Wat zijn effecten van een verzekering voor databeveiliging?

Naar verwachting zullen bedrijven in 2025 internationaal 20 miljard euro uitgeven aan verzekeringspremies. Verzekeringsmaatschappijen hebben gebrek aan objectieve en goed gedocumenteerde informatie over cyberaanvallen, wat de beprijzing van een polis compliceert. Daardoor nemen verzekeringsmaatschappijen hun toevlucht in andere methoden:

1. Assessments om mogelijke risico's te bepalen worden standaard - Hierbij wordt gekeken in hoeverre een bedrijf is voorbereid op een aanval. Die assessments, die door een onafhankelijke partij wordt gedaan, evalueren een aantal factoren, waaronder de omvang van de data, de waarde ervan, de verschillende locaties waar die informatie staat en de beveiligingsproducten en -tools die worden gebruikt om die data te beschermen. Die assessment wordt naast 'een lijst met 'best practises' gelegd;.
2. Incident response-plannen worden verplicht - Om de potentiële risico's te verminderen stellen verzekeraars eisen aan hun klanten, en één van die eisen is dat er incident response-plannen wordt ontwikkeld en gedocumenteerd. Die plannen zijn bedoeld om elke stap exact te beschrijven die een bedrijf moet volgen in de nasleep van een aanval of datalek. Die stappen zorgen ervoor dat het incident wordt behandeld op een manier die de aangerichte schade en de kosten ervan kan beperken. Er zijn zes belangrijke delen in een incident response-plan: voorbereiding, identificatie, beperking, verwijdering, herstel, en lering. Bedrijven zullen niet alleen verplicht worden om op al die zaken met plannen te komen, maar ook om een specifiek team samen te stellen die verantwoordelijk wordt voor het beheer en de uitvoering van die plannen;
3. Bedrijven krijgen een risico-rating - Dit betekent dat bedrijven goed moeten kijken naar hun eigen gedrag en die aanpassen om te voorkomen dat hun rating negatief wordt beïnvloed;
4. Verzekeringsmaatschappijen gaan digitaal meekijken - Om de volatiliteit in premies te verminderen, dat ontstaat vanwege de steeds wisselende risicoscores, zullen bedrijven het aanbod krijgen monitoringtools te installeren in hun netwerk. Daarmee krijgen verzekeraars meer inzicht in hetgeen in real time gebeurt op de netwerken van hun klanten en kunnen ze zo hun risico's inperken. In ruil voor het gebruik van die tools krijgen bedrijven korting op hun premies;
5. Informatiedelen wordt de norm - Omdat er vrijwel geen historische data beschikbaar is om accuraat polissen te kunnen beprijzen, werken verzekeraars actief samen in het delen van informatie, zoals bijvoorbeeld via het Cyber Exposure Data Schema, zodat er uniforme profielen voor de lange termijn kunnen worden ontwikkeld. Dit betekent voor bedrijven dat informatie die gerelateerd is aan hun cybersecurity niet langer uit het zicht blijft;
6. Verzekeraars krijgen het voor het zeggen - Omdat datalekken onvermijdelijk zijn, zullen verzekeraars in toenemende mate hun klanten dwingen om maatregelen te nemen in het verminderen van de impact van dergelijke incidenten. Sommige van die dwingende maatregelen behelzen het implementeren van best practises. Bedrijven zouden bijvoorbeeld het advies kunnen krijgen om hun meest gevoelige data te beschermen met geavanceerde versleuteltechnologie, waardoor zelfs bij diefstal of lekkage de data onbruikbaar blijft voor de aanvaller.