Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.3.2
IV.3.2 Indicaties in de aanvraagfase
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278912:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Zie ook A. Drougkas (ENISA) 2017, p. 8.
Zie FERMA 2018, p. 7 en A. Drougkas (ENISA) 2017, p. 22.
In de minderheid van de gevallen wordt wel een termijn genoemd, die varieert van 30 dagen tot zes maanden.
W. Smart, Lessons learned review of the WannaCry Ransomware Cyber Attack, Independent report NHS, London 1 februari 2018: “[…] all NHS organisations infected by WannaCry had unpatched, or unsupported, Windows operating systems” (p. 8).
Vergelijk in dit kader ook B.F. Nieuwesteeg, L. Visscher en B. de Waard, ‘De rechtseconomie van cyberverzekeringen’, Het Verzekeringsarchief 2017-3, p. 159. De auteurs concluderen dat de cyberverzekeraar rechtseconomisch gezien op dit punt in grotere mate zou kunnen bijdragen aan een hogere maatschappelijke welvaart.
B.F. Nieuwesteeg, The Law and Economics of Cyber Security (diss. Erasmus University Rotterdam), 2018, p. 25. Zie ook FERMA 2018, p. 10.
Ibid. Zie ook CBS 2018. Social engineering is een techniek waarbij via menselijke kwetsbaarheden (nieuwsgierigheid, medelijden, angst) informatie wordt verkregen waarmee vervolgens toegang tot het systeem kan worden verkregen.
Bewustwording, trainen en opleiden van personeel worden zelfs aangeduid als een van de “critical succes factors” voor een goed information security management system. ISO/IEC 27000:2018(E), 2018-2, art. 4.6(e).
Een van de verzekeraars biedt als onderdeel van de dekking (dus ná afsluiten van de verzekering) een doorlopende leergang aan om specifieke kennislacunes van de verzekerden te beperken (zie SCHADE Magazine 2018/5, p. 50). Dit illustreert dat het nodig wordt geacht om het kennisniveau van de verzekerde omhoog te brengen.
Tussen de verschillende verzekeraars blijken grote verschillen te bestaan in de wijze waarop de vragen zijn geformuleerd en gecategoriseerd. Bovendien stellen lang niet alle verzekeraars dezelfde vragen. Toch is hierin wat betreft veiligheidsmaatregelen een zekere rode draad te ontdekken.1
Alle cyberverzekeraars vragen bij aanvang van de verzekering naar het gebruik van firewalls, de aanwezigheid van herstelprocedures en een beleid voor back-ups. Al deze vereisten komen op de lijst van het CBS niet voor. Wel op de lijst én door alle cyberverzekeraars gevraagd zijn antivirussoftware en een authenticatiebeleid. Verder vraagt het merendeel van de verzekeraars om een wachtwoordenbeleid, automatische updates van beveiligingssoftware (patches) en encryptie van data. Zaken die niet of weinig worden gevraagd, maar wel op de lijst van het CBS voorkomen, zijn de aanwezigheid van logbestanden om incidenten te kunnen analyseren, VPN bij internetgebruik buiten het eigen bedrijf en network access control.
Nu een aantal van deze maatregelen in de meeste aanvraagformulieren terugkomt, is dat een indicatie dat onder verzekeraars een redelijke consensus bestaat dat deze maatregelen algemene voorzorgsmaatregelen zijn die iedere verzekerde dient te treffen.2
Een enkele uitzondering daargelaten, worden deze maatregelen echter weinig geconcretiseerd. Binnen hoeveel dagen een patch of update moet worden geïmplementeerd, is dus aan de inschatting van de verzekerde zelf.3 Ik vraag mij af of dit niet een gemiste kans is voor zowel verzekeraars zelf als de maatschappij in bredere zin. Grote incidenten zoals Wannacry en NotPetya tonen aan dat het belang van zo snel mogelijk patchen zeker niet moet worden onderschat.4 Ter verhindering van de kwetsbaarheid die Wannacry mogelijk maakte had Microsoft al twee maanden eerder een patch uitgegeven, maar nog niet alle bedrijven en organisaties hadden deze geïnstalleerd. Dit lijkt vrij eenvoudig te ondervangen door in de polisvoorwaarden of – zou dit meer maatwerk betreffen – op het polisblad een termijn voor het installeren van patches op te nemen. Hetzelfde geldt voor de algemeen gestelde vraag naar back-ups. De aanvraagformulieren geven niet aan hoe vaak deze back-ups moeten worden gemaakt en waar dat wel het geval is, zijn de verschillen groot: dagelijks, wekelijks, maandelijks.
Dergelijke afwegingen laat de cyberverzekeraar kennelijk aan de verzekerde zelf over. Zouden de bepalingen echter concreter zijn, dan schept dat meer duidelijkheid over de verwachtingen die de verzekeraar van haar verzekerde heeft. Bovendien zou de cyberverzekering dan ook in een grotere mate kunnen bijdragen aan een betere cybersecurity. Bedrijven worden dan immers gestimuleerd tot het nemen van concrete maatregelen.5
Verder besteden niet alle cyberverzekeraars in de aanvraagfase aandacht aan de menselijke factor bij cybersecurity, terwijl dit een cruciaal element is bij cyberrisicomanagement.6 De mens is immers niet zelden de zwakste schakel, denk bijvoorbeeld aan social engineering.7 Het opleiden en trainen van personeel is als een van de basisvoorschriften van informatiebeveiliging opgenomen in de ISO27000 standaard.8 Door dit aspect niet in de aanvraagfase te benoemen, geeft de verzekeraar er blijk van dit niet relevant te achten.9 De menselijke factor lijkt in de aanvraagfase ondergeschikt te zijn aan de technische aspecten. Ook dit acht ik een gemiste kans en bovendien leidt dit tot onnodige onduidelijkheid ten aanzien van het antwoord op de vraag wat een verzekeraar van haar verzekerde verwacht.