beveiliging
Heeft het zin om je te verzekeren tegen een cyberaanval?
Digitale aanvallen op bedrijven zijn aan de orde van de dag en de gevolgen kunnen immens zijn. Daarom sluiten zij geregeld een cybersecurityverzekering af. Heeft dat zin?
Op de kamer van Henny de Haas in het gebouw van zijn bedrijf in Udenhout hangt een scherm met een computer eraan vast, zo een voor presentaties, en ook die zat op slot. ‘Alles dat aan stond was besmet’, zegt De Haas, die zich herinnert hoe hij op vrijdagavond om half tien naar de vestiging van zijn bedrijf Hoppenbrouwers reed om daar een groot probleem aan te treffen. Praktisch niets met een scherm functioneerde nog, hij kon niet bij de administratie, een mail versturen lukte niet. Overal was de mededeling te zien: eerst betalen, dan krijg je het bedrijf weer terug.
Alle computers en machines waarop programma’s stonden van Kaseya waren besmet met ransomware. Dat is software die computers vergrendelt en pas weer vrijgeeft als er losgeld is betaald. Kaseya levert software die bedrijven gebruiken om op afstand computers van medewerkers te bedienen. De aanval met gijzelsoftware deze zomer trof zeker vijftienhonderd klanten van Kaseya, waaronder dus Hoppenbrouwers, een technisch dienstverlener.
Verdubbeling
Aanvallen als deze komen steeds vaker voor – in het eerste kwartaal van dit jaar noteerde de politie een verdubbeling van het aantal gevallen. Vooraanstaande ict-beveiligers waarschuwden begin augustus nog in de Volkskrant dat het aantal digitale aanvallen de vorm begint te krijgen van een nationale crisis.
Voor een (middelgroot) bedrijf kunnen de gevolgen van een aanval gigantisch zijn. Een dag of een paar dagen geen computers, en er ligt bijvoorbeeld geen kaas in de supermarkt omdat alle vrachtwagens stil staan, zoals Bakker Logistiek uit Zeewolde dit jaar gebeurde. Bedrijven geven daarom meer uit aan beveiliging en sinds een paar jaar bestaat ook de mogelijkheid je te verzekeren tegen schade geleden door een cyberaanval. Die zijn vergelijkbaar met schadeverzekeringen tegen brand of storm. Hebben bedrijven daar wat aan?
Bedrijven sluiten geregeld cybersecurityverzekeringen af, bleek uit onderzoek van de Amerikaanse ict-beveiliger Crowdstrike begin vorige maand. 47 procent van de Nederlandse ondernemingen uit een steekproef van 250 kleine en middelgrote bedrijven heeft een verzekering tegen schade door cyberaanvallen, voor een dekking van gemiddeld 5,77 miljoen euro aan schadevergoeding. Daarmee voert Nederland de lijst aan van de hoogste bedragen waartegen ondernemers zich verzekeren, net boven Japan en de Verenigde Staten.
Dat betekent nog niet dat dit stuk van de verzekeringsmarkt enorm aan het groeien is. In 2019 ontvingen Nederlandse verzekeraars 17 miljoen aan premie voor cybersecurityverzekeringen. Een jaar later was dat 25 miljoen euro. Ter vergelijking: de totale schadeverzekeringsmarkt in Nederland levert verzekeraars samen 14,4 miljard euro omzet aan premies op.
Geen losgeld
Hoppenbrouwers, een bedrijf met vijftienhonderd werknemers dat bijvoorbeeld twee van de grootste distributiehallen van Nederland voorzag van sprinklerinstallaties en brandmelders, was verzekerd. Want zonder computers kan het bedrijf simpelweg niet functioneren. Uiteindelijk is er geen losgeld betaald en kon het bedrijf van Henny de Haas op maandag weer van start. Dat kon door de inzet van een ict-beveiliger, wat werd vergoed door de verzekering. En doordat vrijwel al het personeel een weekend lang doorwerkte om alle besmette computers weer te helpen ‘schoon’ te krijgen – het kan De Haas nog ontroeren als hij er over praat. De Haas: ‘Voor mij was het geen optie om hier geen verzekering voor af te sluiten. Het is net als een brandverzekering. Ook brand komt niet vaak voor, maar als het gebeurt is de schade enorm.’
Losgeld betalen hoefde De Haas niet, al, zegt hij: ‘Je weet niet wat je doet als je echt met je rug helemaal tegen de muur staat.’ Verzekeraars betalen dat losgeld vaak wel, zij het niet direct aan hackers, haast een woordvoerder van het Verbond van Verzekeraars zich te zeggen. In veel gevallen wordt de ‘schade door losgeld’ vergoed, net als schade door diefstal, zegt de woordvoerder. Critici vinden dat verzekeraars met het vergoeden van dat losgeld het verdienmodel van criminele hackers in stand houden.
Daarbij is het de vraag of verzekeren wel kan. Digitale aanvallen komen tegenwoordig zo vaak voor dat het steeds moeilijker is je te beschermen met een polis. Begin dit jaar constateerde RTL Nieuws al dat verzekeraars minder happig zijn om grote bedrijven te verzekeren, omdat cyberaanvallen aan de orde van de dag zijn. En omdat veel bedrijven niet of niet goed genoeg zijn beveiligd. Verzekeraars laten eerst een scan uitvoeren om te zien of alles op orde is als voorwaarde voor een verzekering.
Bovendien zijn er nog weinig historische data waarop verzekeraars zich kunnen baseren om zo te komen tot een redelijke verhouding tussen premie en het verzekerde schadebedrag. Dat is een groot probleem, schrijft verzekeringsexpert Tom Johansmeyer in Harvard Business Review. Volgens zijn onderzoek verzekeren bedrijven zich voor dermate hoge schadebedragen, dat verzekeraars er jaren over zouden doen om op te krabbelen als een of twee bedrijven hoge schadeclaims indienen.
Olietoevoer
Ongeveer 250 bedrijven bijvoorbeeld zijn wereldwijd verzekerd voor minstens 200 miljoen dollar (ongeveer 170 miljoen euro). Als vijf van hen dat bedrag claimen, is dat al meer dan alle verzekeraars wereldwijd in een jaar tijd aan premie binnenkrijgen. Bedragen en belangen lopen snel op, in de Verenigde Staten bijvoorbeeld lag de olietoevoer van een deel van het land stil door een hack bij een oliebedrijf.
Dus hameren Marion van Limpt en Nico Sluiter van sociaal werkbedrijf Senzer erop: het kan ook jou overkomen, dus zorg voor goede beveiliging. In maart brak een hacker in via het portaal waarmee medewerkers vanuit huis inloggen op het netwerk van Senzer en zette alles op slot met gijzelsoftware. Dat betekende dat toegangspassen van gebouwen niet meer werkten, maar erger: de uitbetaling van uitkeringen aan 3.600 mensen in de regio Helmond die daarvan afhankelijk zijn kwam in gevaar.
Het lukte, dankzij een recente back-up, om alles weer aan de praat te krijgen. Senzer is bezig de digitale beveiliging beter te maken en onderzoekt ook het afsluiten van een verzekering. Die investeringen weegt de organisatie zorgvuldig, zegt Van Limpt, want Senzer wordt gefinancierd met publiek geld. ‘Wij kunnen geen high-end beveiliging betalen.’ Het was al gepland dat medewerkers verplicht met twee-factorauthenticatie moesten inloggen, dus met een wachtwoord én een aparte code. Maar technische ingrepen en 450 medewerkers op een nieuw systeem laten werken, dat duurt even.
Sluiter: ‘De tent draait weer en we hebben een goed beeld gekregen van de huidige stand van de beveiliging. Die scherpen we aan, maar je zult moeten blijven controleren. Net als op brandveiligheid.’
