Blogs

Cybersecurityverzekering overbodig met verantwoordelijke leveranciers

cybersecurityverzekering

Een cybersecurityverzekering is overbodig als leveranciers hun verantwoordelijkheid nemen en de schade compenseren, stelt Eric van Sommeren van SentinelOne in dit blog.

Verstandige werkgevers zorgen ervoor dat hun medewerkers een goede zorgverzekering hebben, en dat er een solide bedrijfs­aansprakelijkheidsverzekering is afgesloten. Dat is nodig, want als je medewerker per ongeluk de laptop van een klant laat vallen of erger nog, de klant zelf beschadigt, kunnen de kosten flink oplopen. Materiële schade, letselschade of gevolgschade; overal zijn verzekeringen voor. Nederlanders staan erom bekend zich tegen van alles te verzekeren, want een ongeluk zit in een klein hoekje. Tegenwoordig kunnen bedrijven zelfs een cybersecurityverzekering afsluiten.

Door Eric van Sommeren, regional sales director bij SentinelOne.

Volgens het World Insurance Report geven we maar liefst 4 procent van ons inkomen uit aan verzekeringen en dat doet geen enkel land, behalve Zwitserland, ons na. Maar wat betekent dit eigenlijk? Niet zoveel: van die 4 procent gaat een groot gedeelte op aan premies voor zorgverzekeringen. Die worden in Nederland door de burger zelf betaald, maar in veel andere landen wordt de zorgpremie via de belasting verrekend.

We geven dus daadwerkelijk niet zoveel geld uit aan verzekeringen, maar hebben wel een bijzonder brede waaier aan polissen. Tegenwoordig kunnen bedrijven ook een cybersecurityverzekering afsluiten. Volgens verzekeraar AON zijn bedrijven steeds bezorgder over de toegenomen aansprakelijkheden als het online een keer mis gaat. Vooral de financiële en operationele gevolgen van cyberaanvallen kunnen een flinke impact hebben. Daarom willen organisaties een uitgebreide cyberverzekering die deze gevaren dekt.

Een verzekering die alleen draait om cyberbescherming is natuurlijk een prima initiatief, maar ik vraag me af hoe dit in de praktijk werkt. Iedereen die wel eens aanspraak op een verzekering heeft gemaakt, weet dat verzekeraars zeer bedreven zijn in het afwijzen van claims of slechts beperkt uitbetalen in geval van schade. Woon je bijvoorbeeld in Amsterdam, en wordt er bij een inbraak je MacBook en wat andere apparatuur gestolen? Dan heb je pech, want in grote steden wordt er maximaal 2.500 euro uitgekeerd. Dit zijn namelijk risicogebieden.

Als je deze situatie vertaalt naar organisaties die zich willen verzekeren tegen cybercriminaliteit, dan zullen banken, zorginstellingen en overheden het lastig hebben. Dit zijn namelijk allemaal gewilde doelwitten van cybercriminelen: risicogebieden dus. Daarnaast is het moeilijk te bewijzen wie of wat de oorzaak is van eventuele cyberschade. Daarvoor heb je IT-experts nodig die aantonen dat je bedrijf het slachtoffer is van een cyberaanval buiten jouw schuld, en niet als gevolg vermijdbare ‘zwakheden’. Bijvoorbeeld systeembeheerders die structureel verzuimen software updates door te voeren, of lakse medewerkers die hun passwords nooit aanpassen. Deze IT-experts zijn schaars, dus ik voorzie claims die jaren lopen voordat er duidelijkheid wordt verschaft, en uitbetaald wordt.

Een cybersecurityverzekering is wellicht de oplossing niet, maar door de aangescherpte wet- en regelgeving is het wel essentieel om inzichtelijk te hebben welke producten het netwerk beschermen. Vervolgens kan de Chief Risk Officer of Chief Information Security Officer (of gewoon de IT beheerder) besluiten om securityoplossingen in te zetten waarvan de leverancier garandeert dat ze optimaal beveiligen. En als de producten niet doen wat beloofd is, dan krijgt de klant direct een afdoende vergoeding. SentinelOne is zo’n bedrijf. Wij zijn zo overtuigd van onze Next Generation security-oplossing, dat we onze klanten compenseren voor geleden schade wanneer onze oplossing een infectie niet heeft kunnen voorkomen.

Is dit bijzonder? Ja, maar dat zou het niet moeten zijn. Ik koop een regenjas omdat het mij beschermt tegen de regen, installeer op mijn huis schermen tegen de zon. Als deze producten niet werken, dan ga ik terug naar de winkel en krijg mijn geld terug. Waarom zou het anders zijn in de IT-branche? Het wordt tijd dat leveranciers hun verantwoordelijkheid nemen en klanten compenseren voor de geleden schade, als hun product de beloofde beveiliging niet heeft waargemaakt. Dat scheelt enorm in tijd en kosten. En het mooiste: dan hoeven organisaties ook geen cybersecurityverzekering af te sluiten.

Naar boven