IT komt steeds meer centraal te staan bij het runnen van een bedrijf. Naast de vele voordelen die dat biedt, nemen zo echter ook de cyberrisico’s toe. “Een holistisch cybersecuritybeleid met een cyberverzekering als sluitstuk is dan ook aangewezen” zeggen Anne-Sophie Coppens en Tim Merci van Marsh BeLux.
Hoe kunnen bedrijven zich het best wapenen tegen cyberrisico’s?
Coppens: “Alles begint met het begrijpen van je eigen systemen. Je start dus best met een risico-assessment. Zeker bedrijven met dochtervennootschappen of veel leveranciers dienen goed in beeld te brengen hoe die met elkaar verbonden zijn. Van elke brug tussen personen en/of bedrijven moet je weten hoe je die kan beveiligen. Pas daarna kan je een visie en strategie ontwikkelen en uiteindelijk middelen toekennen. Er is niet één juiste methodologie, ze moet vooral passen bij je sector, activiteit, grootte en filosofie. Sommige bedrijven zijn nu eenmaal meer risicoavers dan andere. Het is ook belangrijk om te benadrukken dat een cybersecuritybeleid een continu proces is. Je dient steeds alert te blijven en ervoor te zorgen dat alles up-to-date blijft. Cybercriminelen blijven immers ook niet stilzitten en vinden voortdurend nieuwe manieren om je aan te vallen.”
Hoe kunnen jullie bedrijven hierin helpen?
Coppens: “Hoewel cybersecurity niet altijd duur hoeft te zijn, zijn de middelen van ieder bedrijf wel beperkt. Je moet dus keuzes maken. Als makelaar adviseren we onze klanten om hun risico’s beter te beheren. Verzekeringen maken daar deel van uit, maar we starten wel vanuit een globaal perspectief op hoe je de risico’s maximaal kan beperken.” Merci: “We staan klanten bij in de bewustwording, de analyses, het in kaart brengen van de risico’s en het maken van keuzes om deze aan te pakken. Door de feedback die we krijgen vanuit onze verzekeringen weten we waar er incidenten zijn en welk soort incidenten dat zijn. Dankzij onze interne investeringen in IT-kennis kunnen we vervolgens de discussie aangaan en klanten mee helpen om prioriteiten te stellen in hun cybersecuritybeleid.”
Wat kan de rol van een cyberverzekering zijn in dat beleid?
Coppens: “Hoewel een nulrisico uiteraard niet bestaat, dienen in eerste instantie preventieve maatregelen te worden getroffen. Ik denk aan regelmatige back-ups en updates, een firewall, detectie, monitoring, trainingen rond cyberveiligheid, een crisisplan,… Pas daarna kan een verzekering nuttig zijn als bijkomend financieel middel.” Merci: “Een cyberverzekering is geen einddoel en geen wondermiddel tegen alles. Het is daarom belangrijk om eerst een inzicht te krijgen in wat er kan gebeuren en wat de potentiële impact is op je bedrijf. Pas daarna kijken we of een verzekering eventueel nuttig kan zijn. De verzekering is dus slechts het sluitstuk, terwijl vooral de maturiteit van de onderneming op het vlak van cyberrisicobeleid de essentie moet zijn.”
Waarom is het belangrijk om een cyberverzekering steeds af te stemmen op de noden van een bedrijf?
Coppens: “Bepaalde bedrijven lopen een groter risico op vlak van privacy omdat ze veel persoonlijke data hebben. Andere bedrijven riskeren dan weer eerder omzetverlies indien het bedrijf zou stilvallen. Het is dus steeds kijken welke dekkingen, vrijstellingen en limieten passen voor welk bedrijf. Dat is steeds maatwerk. Sommige bedrijven willen enkel een dekking tegen de grootste catastrofes, waardoor er een hoge vrijstelling mogelijk is en de verzekering bijgevolg goed koper wordt. Met een financiële analyse helpen we bedrijven om inzicht te krijgen in hoe ze hun budget optimaal kunnen benutten. Vaak betekent dit dat we een holistische aanpak aanraden: eerst preventieve maatregelen nemen die een positieve impact hebben op de verzekeringspremie, waardoor je vervolgens een lagere vrijstelling kan nemen. Die zoektocht en wisselwerking zijn meteen ook erg leerrijk voor onze klanten.”
Hoe zien jullie dit verder evolueren?
Merci: “Er is nu een duidelijke shift ingezet richting de kwaliteit van het risico, en dat zal ook de komende jaren de focus blijven. Daarnaast worden risico’s alsmaar complexer. De digitalisering zet zich immers door in elke sector en elke laag van de maatschappij. Dat vertaalt zich ook in meer incidenten. Net daarom zullen preventie en het verhogen van de maturiteit van je risicobeheer essentieel zijn. Misschien zullen we wel evolueren naar een punt waar cyberverzekeringen niet meer interessant zijn ten opzichte van het rendement dat men er uithaalt. Vanuit die holistische visie kan je budget dan mogelijk beter worden ingezet op controlemechanismen binnen je bedrijf.” Coppens: “De premies zijn de afgelopen jaren alvast fors gestegen. Bepaalde dekkingen zijn bovendien gedaald, met bijvoorbeeld bepaalde sublimieten voor ransomware. Wel denk ik dat de markt nu aan het stabiliseren is omdat verzekeraars bepaalde risico’s nu gewoon niet meer willen verzekeren. Hierdoor is er meteen ook een extra stimulans voor bedrijven om de zaken eerst intern te verbeteren. Bijgevolg zijn er nu minder kostelijke incidenten en kunnen ze makkelijker worden opgelost.”