Verslag: Cyberverzekeringen in het FERM Port Cyber Café van 10 maart

We staan aan de vooravond van de lente, dus het is hoog tijd voor het eerste FERM Port Cyber Café van 2022. In de bijeenkomst van vanmiddag, donderdag 10 maart, stonden we samen met onze sprekers stil bij het onderwerp cyberverzekeringen, dat gezien de huidige geopolitieke situatie en de constante dreiging van cyberaanvallen wellicht alleen maar relevanter is geworden. We nemen je daarom graag mee in een korte samenvatting.

Een cyberverzekering kan schades en omzetverlies na cyberincidenten, datalekken of aanvallen met ransomware dekken. Ook kunnen de kosten van en assistentie bij afpersing onderdeel zijn van het pakket, net als voorzieningen ter beperking van imagoschade. Daarnaast kan een verzekering een totaal ontzorgconcept bieden, zoals een 24/7 noodnummer en assistentie bij het opstellen en uitvoeren van een incident response plan.

Maar hoe gaat het er anno 2022 eigenlijk aan toe in de wereld van cyberverzekeringen? Waar mag je op rekenen? Waarop expliciet niet? En wat zijn zoal de kosten van de gemiddelde dekkingen? Deze en andere vragen stonden centraal in het Port Cyber Café, waarin we uiteraard ook bij de actualiteiten stil hebben gestaan – bij monde van moderator Chris van ’t Hof en natuurlijk FERM-directeur Evelien Bras. Aan tafel bij Chris treffen we Wilco de Haan, directeur van Schouten Zekerheid, en Erwin Maas, CERT Manager bij Northwave.

Je kunt hier de gehele bijeenkomst terugkijken. Het verslag gaat eronder verder.

Voordat we in gesprek gingen, stelden we in de chat van de bijeenkomst – hopelijk als laatste volledig digitale editie – ook de vraag wie er al voorzien is op het gebied van cyberverzekeringen, zodat we daar later op terug kunnen komen. Daarnaast nam Bras de gelegenheid om de huidige ontwikkelingen bij FERM even te bespreken vanuit de actuele ontwikkelingen en de verhoogde cyberdreigingen door de situatie in Oekraïne, waar onder meer op 23 februari en op woensdag 9 maart extra webinars voor werden ingelast.

Die eerste, met het onderwerp digitale weerbaarheid en georganiseerd vanuit Stichting FERM en onze partners Deltalinqs, het Havenbedrijf Rotterdam en de Veiligheidsregio Rotterdam-Rijnmond, kun je hier terugkijken. Het webinar van 9 maart werd georganiseerd door NCSC en DTC en is hier terug te kijken.

Door naar het onderwerp van de dag. Uit de poll in de chat blijkt dat organisaties in de meeste gevallen nog geen verzekering hebben, en bij de bijeenkomst zijn aangesloten om vooral iets meer over cyberverzekeringen te weten te komen. “Laat ik beginnen met het feit dat deze poll representatief is voor Nederland”, zegt Wilco de Haan in reactie daarop. De dekkingsgraad is niet hoog, want ondanks dat we een verzekeringsland zijn, is de cyberverzekering nog niet breed uitgerold.

“Het is ook niet de oplossing voor alle problemen. Het zorgt in de basis voor de continuïteit van je organisatie in de financiële zin, de polis is een afweging die je ook in dat licht moet bezien. ‘Als we dan toch geraakt worden, hebben we dan een zak met geld nodig – bijvoorbeeld om de gevolgen op te vangen, of een organisatie als Northwave inschakelen – of kunnen we dat zelf opvangen?’. Daar is primair de verzekering voor bedoeld.”

Om er een statistiek bij te pakken: bij de grotere organisaties is zo’n 15 procent met cyberverzekeringen bezig, bij het MKB leeft dat nog veel minder. “Tegelijkertijd is de ransom fee van een gemiddelde ransomwareaanval oplopen tot hele procenten van je omzet”, vult Maas aan, “dus je kunt voor jezelf uitrekenen om wat voor bedragen dat gaat.” En daar blijft het dan niet bij. Want, “er moeten ook middelen zijn voor recovery, er moet een crisis gemanaged worden, en er zijn kosten verbonden aan het achterhalen van de lek. Het gemak van een verzekering is dan wel dat je in zo’n geval bij ons aan kan kloppen.”

Stel, je wil meer weten over de mogelijkheden, of bij een partij als Schouten aan de slag met een cyberverzekering, hoe werkt dat dan? Laten we die stappen even doorlopen, te beginnen bij een intake.

“We doen even een stapje terug. Je hebt als organisatie grofweg twee kostenposten bij een cyberincident of -aanval. Je hebt de interne kosten, met betrekking tot de eigen organisatie en gebaseerd op onderdelen van herstel en continuïteit. Daarnaast heb je mogelijk kosten bij derde partijen: de aansprakelijkheidsclaims. Die kosten zitten in de polis, net als eventuele kosten bij de AP in geval van een datalek, en dat zijn de zaken waar we naar moeten kijken.”

“Bij de intake maken we een knip tussen groot en klein. Bij omzetten tot 25 miljoen zijn er namelijk zes, zeven, acht verzekeraars in Nederland die pre-prices offertes bieden. Boven de 25 miljoen, ook hier weer afhankelijk van de sector, komen we in een maatwerktraject. De verzekeraar kijkt dan naar identificatie, beheersing, detectie en response, om een risicoprofiel op te kunnen stellen.” De verzekeringsmaatschappij verwacht bijvoorbeeld dat je zelf een aantal maatregelen heb genomen om cybercriminaliteit te voorkomen. Laat computers bijvoorbeeld niet onbeheerd achter en installeer geregeld de benodigde updates, bijvoorbeeld.

“Dat gaat van vragen als hoe aware ben je, heb je een CISO, is er een crisisteam en wordt daar op geoefend, tot de vraag welke systemen zijn er, hoe is het incident response plan ingericht. Hoe privacygevoelig is je data, hoe zit je systeem in elkaar, wat is je rol in de keten – et cetera. Dat geheel creëert het risicoprofiel. En dat sturen we uit naar verzekeraars om daarop offertes te vergelijken.”

Erwin, zitten alle onderdelen hier in wat betreft een scan voor een blik van buitenaf? “Ja, prevent, detect, response, daar zijn wij ook mee bezig voor een risicoprofiel. Een state of security-check is daar ook op ingericht, op deze zelfde punten. Gaan we een laag dieper, dan nemen we daar incident readiness in mee. Ons red team, de ethical hackers, gaat vervolgens kijken hoe en waar ze binnen kunnen komen. En dan aan het einde is er de check met onze CERT (Computer Emergency Response Team).”

Ok, volgende stap, in de chat ondertussen: stel, de hackers komen binnen en het proces van een productiestraat wordt geraakt. Zijn dan alle productieverliezen en de herstelkosten (response) te verzekeren? Nou, ‘alle’ is wat snel gesteld,” zegt Jurgen van der Vlugt van consultant Maverisk. “Maar dat soort niet-IT-schades is juist waar het bij cyberverzekeringen om gaat. Mits de oorzaak in de IT zit. Anders zijn er andere verzekeringen uiteraard.”

“Imagoschade is bijvoorbeeld niet te verzekeren”, zegt De Haan. “Er zijn out-of-pocket kosten om herstelwerkzaamheden te doen, met marketing, PR, consultants, en dat kost ook geld. Maar je kunt imago niet kwantificeren, of daar een bedrag op zetten.

Dan het bekende tegenargument: een cyberverzekering houdt toch ook het verdienmodel van vormen van cybercrime zoals ransomwareaanvallen in stand?

“Eens”, zegt De Haan. “Maar jij zal maar die ondernemer zijn, die zijn bedrijf dreigt te verliezen aan zo’n incident.” Dan staan de ethische overwegingen om criminelen te belonen voor hun werk inderdaad in een ander licht. En hoe zit dat wettelijk, om meteen weer een vraag in de chat mee te nemen; kun je bijvoorbeeld wel met crypto betalen, wat vaak de eis is bij ransomware? Banken zijn zeer terughoudend in het overmaken van bedragen door zakelijke rekeningen naar bijvoorbeeld Binance, Kraken et cetera in verband met witwasregels. Ben je nog gedekt, of misschien zelfs strafbaar, als je geld vanuit bijvoorbeeld rekening courant overmaakt naar een privé rekening om vervolgens in privé de crypto betaling te kunnen doen?

“Op de details van de betaling zal ik niet ingaan, maar een bedrijf kan dat inderdaad niet doen. Als Northwave hebben we wel contacten met Bitcoin marktplaatsen.” Met andere woorden, je kunt een organisatie zoals Northwave betalen, zodat zij de vergoeding van de losgeldsom op zich nemen.

Om af te sluiten met een advies, beantwoordt Maas deze vraag bevestigend. Het geeft een hoop rust, en maakt dat je de juiste partijen in kunt schakelen om je bedrijfscontinuïteit te waarborgen. Voor het volledige gesprek verwijzen we je graag naar de terugkijklink van deze bijeenkomst, die we hier zo spoedig mogelijk zullen delen.

De digitale bijeenkomst van 10 maart was de eerste van dit kalenderjaar, de verdere edities van 2022 staan alle vier reeds op de agenda. Dat zijn de donderdagen 14 april, 30 juni, 15 september en 17 november. De eerstvolgende bijeenkomst op 14 april staat overigens in het teken van groot helpt klein en de circle of trust in een keten. Daarvoor zal Vincent Schijven van TÜV Nederland aanschuiven, we hopen je binnenkort ook weer fysiek welkom te heten!

Over de FERM Port Cyber Café’s
In de periodieke FERM Port Cyber Cafés duiken we samen met experts uit het vak in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied. Je leest alle verslagen op ferm-rotterdam.nl/port-cyber