Er was eens een bedrijf dat een cyberverzekering had afgesloten. Ze betaalden keurig hun premie, vulden de vragenlijst in (ja, we hebben antivirus; ja, we maken backups; ja, we hebben een wachtwoordbeleid), en gingen verder met hun dagelijkse bezigheden in de aangename wetenschap dat ze "gedekt" waren.
Toen werden ze gehackt. En toen werd het interessant.
De vragenlijst vs. de werkelijkheid
Het probleem met cyberverzekeringen begint bij de aanvraag. Er staat een vraag als: "Maakt uw organisatie gebruik van multifactorauthenticatie?" En iemand kruist "ja" aan, want de VPN heeft MFA. Dat de e-mail, het CRM, de boekhoudsoftware en het beheerpaneel van de website dat niet hebben, staat er niet bij. Technisch gezien was het antwoord niet gelogen. Maar het was ook niet helemaal de waarheid.
En daar begint het probleem. Want als de verzekeraar na een incident onderzoek doet — en geloof me, dat doen ze — en ontdekt dat de aanval binnenkwam via een systeem zonder MFA, dan volgt er een gesprek. Geen aangenaam gesprek.
De kleine lettertjes die groot uitpakken
Cyberverzekeringen hebben uitsluitingen. Veel uitsluitingen. Hier zijn een paar klassiekers:
- Bekende kwetsbaarheden — Als de patch al zes maanden beschikbaar was en je hebt hem niet geïnstalleerd, is dat nalatigheid, geen pech
- Oorlogshandelingen — Als de aanval wordt toegeschreven aan een statelijke actor, kan de verzekeraar het classificeren als oorlogshandeling. Veel succes met die claim
- Insider threats — Een medewerker die bewust schade aanricht valt lang niet altijd onder de dekking
- Onjuiste verklaringen — Dat kruisje bij "ja, we hebben MFA" terwijl dat niet overal het geval was? Dat kan de hele polis ongeldig maken
Verzekering is geen vervanging
Hier is de fundamentele denkfout: een cyberverzekering is geen alternatief voor cybersecurity. Het is een aanvulling. Je verzekert je auto ook niet in plaats van remmen te hebben. Je hebt remmen, én een verzekering, omdat je begrijpt dat de remmen het belangrijkste zijn, maar dat er altijd iets mis kan gaan.
Sterker nog: de verzekeraars zelf worden steeds strenger. Premies stijgen. Vragenlijsten worden uitgebreider. Audits worden diepgaander. De tijd dat je een polis kon afsluiten door een paar vinkjes te zetten, is voorbij.
Wat wél werkt
Investeer eerst in preventie, dan in verzekering. In die volgorde.
Een goede basisbeveiliging — MFA, patching, backups, awareness, netwerksegmentatie — kost een fractie van wat een incident kost. En het maakt je niet alleen veiliger, het maakt je ook verzekerbaar. Want een verzekeraar die ziet dat je je zaakjes op orde hebt, biedt betere voorwaarden en lagere premies.
Wil je weten hoe je basisbeveiliging ervoor staat? Download onze gratis security checklist of vraag een adviesgesprek aan.