Reactie op de recente artikelen over Cyber verzekeringen

André Koot

ISP Today heeft kort achter elkaar twee artikelen over het onderwerp cyberverzekeringen gepubliceerd. De eerste keer leek er geen reden te zijn een dergelijke verzekering af te sluiten. Het tweede artikel geeft aan dat het wel verstandig kan zijn daar in ieder geval over na te denken. Als derde artikel hebben we nu de reactie van André Koot, werkzaam bij Nixu Benelux en actief betrokken het Nederlandse chapter van de Cloud Security Alliance.

De kleine lettertjes

Het eerste artikel geeft aan dat de kleine lettertjes altijd belangrijk zijn. Zeker bij nieuwe types verzekeringen. In de regel is alles uitgesloten wat te maken heeft met onachtzaamheid, oftewel schade die ontstaat door gebeurtenissen die verwijtbaar zijn aan de verzekerde. In geval van security: als een verzekerde onvoldoende beheer- en beveiligingsmaatregelen heeft getroffen, dan is schade in de regel gewoonweg te verwachten en is de schade aan de verzekerde te verwijten.

Onvoldoende kan zijn technische beveiligingsmaatregelen, beheer (denk aan patchmanagement), en awareness, om er maar een paar te noemen. Dus eigenlijk is verzekeren alleen nuttig (wat betekent dat je een reële kans hebt op uitkering na schade) als je de security aantoonbaar op orde hebt. Want dan is ook de kans op schade al beperkt. Als je security al niet op orde hebt, dan zal de kans op een uitkering ook al erg klein zijn, een verzekeraar heeft dan alle vrijheid om nalatigheid te betogen. Let dus niet alleen op de kleine lettertjes, maar vooral op de impact daarvan.

Wat het overwegen waard is, is om de vervolg- en herstelschade (denk aan forensische schade, kosten van juridische ondersteuning) te dekken. Die schade kun je altijd verwachten bij een aanval. De kans daarop, en dus de premie, zal lager zijn bij een organisatie die security goed voor elkaar heeft.

Over het tweede artikel

Boeiend aan die Dyn DNS affaire is dat de vervolgschade in de keten een object van beoordeling is. Een kleine storing aan het begin van de keten kan grote en vooral onvoorziene gevolgen hebben voor de rest van de keten. Aansprakelijkheid is dan wel een boeiend aspect. Ik zou me maar zo kunnen voorstellen dat het voor dienstverleners in de cloud ten eerste noodzakelijk is om de scope van de dienst te beperken tot waartoe de dienstverlener zelf in control kan zijn. Dus schade aan de kant van de leveranciers voorafgaand in de keten moet je in je eigen verkoopvoorwaarden al uitsluiten. En vervolgens zou je als provider een verzekering kunnen afsluiten voor juridische ondersteuning, om zowel je eigen leveranciers aan te spreken als om je klanten van je af te houden. Maar hier geldt ook weer: preventie is de beste verzekering.

Als het gaat in de keten moet je ook beslist even kijken naar de Cloud Controls Matrix van de Cloud Security Alliance (link). Het aspect van de ‘supply chain’ en het treffen van passende (preventieve) maatregelen is daarin bij uitstek leidend. Niet onbelangrijk om dat eens goed onder de loep te nemen, zowel voor IAAS, PAAS als SAAS providers.

Over André Koot

André Koot is Security en Identity & Access Management consultant bij Nixu Benelux en heeft meer dan 25 jaar praktijkervaring. Hij is voormalig (hoofd) redacteur bij het vakblad Informatiebeveiliging, is docent IAM en tracht steeds een relativerende opinie te geven.