In Azië woont meer dan de helft van alle internetgebruikers ter wereld. Bedrijven maken gebruik van de online activiteiten van Aziaten om nieuwe en bestaande klanten te werven, nieuwe producten te creëren en processen efficiënter te maken. De voordelen van deze kans gaan gepaard met unieke risico's die niet worden gedekt door traditionele BI-verzekeringen (Business Interruption). Deze kunnen echter worden beheerd met BI-dekking van standalone cyberverzekeringen.
Nu we de overstap maken van het fysieke naar het digitale domein, brengen cyber-BI-claims unieke uitdagingen met zich mee - sommige bekend, sommige anders en andere weer heel anders dan traditionele BI-claims.
De bekende
Zoals bij alle verzekeringsclaims moet er een oorzakelijk verband tussen het incident en het verlies worden vastgesteld. Dit staat in traditionele BI bekend als het voorbehoud van materiële schade. Cyber BI-polissen zijn vergelijkbaar, maar in plaats van schade kan de dekking getriggerd worden door een werkelijke of vermoedelijke compromittering van de IT-systemen van een verzekeringnemer. Om gedekt te zijn, moeten verliezen voortvloeien uit een verzekerd incident.
De soorten dekking die zowel traditionele als cyber BI-polissen bieden, zijn ook vrij gelijkaardig. Er kan dekking worden geboden op basis van bruto-inkomsten of brutowinst en op basis van toegenomen arbeidskosten. Het doel is dus om de polishouder in een positie te brengen waarin het cyberincident niet heeft plaatsgevonden. Deze incidenten kunnen kwaadaardig zijn (bijvoorbeeld een datalek of malware) of anderszins (bijvoorbeeld door onopzettelijk handelen of nalaten). De uitdaging ligt, zoals altijd, in het isoleren van de schade tot alleen de schade veroorzaakt door het incident.
De enigszins verschillende
Er zijn enkele subtiele verschillen merkbaar bij het overwegen van verliezen onder een cyberpolis. De schadevergoedingsperiode voor een traditionele BI-polis begint gewoonlijk wanneer een fysiek verlies optreedt. Bij cyber BI-polissen hangt de start echter sterk af van de formulering van de polis; het kan het moment zijn waarop een systeem wordt gecompromitteerd of waarop een beveiligingsincident wordt gemeld. Dit is onderhevig aan het verstrijken van een gedefinieerde wachtperiode (d.w.z., tijd eigen risico), meestal ongeveer 12 uur. Hoewel dit kort klinkt, kan het een kostbare eeuwigheid blijken te zijn voor een online retailer tijdens een grote uitverkoop zoals op Singles' Day.
Cyber BI-polissen hebben over het algemeen een maximale schadeloosstellingsperiode van ongeveer drie maanden, wat aanzienlijk korter is dan de 12 maanden die we gewoonlijk zien in traditionele BI-polissen. Dit weerspiegelt de kortere aard van veel cyberincidenten, die sneller kunnen worden opgelost door bijvoorbeeld een back-up te herstellen. Het kan echter een uitdaging zijn om het foutpunt in een complex IT-systeem te identificeren en te herstellen, ondanks de hulp van een speciaal incidentresponsteam.
De zeer verschillende
Aangezien de onderliggende activa immaterieel van aard zijn, ontstaan er enkele grote verschillen. Hier zijn er twee die het overwegen waard zijn:
- Ransomware-aanvallen
Hoewel ransomware-aanvallen niet nieuw zijn, worden ze steeds prominenter en complexer, waardoor het waarschijnlijker wordt dat een bedrijf te maken krijgt met verstoringen. Gegevens kunnen worden gestolen of de toegang ertoe kan worden geblokkeerd (of een combinatie daarvan), waarbij de afperser dreigt vertrouwelijke gegevens vrij te geven, te vernietigen of de toegang ertoe te blokkeren tenzij er wordt betaald. Het gemiddelde losgeld in 2023 zou US$1,54 miljoen bedragen, bijna het dubbele van 2022.
In bepaalde gevallen kan het betalen van losgeld de goedkoopste en meest effectieve optie lijken. Sommige polissen vergoeden de polishouder zelfs voor dergelijke betalingen. De uiteindelijke beslissing om al dan niet te betalen ligt bij het bedrijf - maar moeten ze wel betalen?
Hoewel het verleidelijk kan zijn om toe te geven aan de eisen in de hoop dat de gegevens snel worden hersteld, ondersteunt het bewijs dit niet. Ongeveer één op de vier die betalen, krijgen hun gegevens nooit terug, en zelfs als er gegevens worden teruggehaald, duurt het bij de meeste organisaties meer dan een week om te herstellen van een ransomware-aanval. Er is ook geen garantie dat de aanval wordt beëindigd of opgelost - een punt dat wordt herhaald door het Counter Ransomware Initiative uit 48 landen, dat dergelijke betalingen sterk ontmoedigt. Betalingen kunnen ook dienen als een bron van fondsen voor criminele activiteiten en een verdere stimulans vormen om toekomstige aanvallen uit te voeren.
Bedrijven moeten beslissen of het in hun eigen belang is om af te zien van het betalen van losgeld. Mochten verzekeraars de beslissing om niet te betalen ondersteunen, dan zou de dekking zich over het algemeen uitstrekken tot herstelkosten en inkomstenderving die direct het gevolg zijn van de aanval.
Aangezien ransomware-aanvallen financieel kostbaar kunnen zijn en aanzienlijke downtime kunnen veroorzaken, is het verstandig om je proactief voor te bereiden op een dergelijk incident. Deze maatregelen kunnen bestaan uit:
- Ervoor zorgen dat back-ups en redundanties aanwezig en actueel zijn
- Regelmatige IT-audits uitvoeren
- Sterke wachtwoorden en multifactorauthenticatie verplichten
- Regelmatige IT-trainingen en -opleidingen
- Het ontwikkelen van responsplannen voor incidenten die indien nodig snel kunnen worden ingezet
Dergelijke plannen zijn alleen effectief als ze de inspanningen van de hele organisatie omvatten.
- Reputatieschade
Na een cyberaanval kan de publieke perceptie van het beoogde bedrijf worden beïnvloed, vooral wanneer gevoelige klantgegevens zijn gecompromitteerd. Klanten kunnen twijfelen aan het vermogen van het bedrijf om hun persoonlijke gegevens te beschermen, wat leidt tot verlies van vertrouwen en loyaliteit. Service-uitval kan er ook toe leiden dat gebruikers overstappen naar een concurrent die zijn betrouwbaarheid promoot.
Veel cyber BI-polissen bieden dekking voor reputatieschade, waarbij verzekerden worden vergoed voor financiële verliezen die rechtstreeks voortvloeien uit het incident. Dekking voor reputatieschade kan ook beschikbaar zijn voor het inhuren van PR-consultants om de gevolgen van negatieve publiciteit te beperken. De moeilijkheid ligt in het meten en toeschrijven van het verlies van huidige en potentiële klanten aan het incident. Aangezien veel cyberpolissen bovendien een korte maximale schadeloosstellingsperiode hebben, wordt de voortdurende reputatieschade na deze periode niet gedekt door de polis.
De jury is er nog niet uit of nieuws over cyberincidenten zo gewoon is geworden dat de reputatie van een bedrijf inderdaad beschadigd is. Mensen hebben de neiging om bedrijven met een hoge mate van vertrouwen als gevoeliger voor reputatieschade te beschouwen. Een online bank zou bijvoorbeeld vatbaarder zijn voor reputatieschade dan een online retailer.
Net als bij ransomware kan een proactieve aanpak van reputatieschade effectiever en efficiënter zijn dan een reactieve houding. Naast de hierboven genoemde maatregelen moet de hoeksteen worden gevormd door duidelijke en effectieve communicatie met belanghebbenden - de sleutel tot het herstellen van vertrouwen en het verdedigen van reputaties.
Conclusie
Cyber BI-claims hebben een aantal kenmerken gemeen met hun traditionele tegenhangers, maar het digitale domein roept een aantal unieke vragen op. Wanneer een bedrijf wordt geconfronteerd met een cyber-BI-schade, is het van cruciaal belang om een betrouwbare partner in de arm te nemen met expertise in de nuances van cyber-BI-schadeclaims om hen te helpen de verstrekkende gevolgen te beperken.
> Lees meer - lees meer over Sedgwick's forensische accountancydiensten en bedrijfsschade capaciteiten in Azië of e-mail [email protected] voor meer informatie
Tags: BI, Bedrijfsschade, Claims, cyber, cyberverzekering, Cyberrisico, Eigendom, Eigendomsverlies, Eigendom herstellen