Datariskverzekering moet bedrijven beschermen tegen diefstal en cyberattacks.

De berichtgeving over cybercrime zoals Ddos-aanvallen is het afgelopen jaar sterk toegenomen. Diverse banken, DigiD en 9292 waren – soms zelfs meerdere keren – slachtoffer van dergelijke attacks. Op die ontwikkelingen zijn verzekeraars, met name buitenlandse, ingesprongen met het aanbieden van datariskverzekeringen.

Bij risico’s op het gebied van internet denken we over het algemeen aan diefstal, virussen en attacks. Onterecht, zo blijkt wel uit het aantal storingen bij zowel grote als kleine bedrijven. De afhankelijkheid van een internetverbinding op zich brengt al een risico met zich mee. Want wat gebeurt er als de provider bijvoorbeeld een storing heeft? Geen internet, geen e-mail, geen website, geen klanten. Regelmatig bezwijken IT-systemen onder de almaar groeiende hoeveel data. Dat hebben Google, Apple, Microsoft het afgelopen jaar wel ervaren.

Just for fun

Behalve ‘ongelukken’ kampt het bedrijfsleven ook met moedwillige aanvallen. Welke sectoren meer risico lopen op een aanval en hoe zij zich ertegen kunnen wapenen – we weten het niet. Dat stelt ook Wouter Stol, lector Cybersafety aan de NHL Hogeschool. “Het eerste landelijke slachtofferonderzoek onder bedrijven loopt pas sinds kort. We lopen dus achter de feiten aan.” Dergelijke onderzoeken bieden bedrijven houvast bij het ontwikkelen van een goede tegenstrategie. “Maar het blijft lastig. Technologieën ontwikkelen snel en we kennen de motieven van cybercriminelen niet goed. Afpersing en wraak kunnen zeker motieven zijn, maar het kan ook gewoon de ‘kick’ zijn.”

Bewustwording

Diverse verzekeringsmaatschappijen zijn met zogeheten datariskverzekeringen of cyberpolissen ingesprongen op de toename van het aantal cyberaanvallen. Stol ziet dit als een logische ontwikkeling, maar waarschuwt ook voor oververzekering. “Voer op voorhand een goede risicoanalyse uit en bekijk of het wellicht verstandiger is zelf een potje aan te leggen.” Want belangrijker nog dan indekken tegen de gevolgen van cybercrime vindt Stol de bewustwording omtrent het thema. Daar kunnen cyberpolissen overigens ook aan bijdragen, want een datariskverzekering sluit je niet zomaar af. Doorgaans dien je als bedrijf eerst een checklist af te werken voordat je überhaupt in aanmerking komt voor een verzekering. Wie geen slot op zijn auto heeft, hoeft na een inbraak immers ook niet op een vergoeding van de verzekeraar te rekenen.

Forensisch onderzoek

Cyberverzekeraars hanteren verschillende voorwaarden en dekkingsgraden. Zo is het mogelijk de schade te laten vergoeden na uitval/storing van een systeem. Ook tegen diefstal van bijvoorbeeld hardware of data kunnen bedrijven zich verzekeren. Het is echter niet altijd eenvoudig te definiëren wat precies onder gevolgschade valt. Want hoe bereken je wat de gederfde omzet is? En ook imagoschade laat zich lastig in rekening brengen. Toch ziet Stol voor bedrijven zeker de voordelen van een datariskverzekering, onder meer omdat daar vaak ook forensisch onderzoek onder valt. “Voor bedrijven die niet in de openbaarheid willen treden na een aanval, kan dit een aantrekkelijke optie zijn. Je hebt zo zelf in de hand hoeveel middelen er worden ingezet en hoe snel er wordt gehandeld.”