Verzekering tegen hackers is een must
Bedrijven zouden er verstandig aan doen om hun online middelen, diensten en data tegen hackers te beschermen, om zo bestuurlijke schandalen te voorkomen, aldus verzekeringsspecialist Hiscox. Volgens Hiscox nemen minder dan 5% van al hun klanten de dreiging van hackaanvallen serieus en zorgen voor een adequate verzekering. Zelfvoldaanheid en een gebrek aan risico analyses zouden ervoor zorgen dat bedrijven hun digitale bezittingen niet op dezelfde manier als hun fysieke bezittingen zien. Hacking en security moet dan ook door het bestuur als een groot risico worden gezien, voordat men actie onderneemt, zo laat Stephen Wares van het verzekeringsbedrijf in dit artikel weten.
inzetten/aanbieden, moet je eerst een grote risicoanalyse
maken om te kijken of zoiets wel alles kan dekken.
Hoe hoog worden de premies dan wel niet? En is dat per land
verschillend?
Ik heb ook al eerder gedacht aan een soort
ICT-securityverzekering, maar volgens mij is dat gewoon niet
haalbaar. Wat zou je er allemaal in op moeten nemen, heb je
een eigen risico of een All-Risk, is elke situatie gedekt
ongeacht.....blah blah.......
M.a.w. zo'n verzekering heb je niet zomaar al zou het niet
onverstandig zijn. Maar hoe zit het met schadeclaims die
gewoon uit opzet zijn ontstaan, hoe bewijs je dat. Betaald
men pas uit wanneer er genoeg bewijzen zijn en wie bepaald
of die bewijzen genoeg zijn. Betaald men pas wanneer ze de
dader hebben en hebben laten bekennen?
Wie het weet mag het zeggen.
dat is een goeie.
Volgens mij is het al lang mogelijk je bedrijf te verzekeren tegen schade door
derden en dekt dat ook het geval hacker.
interpreteren. "Verzekeren" suggereert dat een bedrijf zich zou kunnen
indekken tegen de gevolgen van een hack, zoals bestuurlijke schandalen.
Maar voorkom je het bestuurlijke schandaal niet mee, lijkt mij.
Moet "verzekeren" hier niet geïnterpreteerd worden als het nemen van
beschermende maatregelen ter voorkoming van een hack en de eventueel
daaruit voortvloeiende bestuurlijke schandalen?
Beschermen en Verzekeren zijn twee verschillende dingen die elkaar niet
uitsluiten. Waarschijnlijk zullen verzekeringsmaatschappijen dan eisen gaan
stellen aan de te implementeren maatregelen. Wie gaat bepalen hoe groot
de risico's zijn? Er zullen normen opgesteld moeten worden waaraan
risicoanalyses moeten voldoen willen ze geaccepteerd worden door de
verzekeringsmaatschappijen. Wie gaat de maatregelen controleren? Wie
bepaalt de normen voor zulke maatregelen en controles? Leuke business,
waar de verzekeraars de ballen verstand van hebben.
bepalen welke software volgens hun wel tot de norm gaat
horen om voor dekking in aanmerking te komen.
Zou mij niets verbazen als dan ineens MicroSuck spul
aangeraden wordt, omdat die dan ineens superveilig zou zijn
(you wish) en intussen krijgen ze flinke bonussen van MicroSuck.
Ik zeg hier maar wat, maar het kan ook zijn dat Symantec of
welk bedrijf dan ook gewoon regelingen gaat treffen met
verzekeringsbedrijven.
Ondertussen maar premies betalen en om de haverklap de
inhoud en bepalingen van polissen gaan aanpassen omdat de
omstandigheden wijzigen. Doe je dat niet, dan ben je opeens
niet gedekt en kun je fluiten naar je premies. Het lijkt mij
dat het uiteindelijk goedkoper is om een beveiligingsbeleid
te voeren en te handhaven.
Ik zie het al voor me dat de verzekeringsmaatschappijen gaan
bepalen welke software volgens hun wel tot de norm gaat
horen om voor dekking in aanmerking te komen.
Zou mij niets verbazen als dan ineens MicroSuck spul
aangeraden wordt, omdat die dan ineens superveilig zou zijn
(you wish) en intussen krijgen ze flinke bonussen van MicroSuck.
Ik zeg hier maar wat, maar het kan ook zijn dat Symantec of
welk bedrijf dan ook gewoon regelingen gaat treffen met
verzekeringsbedrijven.
Ondertussen maar premies betalen en om de haverklap de
inhoud en bepalingen van polissen gaan aanpassen omdat de
omstandigheden wijzigen. Doe je dat niet, dan ben je opeens
niet gedekt en kun je fluiten naar je premies. Het lijkt mij
dat het uiteindelijk goedkoper is om een beveiligingsbeleid
te voeren en te handhaven.
Ja. En elke week 10 euro sparen....
Zou mij niets verbazen als dan ineens MicroSuck spul
aangeraden wordt, omdat die dan ineens superveilig zou zijn
(you wish) en intussen krijgen ze flinke bonussen van MicroSuck.
Ik denk eerder dat je premie vet omhoog gaat als je MS spul gebruikt ;-)
Alles is te verzekeren en overal hangt een bijpassende prijs
aan.
Ja, tuurlijk is alles te verzekeren. Maar je mist een
punt..........
Verzekeren gaat meestal om een win-win situatie. Je gaat
verzekerd door het leven met in achtneming van een bepaald
risico.
De verzekering gaat ervan uit dat het risico tot een minimum
is beperkt. Maar hoe weet je dat in deze situatie? De
verzekering kan gewoon nog geen oordeel vellen om zichzelf
goed in te dekken door alle risico's in te calculeren. Of de
premie moet ontzettend hoog zijn.
Veel bedrijven weten dat er gaten liggen in hun netwerk,
maar nemen de moeite niet om er wat aan te doen, want dat
kost ook geld. Het is het afwegen van kosten en baten.
Verlies je 100.000 euro omdat je gehackt wordt, of verlies
je 300.000 euro omdat je het dicht laat timmeren (plus
updaten/patchen).
Waar zou jij je dan tegen laten verzekeren? Tegen zo'n
hackaanval of tegen zo'n investering die je bij moet gaan
houden?
incidenten, althans niet in Nederland. Hier is al door veel
verzekeringsmaatschappijen onderzoek naar gedaan, maar men durft het
niet aan omdat men de risico's niet kan inschatten. Want wat ga je
verzekeren en waartegen?
Overigens zijn sommige zaken (gevolgschade) wel te verzekeren via fraude-
en bedrijfsaansprakelijkheidsverzekeringen.
Uiteraard zal een hackersverzekering eisen stellen aan de verzekerde. De
verzekerde zal moeten voldoen aan een aantal voorwaarden, zoals het
ondergaan van periodieke security audits en het implementeren van security
maatregelen. Hier zal dan een vorm van certificering voor bedacht moeten
worden, die getoetst kan worden door een onafhankelijk orgaan. Afhankelijk
van de graad van beveiliging kan dan een korting worden gegeven op de
basispremie of het eigen risico.
-IRD-
eisen gaan stellen en ik vermoed er maar zeer weinig bedrijven aan deze
eisen zullen gaan voldoen.
Daarnaast is de schade erg moeilijk in te schatten. Indien een dergelijk
bedrijf gehacked is en dit in de publiciteit verschijnt is het moeilijk aan te
geven wat de schade is. Consumenten zullen er door beinvloed worden en op
anticiperen.
Ik vermoed dat het zoiets wordt, bij het indienen van een claim, "ja, dat je beter
kunnen beveiligen". Vraag is, tot hoever moet je gaan zodat de kosten nog
tegen de baten opwegen.
Verder kan gekozen worden voor preventie, acceptatie, voorkomen, adoptie
en migratie.
Overigens kan in plaats van verzekeren beter de term afwentelen gebruikt
worden. Het risico wordt namelijk op een of meerdere partijen overgedragen.
Over het algemeen zullen bedrijven met name die risico's willen verzekeren
met een kleine kans op het 'onzekere voorval' en een grote schade.
Het is waarschijnlijk niet rendabel om een online facaliteit te verzekeren
tegen hacken (kans is relatief hoog). Maar het kan best rendabel zijn om een
meervoudig redundant systeem tegen volledige uitval (en daardoor het niet
halen van SLA's met bijbehorende boetes) te verzekeren.
Maar zolang er nog geen uniforme manier van risico-meting is, zal het
verzekeren van ICT risico's niet echt van de grond komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.