Is een Cyberverzekering zinvol voor uw organisatie?

Door Mieke Speeckaert, Legal Director en Property & Liability Manager bij Concordia

Cyberaanvallen komen steeds frequenter voor, maar om het grotere plaatje te begrijpen moet je eerst ten gronde verstaan wat cyberaanvallen zijn. Cyberaanvallen worden gedefinieerd als een van de vijf volgende handelingen: Illegale toegang tot IT-systemen, Bedrijfsspionage, Gegevens- of systeem interferentie, Cyberafpersing en Internetfraude.

Cyberaanvallen gebeuren wereldwijd. Volgens een onderzoek van PwC, uitgevoerd bij 7,300 respondenten in 123 landen, heeft 31% van de deelnemers in de afgelopen twee jaar een cyberaanval ervaren. 14% vond dat cyberfraude de meest ontwrichtende vorm van fraude was met een verlies van meer dan een miljoen dollar.

Eén procent verloor zelfs meer dan 100 miljoen dollar. Dit soort misdaad komt ook in België voor. Uit een enquête van de KULeuven blijkt dat meer dan de helft (67%) van de Belgische bedrijven in het afgelopen jaar minstens één keer slachtoffer is geweest van cybercriminaliteit.

De meest voorkomende vorm van fraude is 'verstoring van bedrijfsprocessen’, het heeft het afgelopen jaar 30% van de bedrijven wereldwijd getroffen. Dit type fraude kan leiden tot ernstige financiële verliezen.concordia
Source PwC

Als onafhankelijke verzekeringsmakelaar, analyseren we bij Concordia het ondernemingsmodel van onze klanten, helpen we ze bij het identificeren van risico’s, en bieden we oplossingen op maat aan om hun organisatie te verzekeren tegen potentiële cyber threats- en alle andere mogelijke bedreigingen die hiermee gepaard gaan.

In de afgelopen jaren hebben we in samenwerking met een aantal klanten en hun IT-afdelingen een klantgericht voorstel gemaakt om hun bedrijf te verzekeren tegen cyberaanvallen.

De onderstaande stappen moet u nemen om uw bedrijf cyberaanval bestendig te maken evenals laten deze u toe om te analyseren of u daadwerkelijk een cyberverzekering nodig heeft en hoe dit uw bedrijf kan beïnvloeden.

1. IT -audit

Het eerste wat een bedrijf hoort te doen om het risico van een cyberaanval te minimaliseren, is het uitvoeren van een IT-audit. Deze audit onderzoekt en evalueert de huidige status van de infrastructuur, gedragslijnen en de activiteiten van het bedrijf. Het geeft het bedrijf een indicatie over hun huidige positie en biedt antwoorden op vragen zoals:

- Is ons systeem toegankelijk voor hackers?

- Zijn onze gegevens volledig beschermd?

- Zijn we al eens gehackt geweest?

- Heeft een hacker ons systeem bezocht?

Na het uitvoeren van de audit, kan een bedrijf hun zwakke plekken en risico's bepalen. Zonder deze audit is een bedrijf blind en kan het niet de juiste acties vastleggen om het IT-systeem te verbeteren.

2. Preventie en follow-up

De tweede stap is het opzetten van cyber preventiemaatregelen. De computer, Smartphone, etc van elke medewerker is een kans voor hackers om het systeem van het bedrijf aan te vallen. Daarom moet het IT-Team ervoor zorgen dat hackers de firewall niet kunnen omzeilen.

Een eenvoudige maatregel die elk bedrijf kan nemen, is eenmaal per maand een email naar hun werknemers sturen om hun wachtwoorden te wijzigen. Daarnaast moet het een sterk wachtwoord zijn. Dit betekent dat je een combinatie van hoofdletters, cijfers en tekens moet gebruiken. Het bedrijf dient hun cyber preventiemaatregelen regelmatig te herzien om up-to-date te blijven met de nieuwste software en om de kans te verkleinen dat hackers het systeem kraken.

3. Cyber ​​Verzekering

Als u een IT-audit heeft uitgevoerd en alle noodzakelijke stappen heeft genomen om cyberaanvallen te voorkomen, dan heeft u al een lange weg afgelegd. U zal nu een duidelijk beeld hebben van de interne en externe risico’s en de problemen die u dient op te lossen. Met deze analyse kunt u de laatste cruciale stap nemen, namelijk het kiezen van de juiste verzekering. Hou hierbij in gedachten welke risico’s u wilt dekken op grond van de IT audit, eventuele contractuele clausules en overeenkomsten die u al heeft afgesloten en wat uw eigen risico’s zijn (aftrekbare bedragen). Iedereen kan het slachtoffer zijn van een cyberaanval, en als dit gebeurt, zijn de financiële kosten hoog.

Vooraleer we u helpen bij het kiezen van uw verzekering, analyseren we bij Concordia uw huidige verzekerings portfolio om de risico’s te bepalen die al worden gedekt door andere verzekeringen zoals beroepsaansprakelijkheidsverzekering, eigendom/ BI, D & O, enz. Dit stelt ons in staat te onderhandelen over de beste dekking én verzekeringspremie voor uw bedrijf. Dit wordt gecombineerd met onze Legal services op het vlak van het screenen en uitschrijven van contractuele clausules in bv de zogenaamde verwerkers overeenkomsten welke een verzekeringsplicht naar anderen kunnen overhevelen al dan niet voor het geheel. Ook leveren wij op maat gemaakte clausules waarbij het bedrag of de grond van aansprakelijkheden beperkt wordt.

Deze beide oefeningen namelijk analyse van de verzekering portfolio als de Legal services zorgen ervoor dat u een duidelijk zicht heeft op wat ‘de resterende risico’s’ zijn naar verzekering toe.

Concordia werkt met drie belangrijke types cyberverzekering; allemaal gericht op verschillende domeinen.

 

Aansprakelijkheidsrisico's

Het eerste type richt zich op aansprakelijkheidsrisico. Als uw hoofdzakelijke vrees eruit bestaat dat u tijdens een cyberaanval blootgesteld wordt aan claims door derden, dan is dit mogelijks de juiste verzekering voor u. Deze verzekering zal u beschermen tegen verloren of beschadigde gegevens en gevoelige informatie. Als een bedrijf wordt gehackt, kunnen de gegevens van hun klant openbaar worden, met als resultaat meerdere rechtszaken. Daarom moet een verzekering die zich richt op aansprakelijkheidsrisico’s op maat gemaakt worden. De verzekeraar zal zijn voorstel baseren op meerdere factoren:

•Het gebruik en het volume van gegevens

•Een contractuele analyse van document met bijvoorbeeld, leveranciers

•De omvang van de mogelijke blootstelling Na deze analyse zullen wij u in functie van bovenvermelde informatie adviseren over de te verzekeren bedragen en vrijstellingen.

 

Eigen schade

Het tweede type verzekering dekt voornamelijk vanuit de invalshoek 'eigen schade'. Wanneer u wordt gehackt, kan uw systeem enige tijd onderbroken worden, waardoor u zakelijke deals verliest, uw omzetcijfer daalt etc. Dat is het moment waarop ‘bedrijfsonderbreking’ van belang wordt.

Een evaluatie van het beleid op de verzekeringsmarkt concludeerde dat sommige verzekeraars niet de volledige omvang van de bedrijfsonderbreking dekken. Deze verzekeraars dekken bv alleen exploitatiekosten in plaats van brutowinst. Het grote verschil situeert zich bv hier in de aftrek van ‘alle kosten verbonden met de onderneming’ in tegenstelling tot ‘slechts’ de aftrek van de variabele kosten ( welke met bemiddeling van uw verzekeringsmakelaar minstens jaarlijks correct en a priori in kaart worden gebracht en berekend). Het is de taak van uw makelaar om uw branche en profiel in gedachten te houden om de juiste cyberverzekering voor uw bedrijf aan te bevelen.

Concordia houdt bijvoorbeeld ook de sector van de klant voor ogen met het risico op ‘materieel verlies’ ( een welomstreden begrip in de Cyber verzekeringen). Elk bedrijf heeft een ander soort verzekering nodig met betrekking tot dit onderwerp. Als uw bedrijf een productiesite heeft, kunt u belast worden met een (tijdelijk) verlies of verdwijning van goederen door manipulatie van het voorraad- en leverings- IT systeem. De waarde van goederen is primordiaal in dit geschil met verzekeraars.Een oplossing op maat te hebben maakt dan ook een wereld van verschil.

Zo werd onlangs bv een klant van Concordia, een bedrijf dat gespecialiseerd is in loon- HR, en socialezekerheids diensten, blootgesteld aan ernstige schade te wijten aan de bedrijfsonderbreking . Hun hostingprovider voerde onderhoud uit op het netwerk waarbij toen het hele systeem werd vergrendeld omwille van een Cyber attack. De software van het bedrijf was vier dagen ontoegankelijk, zowel voor hunzelf als voor hun klanten. Vanwege deze lockdown leden zij omvangrijke ‘eigen schade’ door bedrijfsonderbreking. Concordia kon hen ten volle ondersteunen daar dit bedrijf de gepaste formule had om dit soort van bedrijfsonderbreking te dekken, zowel naar risico als naar nominale bedragen.

 

CEO fraude

Het laatste type verzekering richt zich voornamelijk op CEO fraude, beter bekend als phishing. Criminelen doen zich voor als iemand waarmee u nauw samenwerkt en laten de klant van het bedrijf storten op een frauduleuze bankrekening. CEO fraude is wijdverspreid; 33% van de bedrijven werd slachtoffer van dit soort fraude in de afgelopen twee jaar.concordia_1
Source PwC

Deze criminelen worden steeds beter in het feilloos en onmerkbaar overnemen van een identiteit van bv een leverancier of uw CFO met maar 1 doel voor ogen: uw bedrijf in het gevaar van de dagdagelijkse routine omvangrijke bedragen laten betalen.

Vorig jaar werd bv bij ons op de schadedienst een alarmerend geval gesignaleerd van een vereniging voor makelaars en onroerend goed die het slachtoffer werd van dergelijke e-mail hacking. Het bedrijf had een deal gesloten met een klant die een huis wilde verkopen. De koper moest een aanbetaling maken en daarom stuurde het bedrijf een e-mail met de nodige bankgegevens. Hackers onderschepten de e-mail en veranderden het bankrekeningnummer. Als gevolg daarvan deponeerde de koper het geld op een frauduleuze rekening en de eigenaar van het huis heeft de aanbetaling nooit ontvangen.

De klant van het bedrijf had te maken met blootstelling aan potentiële schade en financiële verliezen. Het bedrijf moest zelf een volledige audit uitvoeren om de schade aan hun systeem te bepalen en andere frauduleuze e-mails te onderscheppen. Daarnaast had het bedrijf ook kosten om hun klanten te informeren over het hacken zelf.

Cyberaanvallen groeien bestendig, niet alleen in de VS maar ook in heel Europa. Elk bedrijf moet de nodige stappen ondernemen om mogelijk cyberaanvallen te voorkomen. Het auditen van het bedrijf, het nemen van preventiemaatregelen en het implementeren van een follow-up strategie zijn noodzakelijke stappen als u het risico op een succesvolle hack wilt verminderen. Een cyber verzekering dekt niet alleen de financiële verliezen, maar is tevens een vorm van risicobeheer. De beste oplossing is er altijd één die de kennis van een gespecialiseerde verzekeringsmakelaar en de IT-afdeling combineert.

Heeft u begeleiding nodig om uw organisatie cyberaanval bestendig te maken? Neem vandaag nog contact met ons op. Vertrouw op onze vakkennis en serviceniveau om de ideale, op maat gemaakte oplossing te vinden in samenwerking met uw IT-afdeling.