De impact van een cyberincident kan groot zijn, ook vanwege de fall-out in de keten. Door je reactiesnelheid te testen met een disaster recovery test, ben je beter voorbereid, stelt Joppe Willeboordse van Markel. ‘Het kan zorgen dat je bij een hack niet hoeft te onderhandelen, omdat je weet dat je weer snel up-and-running kan zijn.’
Markel verzekert een groeiend aantal tech-startups en scale-ups met innovatieve cloudoplossingen of AI-tools voor de gevolgen van cyberincidenten. ‘Het gaat vaak om relatief kleine bedrijfjes die zijn ontstaan vanuit universiteiten of techbroedplaatsen. Ze willen zich verzekeren, omdat de risico’s die ze lopen best verstrekkend kunnen zijn, maar tegelijk ook lastig zijn in te schatten,’ vertelt Joppe Willeboordse, Senior Risicobeoordelaar Cyber en Bestuurdersaansprakelijkheid bij Markel. ‘Bovendien eisen opdrachtgevers en investeerders steeds vaker van tech-startups dat ze een verzekering afsluiten of wordt de aansprakelijkheid voor een cyberincident bij de startup gelegd. ‘Zeker in de VS is het heel gebruikelijk dat een cyberverzekering wordt geëist.’
Alles met alles verbonden
De impact van cyberincidenten wordt onderschat, is zijn ervaring. ‘Er zijn heel veel componenten die tot schade kunnen leiden. Het is vaak heel weerbarstig om te ontdekken waar het incident is begonnen, hoe ver het zich heeft verspreid en hoe precies te handelen. Als je de systemen wil herstellen, duurt dat vaak veel langer dan je in eerste instantie had gedacht. Waardoor je meer stilstandschade hebt.’ Zo kost een cyberaanval het warenhuis Marks& Spencers inmiddels 350 miljoen euro, doordat het bedrijf de webshop offline heeft moeten halen. ‘100% beveiliging bestaat niet. Je kunt er vanuit gaan dat M&S echt wel fors heeft geïnvesteerd in cybersecurity. En toch liggen ze lang stil.’ Juist bij techactiviteiten is het aanvalsoppervlak relatief groot, stelt Willeboordse. ‘AI en clouddiensten zijn internetgebonden activiteiten. Alles is met alles verbonden, waardoor je het zelf goed voor elkaar kunt hebben, maar toch kwetsbaar bent. Als verzekeraar bieden we toegevoegde waarde, doordat we het grijze gebied afdekken dat je niet kunt beheersen en waarvan je het risico niet kunt inschatten. De cyberverzekering houdt bijvoorbeeld rekening met de ketenafhankelijkheid. We dekken ook de schade als het fout gaat bij een IT- dienstverlener, waardoor jij niet kunt werken.’ Een cyberincident is stressvol. Het vergt enorm veel van bestuurders, weet hij. ‘Veel partijen willen informatie van je. Vaak duurt het dagen om te doorgronden wat precies is gebeurd. Er zijn allemaal beslissingen waarmee je wordt geconfronteerd, zoals: gooi ik het netwerk eruit? Is het veilig om het weer aan te zetten? Het is belangrijk om daar professionele hulp bij te hebben. Met een goede, professionele response hoeft een cyberincident je geen klanten of je reputatie te kosten, maar laat je zien dat je intern je zaken goed voor elkaar hebt.’
‘Incident readiness’
Een cyberverzekering vergroot je opties bij onderhandelingen met cybercriminelen, stelt Willeboordse. ‘Onderhandelen over losgeld is typisch iets wat je niet zelf gaat doen. Daar heb je hulp bij nodig.’ De vraag die daarbij op tafel ligt, luidt: gaan we betalen of gaan we alles herstellen? ‘Juist omdat je verzekerd bent, kun je gemakkelijker de hersteloptie kiezen. Het geeft je meer flexibiliteit. Organisaties betalen vaak omdat ze niet weten hoelang het herstel gaat duren.’ Als verzekeraar stimuleert Markel klanten om herstelprocedures te oefenen, om een inschatting te maken hoe lang het duurt voordat je weer up-and-running bent als het systeem uitvalt. ‘Bij een zogenoemde disaster recovery-test kijk je welke handelingen nodig zijn en hoeveel tijd het kost voordat je al je back-ups weer hebt teruggezet naar je kantooromgeving. Dat hele proces zou je eigenlijk jaarlijks moeten testen. We sturen erop dat bedrijven dat steeds meer doen. Zodat ze, als wordt onderhandeld met hackers, weten hoe lang het duurt om in bedrijf te zijn als ze niet betalen. Het is het testen van je ‘incident readiness’, zodat je zo min mogelijk tijd verliest. Want tijd is letterlijk geld als je bedrijf stilligt.’
