Nederlanders hechten veel waarde aan het verkleinen van risico’s. We hebben dan ook de naam bovenmatig enthousiast te zijn over verzekeren. Better safe than sorry, is het motto. Volgens het World Insurance Report, geven we maar liefst 4 procent van ons inkomen uit aan verzekeringen. Dat doet geen enkel land, behalve Zwitserland, ons na. Maar wat betekent dit eigenlijk? Niet zoveel. Van die 4 procent gaat een groot gedeelte op aan premies voor zorgverzekeringen. Die worden in Nederland door de burger zelf betaald, maar in veel andere landen wordt de zorgpremie via de belasting verrekend.
We geven relatief dus niet zoveel geld uit aan verzekeringen, maar Nederlanders hebben wel een bijzonder brede waaier aan polissen. Bedrijven krijgen er binnenkort een nieuwe bij: de cybersecurityverzekering. Volgens verzekeraar AON zijn bedrijven steeds bezorgder over de toegenomen aansprakelijkheden als het online een keer mis gaat. Vooral de financiële en operationele gevolgen van cyberaanvallen kunnen een flinke impact hebben. Daarom willen organisaties een uitgebreide cyberverzekering die deze gevaren dekt.
Afwijzen van claims
Een verzekering die alleen draait om cyberbescherming is natuurlijk een prima initiatief, maar ik vraag me af hoe dit in de praktijk werkt. Iedereen die wel eens aanspraak op een verzekering heeft gemaakt, weet dat verzekeraars zeer bedreven zijn in het afwijzen van claims of slechts beperkt uitbetalen in geval van schade. Woon je bijvoorbeeld in Amsterdam, en wordt er bij een inbraak je MacBook en wat andere apparatuur gestolen? Dan heb je pech, want in grote steden wordt er maximaal 2.500 euro uitgekeerd. Dit zijn namelijk risicogebieden.
Als je deze situatie vertaalt naar organisaties die zich willen verzekeren tegen cybercriminaliteit, dan zijn straks banken, zorginstellingen en overheden zwaar de pineut. Dit zijn namelijk allemaal gewilde doelwitten van cybercriminelen. Risicogebieden dus. Daarnaast is het moeilijk te bewijzen wie of wat de oorzaak is van eventuele cyberschade. Daarvoor heb je IT-experts nodig die aantonen dat je bedrijf het slachtoffer is van een cyberaanval buiten jouw schuld. En niet als gevolg vermijdbare ‘zwakheden’. Bijvoorbeeld systeembeheerders die structureel verzuimen software updates door te voeren, of lakse medewerkers die hun passwords nooit aanpassen. Deze IT-experts zijn schaars, dus ik voorzie claims die jaren lopen voordat er duidelijkheid wordt verschaft, en uitbetaald wordt.
Aangescherpte regelgeving
Een cybersecurityverzekering is wellicht de oplossing niet, maar door de aangescherpte wet- en regelgeving is het wel essentieel om inzichtelijk te hebben welke producten het netwerk beschermen. Vervolgens kan de Chief Risk Officer of Chief Information Security Officer (of gewoon de IT beheerder) besluiten om securityoplossingen in te zetten waarvan de leverancier garandeert dat ze optimaal beveiligen. En als de producten niet doen wat beloofd is, dan krijgt de klant direct een afdoende vergoeding. SentinelOne is zo’n bedrijf. Wij zijn zo overtuigd van onze Next Generation security-oplossing, dat we onze klanten compenseren voor geleden schade wanneer onze oplossing een infectie niet heeft kunnen voorkomen.
Is dit bijzonder? Ja. Dat zou het echter niet moeten zijn. Ik koop een regenjas omdat het mij beschermt tegen de regen, installeer op mijn huis schermen tegen de zon. Als deze producten niet werken, dan ga ik terug naar de winkel en krijg mijn geld terug. Waarom zou het anders zijn in de IT-branche? Het wordt tijd dat leveranciers hun verantwoordelijkheid nemen en klanten compenseren voor de geleden schade, als hun product de beloofde beveiliging niet heeft waargemaakt. Dat scheelt enorm in tijd en kosten. En het mooiste: dan hoeven organisaties ook geen cybersecurityverzekering af te sluiten.
Eric van Sommeren, regional sales director SentinelOne
