De verrassende meerwaarde van cyberverzekeringen

Cybercriminaliteit is niets nieuws onder de zon. Denk maar aan ransomware, vandaag veel effectiever in het genereren van inkomsten dan ooit tevoren. Veel bedrijven sloten dan ook verzekeringen af om zich te beschermen tegen de grote financiële gevolgen van ransomware, wat de vraag tot ongekende hoogten deed stijgen en de sector erg volatiel maakt. Premies gaan omhoog, er zijn meer regels over wat wel en niet gedekt is en er zijn minimum normen voor bedrijven die zich willen verzekeren. Dit lijkt slecht nieuws, maar eigenlijk zijn deze ontwikkelingen positief.

Verzekeringen voor de digitale wereld

Mensen denken soms dat cyberbeveiliging iets mysterieus is. In realiteit lijken onze fysieke en digitale wereld veel meer op elkaar dan we denken. Dertig jaar geleden dachten bedrijven in de eerste plaats aan brand- en diefstalverzekeringen om hun kritieke bedrijfsmiddelen te beschermen. Vandaag zijn hun risico's meer digitaal. Volgens het Veeam Data Protection Trends Report 2024 hadden drie van de vier organisaties vorig jaar ten minste één keer te maken met een ransomware-aanval. Een derde van deze organisaties werd zelfs vier keer of meer aangevallen.  

Niet verwonderlijk sluiten steeds meer organisaties een cyberverzekering af. Van deze sector wordt dan ook verwacht dat hij 24% zal groeien tot een industrie ter waarde van meer dan 84 miljard dollar in 2030. Naarmate meer bedrijven meer verzekeringen afsloten en terugvorderden, stegen ook de kosten, net als de premies, gestaag, de afgelopen drie jaar. Verzekeraars willen cyberbescherming natuurlijk winstgevend houden. Daarom hanteren ze een uitgebreide risicobeoordeling, introduceren ze minimum veiligheidsnormen en bieden ze een lagere dekking.

Beloon criminelen niet

De vraag van 1 miljoen: betalen of niet? Hoewel velen beweren dat verzekerde bedrijven minder snel losgeld betalen, blijkt uit een rapport van 2023 dat 77% van de losgelden door de verzekering is betaald. Iets wat verzekeraars meer en meer proberen te vermijden. Uit hetzelfde rapport blijkt dat 21% van de verzekeringsorganisaties ransomware nu expliciet hebben uitgesloten van hun polissen. Ze dekken de kosten van downtime en schade, maar niet de kosten van afpersing.

Naar mijn mening is deze laatste aanpak de beste. Losgeld betalen is geen goed idee. En zeker niet iets waar verzekeringen voor dienen. Ethisch is het onverantwoord, misdaad wordt er namelijk door aangewekkerd en bovenal: het lost het probleem niet op, maar creërt nieuwe. Ransomware-bendes markeren bedrijven die betalen, zodat ze weten dat ze daar nog eens kunnen toeslaan. Of ze delen de informatie met andere bendes. Onderzoek bevestigt dat 80% van de bedrijven die losgeld betaalden een tweede keer is getroffen. Maar zelfs voordat het zover is, loopt het herstel na de betaling van losgeld zelden van een leien dakje. Het herstellen met de decryptiesleutels die door de aanvallers worden geleverd duurt lang. Vaak wordt er per sleutel ook extra losgeld gevraagd. En dan mag je al blij zijn dat de decryptie werkt. Eén op de vijf bedrijven slaagt er niet in zijn gegevens te herstellen, ook al betaalden ze losgeld.

De lat hoger leggen

Gelukkig sterft het betalen van losgeld via verzekeringsgeld langzaam uit. Maar er verandert ondertussen nog meer. Bedrijven die een cyberverzekering willen, moeten steeds vaker voldoen aan minimumeisen op het vlak van beveiliging en weerbaarheid tegen ransomware. Dit kan door het gebruik van versleutelde en onveranderlijke back-ups (immutable) of het implementeren van best practice dataprotectie-principes zoals least privilege (alleen toegang geven aan degenen die het nodig hebben) of vier ogen (eisen dat belangrijke wijzigingen of verzoeken door twee personen worden goedgekeurd). Sommige beleidsregels vragen ook dat bedrijven robuuste plannen hebben om de beschikbaarheid van systemen te garanderen, inclusief goed gedefinieerde herstelprocessen om downtime als gevolg van een ransomware-aanval te voorkomen. Immers, hoe langer een omgeving buiten werking is, hoe hoger de kosten van downtime en daarmee ook de verzekeringsclaimkosten.

Ondernemingen moeten dit alles goed op orde hebben. Zijn er, naast een verzekering, alleen gebrekkige processen voor dataprotectie en -herstel, dan is de uitbetaling door de verzekering als dweilen met de kraan open. De invoering van minimumnormen is goed nieuws voor bedrijven. Niet alleen zullen hierdoor de kosten van de premies op de lange termijn dalen, de voorgeschreven beveiligingsprincipes zullen waardevoller zijn dan eerst gedacht. Een cyberverzekering is geen wondermiddel, maar een nuttig onderdeel van een bredere cyberweerbaarheidsstrategie. Het is goed beide te hebben. Kan je er maar één hebben, kies dan voor weerbaarheid. Iets waar verzekeraars het gelukkig mee eens zijn. Bedrijven zonder bescherming zijn immers niet winstgevend voor hen.

Bedrijven met een cyberverzekering beschikken dus bijna per definitie over een sterke cyberweerbaarheid. Ze hebben een goed noodherstelplan en gebruiken de verzekering alleen om de impact van aanvallen en de kosten van downtime te beperken, terwijl ze herstellen via onveranderlijke back-ups. Deze bedrijven zijn veel weerbaarder tegen ransomware dan bedrijven die met verzekeringsgeld naar het probleem gooien. 

Edwin Weijdema is Field CTO & Lead Cybersecurity Technologist bij Veeam