigingslandschap verandert. Dit is echter de normale gang van zaken in de verzekeringsbranche. Hoewel het uitbetalen van verzekeringen organisaties weer op de been kunnen helpen als zich een ramp voordoet, is dit slechts een deel van de puzzel. Aangezien de drempels om je te kunnen verzekeren blijven stijgen, moeten ondernemingen er niet alleen naar streven om aan de vereiste minimumnorm te voldoen, maar in plaats daarvan streven deze volledig te overtreffen met een meer holistische benadering van gegevensbescherming.
Door: Dave Russell (foto), vice-president Enterprise Strategy bij Veeam
