Hoe zinvol zijn cyberverzekeringen

Afgelopen week was er een moment waarop iedereen die nadenkt over een cybersecurity verzekering nog eens heel diep adem zal hebben gehaald. Aanleiding was een artikel van Brain Krebs over een cyberverzekeraar die weigert uit te keren.

Eigenlijk ging het artikel van Krebs niet over de verzekeraar, maar over de verzekerde. Dat is een bank ergens in de VS die twee keer achterelkaar is beroofd. Beroofd dan wel op de moderne wijze, door het versturen van een e-mail met een link die uiteraard werd aangeklikt. De installatie van malware was daarna een peulenschil met als gevolg dat in twee keer $2,4 miljoen via enkele honderden pinautomaten werd opgenomen. Dat de foute mail twee keer vanaf de zelfde bankcomputer is geopend doet vermoeden dat het om dezelfde medewerker gaat. Voor de rest van het verhaal is dat weinig relevant net als de logische gedachte dat er dan iets schort aan de cyber awareness training van die bank.

De kleine lettertjes

Wat het verhaal interessant maakt is dat de bank nu de verzekeraar voor de rechter heeft gesleept. Dan heb je een cybersecurity verzekering en dan weigert die uit te keren. En de reden die de verzekeraar is ook nog eens heel herkenbaar: de kleine lettertjes. Tot zo ver te ontcijferen valt heeft de verzekeraar elke schade die voortvloeit uit het op enige wijze toegang verkrijgen tot pinautomaten (“fysiek geld”) uitgesloten.

Een provider of hoster heeft waarschijnlijk geen ATM machines in zijn beheer en toch is er een reden nog eens heel goed naar deze zaak te kijken. De businesscase van een bank is geld, dus ATMs buiten de dekking van een cyberverzekering houden klinkt niet logisch. Toch is daar gedurende langere tijd door de gedupeerde bank en de auditors geen punt van gemaakt. Dat roept de vraag op of ze de polissen ooit goed hebben doorgenomen met de verzekeraar en of die laatste zelf ook heeft begrepen wat precies wordt aangeboden.

Met deze Amerikaanse rel in het achterhoofd zou je nu eens voor alle zekerheid je eigen polissen kunnen doorlezen. Nog beter is dat niet door een persoon te laten doen, maar betrek er ook een ander bij. De kans dat je er achterkomt dat een deel van je business niet of onderverzekerd is is aanwezig. De kans dat je verzekeraar uit zichzelf tot die zelfde conclusie komt is niet zo groot. Het aantal bedrijven dat hier echt verstand van de hosting business en dat weet te vertalen naar een voor de verzekeraars bruikbaar rekenmodel waarop ze een aanbod kunnen formuleren is ook in Nederland namelijk bedroevend laag. De af en toe agressieve pogingen van de verzekeringssector deze op papier veelbelovende markt aan te boren zijn dan ook niet voor niets tot op heden zo weinig indrukwekkend.

Utrecht

En voor wie het drie jaar geleden (ruim voor de GDPR top of mind was!) tijdens de toenmalige security beurs in Utrecht heeft gemist: daar was een talk over de zin en onzin van cybersecurity verzekeringen. Die sessie was totaal volgeboekt en voor velen waren de bevindingen van de sprekers eyeopeners. Zij waren onaangenaam verrast door de conclusie dat een cybersecurity verzekering weinig zinvol waren omdat te veel uitgesloten was. Of er op dat punt laatste jaren veel is veranderd blijkt vooralsnog nergens uit.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen