Cyberverzekeringen zijn niet langer iets dat bedrijven kunnen kopen en vergeten. Nu ransomware, phishing, zakelijke e-mailaanvallen en AI-ondersteunde aanvallen steeds vaker voorkomen, veranderen verzekeraars hun rol. Ze betalen niet alleen claims na een incident. Ze beslissen nu of een organisatie veilig genoeg is om überhaupt te verzekeren.
De les is duidelijk van de stad Hamilton, Ontario. In februari 2024 kreeg de stad te maken met een ransomware-aanval die de dienstverlening in de hele gemeente verstoorde. Hamilton weigerde het losgeld van 18,5 miljoen dollar te betalen en herstelde binnen 48 uur de essentiële diensten, maar sommige systemen bleven wekenlang getroffen. Een jaar later ontkende de cyberverzekeringsmaatschappij de claim van de stad nadat onderzoekers ontdekten dat verschillende afdelingen geen multi-factor authenticatie hadden geïmplementeerd voor werknemers die toegang hadden tot interne systemen.
Dat detail was belangrijk. Het beleid zei naar verluidt dat de dekking ongeldig zou kunnen worden verklaard als de inbreuk verband hield met het ontbreken van elementaire beveiligingscontroles, waaronder MFA. Met andere woorden, verzekeringen zijn niet in de plaats gekomen van veiligheid. Uit de ervaring van de stad blijkt dat de dekking afhangt van de vraag of een organisatie kan aantonen dat zij voldoet aan de door de verzekeraar vereiste minimumnormen.
Dit wordt het nieuwe model voor cyberverzekeringen. Verzekeraars stappen over van passieve acceptatie naar actieve veiligheidsbeoordeling. Ze willen weten of een bedrijf beschikt over MFA, eindpuntdetectie en -respons, logboekregistratie, patchdeadlines, geteste back-ups, segmentatie, training van medewerkers en procedures voor incidentrespons. Een bedrijf dat geen bewijs van deze controles kan overleggen, kan te maken krijgen met hogere premies, een beperktere dekking of regelrechte afwijzing.
De timing is niet toevallig. Cyberaanvallen worden steeds gemakkelijker te lanceren en moeilijker te beheersen. Generatieve AI heeft de vaardigheidsbarrière voor aanvallers verlaagd, waardoor phishing-e-mails overtuigender zijn geworden en grootschalige aanvallen mogelijk zijn. Het compromitteren van zakelijke e-mail blijft een van de meest voorkomende bronnen van claims, omdat deze zich richten op mensen en niet alleen op systemen. Zelfs organisaties met sterke perimeterinstrumenten kunnen nog steeds worden blootgesteld als werknemers worden misleid, identiteiten te veel worden vertrouwd of controles op inconsistente wijze worden toegepast.
Daarom zijn door verzekeraars geleide audits nu van belang. Ze dwingen bedrijven om cyberbeveiliging te beschouwen als een meetbare bedrijfsvereiste. Beveiligingsteams moeten controles documenteren, bewijzen dat systemen worden gemonitord, oefeningen uitvoeren, bewijsmateriaal voor verlengingen bijhouden en aantonen dat de risico’s worden verminderd. Dit kan frustrerend zijn, maar het zorgt ook voor discipline. Voor veel organisaties, vooral kleine en middelgrote bedrijven, kunnen verzekeringseisen het duwtje in de rug zijn dat er uiteindelijk voor zorgt dat basiscontroles gefinancierd en geïmplementeerd worden.
Firewalls blijven belangrijk, maar zijn niet voldoende. Een firewall kan verkeer monitoren, verdachte toegang blokkeren en de blootstelling aan de netwerkrand verminderen. Maar het kan risico’s niet uitsluiten. Verkeerde configuraties, gestolen inloggegevens, zero-day-kwetsbaarheden, aanvallen op de toeleveringsketen, bedreigingen van binnenuit en menselijke fouten kunnen nog steeds tot inbreuken leiden. Zelfs sterke technische verdedigingsmechanismen kunnen niet automatisch de juridische, financiële, operationele en reputatieschade dekken die volgt op een succesvolle aanval.
Dit is waar cyberverzekeringen nog steeds waarde hebben. Wanneer een beleid hierop reageert, kan het forensisch onderzoek, juridisch advies, public relations-ondersteuning, onderhandelingen over losgeld, hersteldiensten en verliezen door bedrijfsonderbrekingen financieren. Verzekeraars kunnen ook toegang bieden tot doorgelichte incidentresponspartners die veel bedrijven tijdens een crisis moeilijk zouden kunnen vinden. Bij een ernstige inbreuk kan die coördinatie de stilstandtijd verminderen en de totale schade beperken.
Maar bedrijven mogen er niet van uitgaan dat elke claim zal worden betaald. Het weigeren van claims gebeurt vaak vanwege een verkeerde voorstelling van zaken, uitsluitingen, niet bekendgemaakte risico’s of het niet voldoen aan de polisvoorwaarden. Als een organisatie zegt overal MFA te hebben, maar dat niet heeft, of beweert back-ups te hebben getest die nooit zijn gevalideerd, kan de verzekeraar de claim aanvechten. Het beleid is niet langer louter een financieel document. Het is een zekerheidscontract.
Het bredere resultaat is dat verzekeringsmaatschappijen informele toezichthouders op het gebied van cyberbeveiliging worden. Ze stellen minimumnormen vast door middel van acceptatie en verlengingen, vooral voor organisaties die geen volwassen beveiligingsprogramma’s hebben. Dit zal zich waarschijnlijk voortzetten naarmate de door AI aangestuurde dreigingen verder toenemen en verzekeraars proberen hun eigen blootstelling onder controle te houden.
Cyberverzekeringen zijn nog steeds belangrijk. Maar het moet worden behandeld als onderdeel van een risicostrategie, en niet als vervanging van veiligheid. De organisaties die het best gepositioneerd zijn om van een verzekering te profiteren, zullen degenen zijn die kunnen bewijzen dat ze de basisbeginselen hebben gedaan: identiteiten beschermen, systemen monitoren, snel patchen, werknemers trainen, back-ups van kritieke gegevens maken en hun reactieplannen testen voordat aanvallers dat doen.
