Cyberverzekering

Hoe wordt mijn bedrijf verzekerbaar?

Job Kuijpers
CEO

Een cyberverzekering begint aan populariteit te winnen, toch heeft slechts een handvol mkb-organisaties zo’n verzekering afgesloten. Vaak hebben bedrijven wél een brandverzekering, terwijl de kans op een cyberincident veel groter is dan op brand. Door het stijgende aantal incidenten stellen verzekeraars steeds strengere voorwaarden om in aanmerking te komen voor zo’n verzekering. Hoe zorg je dat je aan deze voorwaarden voldoet?

Organisaties die het risico op cyberincidenten kennen, hebben vaak al een cyberverzekering afgesloten. Heeft jouw bedrijf dat nog niet? Dan is het verstandig om dat nu wel te gaan doen. De belangrijkste reden voor het lage aantal afgesloten cyberverzekeringen in het mkb is volgens Job Kuijpers, CEO en oprichter van EYE Security, de misconceptie van ondernemers dat zij geen interessant doelwit vormen voor cybercriminelen. “Maar cybercriminelen vallen niet specifiek een organisatie aan. Dat doen ze wellicht wel bij de grote multinationals, maar bij het mkb schieten ze met hagel en voeren ze een aanval op grote schaal uit en zien ze vanzelf wel wat daaruit komt. Of jouw organisatie aan de beurt komt, berust dus vaak op toeval en onvoldoende beveiliging. Een zwakke beveiliging betekent dat je sneller slachtoffer wordt.” 

Alles digitaal

Bovendien zijn veel mkb-bedrijven zich niet bewust van de mate waarin ze inmiddels zijn gedigitaliseerd. Zeker sinds de wereld anderhalf jaar geleden gedwongen werd veel meer online te werken, zijn organisaties heel afhankelijk geworden van technologie. Denk maar aan je boekhoudpakket, aan de planning, en aan de systemen die je gebruikt om met elkaar samen te werken.

Vaak realiseren bedrijven zich niet in welke mate ze afhankelijk zijn geworden van digitale systemen. Pas wanneer die stil komen te liggen, schrikken ze zich dood, omdat ze dan zien dat ze niets meer kunnen.

Gemiddeld drie ton schade

Met een cyberverzekering ben je gedekt tegen onder meer de kosten die het gevolg zijn van een cyberincident. Of dat nu een datalek is, een hack of een ransomware-aanval. Het verschilt per verzekering welke kosten precies gedekt zijn, maar je kunt denken aan de kosten die je als bedrijf moet maken om direct na het incident in kaart te brengen wat er is gebeurd en om je organisatie weer draaiende te krijgen. Daarnaast zijn er de kosten voor IT-herstel. “Dat zijn kosten om bijvoorbeeld alle data weer op de juiste plek binnen je systemen te krijgen. Je ziet in de praktijk dat deze kostenpost snel fors kan oplopen.” En denk aan kosten voor juridische ondersteuning en de financiële schade die je oploopt wanneer je bedrijf stilstaat. Kuijpers schat dat een getroffen mkb-ondernemer gemiddeld zo’n drie ton euro kwijt is na een cyberincident. 

Voorwaarden aan verzekering

“De kans dat jouw organisatie wordt getroffen door brand is 1 op de 8.000”, stelt Kuijpers. “De kans dat jouw organisatie wordt getroffen door een cyberincident is 1 op de 8.” Verwonderlijk dus dat vrijwel ieder bedrijf een brandverzekering afsluit, maar niets regelt voor cyberincidenten. Zeker nu cybercriminaliteit in hoog tempo professionaliseert en het aantal aanvallen hand over hand toeneemt. Dat zorgt er ook voor dat veel verzekeraars inmiddels voorwaarden stellen aan bedrijven die een cyberverzekering willen afsluiten. “Je ziet al lijsten met 150, veelal technische, vragen voorbijkomen voordat een verzekeraar ook maar wil overwegen om jou te verzekeren”, vertelt Kuijpers. Zulke lijsten kunnen afschrikken, maar hij adviseert om de koe bij de hoorns te vatten en sowieso te zorgen voor veilige systemen. “Wanneer je een oude auto waar je twintig jaar geen onderhoud aan hebt laten plegen, wegbrengt voor de APK, kun je van tevoren al bedenken welke zaken je moet laten doen. Denk aan nieuwe banden, nieuwe ruitenwissers, nieuwe remvloeistof. Voor cybersecurity geldt hetzelfde; wanneer je je al een paar jaar niet echt hebt verdiept in de beveiliging van jouw systemen, heeft het geen zin om een verzekering aan te vragen. Je moet eerst de cyberhygiëne op orde hebben.” 

Professionele beveiliging

Helaas is het niet meer voldoende om tweefactorauthenticatie aan te zetten en regelmatig backups te maken. Verzekeraars eisen een professionele beveiliging van je organisatie. Die bestaat op zijn minst uit monitoring en detectie, een goede voorbereiding op mogelijke incidenten en het vermogen om de schade van een aanval te beperken en je bedrijf snel weer up and running te hebben. “De criminele industrie is eigenlijk te professioneel geworden om dit soort beveiliging nog zelf te kunnen doen als mkb-organisatie”, stelt Kuijpers. “Je moet fulltime kunnen bijhouden welk soort aanvallen er plaatsvindt en welke technologie je nodig hebt om je daartegen te verdedigen. Dat is echt gespecialiseerd werk geworden. Zelfs zo specialistisch dat de meeste reguliere IT-leveranciers dit niet meer als dienst kunnen aanbieden, maar daarvoor vaak samenwerken met securityspecialisten.”

Gegarandeerd gespecialiseerde hulp

Zoals met alles in het leven, geldt dat voorkomen beter – en in het geval van een cyberincident: goedkoper – is dan genezen. “De grote winst zit hem in preventie”, aldus Kuijpers. “Bovendien kun je in 2021 geen professioneel bedrijf runnen waarin de backbone en digitale processen niet veilig zijn.” Het op orde krijgen en houden van de beveiliging van je IT-systemen is dus cruciaal om verzekerbaar te zijn en de continuïteit van je onderneming te waarborgen. Maar er is nog een ander belangrijk punt, stelt de EYE-CEO. “Wat veel ondernemers zich niet realiseren, is dat de vraag naar cybersecuritydiensten zo groot is, dat veel leveranciers gewoonweg vol zitten en soms ‘nee’ moeten verkopen. Op het moment dat jij getroffen bent door een aanval, is dat wel het laatste woord dat je wilt horen. Het grote voordeel van een verzekering is dat je gegarandeerd geholpen wordt. Vergelijk het met de ANWB. Als je met pech langs de weg komt te staan, weet je je door je lidmaatschap verzekerd van pechhulp.” Schakel dus op tijd een specialist in om de beveiliging van je digitale systemen op orde te brengen en denk serieus na over het afsluiten van een cyberverzekering.