Naarmate digitale misdaad evolueert, kan cyberverzekering een deel van de oplossing zijn. We onderzoeken hoe het banken kan beschermen tegen financiële verliezen en middelen kan bieden bij een cyberaanval.
Door Beth Mattson-Teig
Grote organisaties zoals Microsoft, Colonial Pipeline en het Rode Kruis zijn met name getroffen door cybercriminaliteit, maar in dit geval betekent kleiner niet per se veiliger.
“Veel mensen denken dat het mijn bedrijf of mijn bank nooit zal overkomen, omdat het te klein is”, zegt Linda Comerford, assistent-vicepresident incidentrespons en cyberservices bij AmTrust Financial Services Inc. precies het tegenovergestelde van mijn ervaring. Je ziet eigenlijk meer gevallen van problemen bij de kleinere bedrijven. AmTrust werkte onlangs met een klant uit de gemeenschapsbank die het doelwit was van een ransomware-aanval die zijn filialen twee weken lang heeft stilgelegd. De bank kon pas volledig aan de slag nadat ze een onderhandeld losgeld had betaald.”
Cybercriminaliteit wordt steeds geavanceerder, met slechte actoren die willen profiteren van gegevensdiefstal, malware en ransomware-aanvallen. Ze kijken meestal rond in financiële systemen om te zien hoeveel inkomsten en activa een bank losgeld moet betalen, maar elke bank met blootstelling aan internet loopt een bepaald niveau van cyberrisico, zelfs van zoiets eenvoudigs als een werknemer die op de verkeerde link klikt in een e-mail.
“De wereld van cybercriminaliteit evolueert snel, en wat de kwaadwillenden in een doelwit zoeken, is niet noodzakelijkerwijs grootte of een grote naam”, zegt Jared Gentile, assistent-vicepresident, obligatie- en speciale verzekeringen bij Travellers. “Ze zijn op zoek naar kwetsbaarheden waarvan ze weten hoe ze die kunnen misbruiken.”
Verzekeren tegen cyberrisico’s
Een verdedigingslinie is cyberverzekering. “Cyberverzekeringen zijn tegenwoordig wat eigendomsverzekeringen 50 jaar geleden waren”, zegt Gregory Montana, chief risk officer bij FIS. Cyberverzekeringen bieden niet alleen financiële vergoedingen voor verliezen; het geeft de verzekerde ook toegang tot een lijst van vooraf goedgekeurde experts op het gebied van incidentrespons die de bank moeten helpen bij het beheren van een cybergebeurtenis.
Cyberverzekeringsproducten variëren afhankelijk van de vervoerder en hoe een individueel beleid is gestructureerd, maar de meeste bedrijven bieden dekking voor eerste-partij en wettelijke aansprakelijkheid. In het geval van een cybergebeurtenis betaalt first-party dekking vaak kosten zoals forensisch onderzoek en analyse om de omvang van een inbreuk te begrijpen, advocaatkosten om juridische risico’s te beheren, meldingen voor werknemers en klanten, losgeldbetalingen, gegevensherstel en bedrijfsonderbreking kosten. Aansprakelijkheidsbeleid reageert op rechtszaken of regelgevende maatregelen en boetes die het gevolg zijn van een cybergebeurtenis.
Cybergebeurtenissen worden doorgaans niet gedekt door algemene aansprakelijkheidsverzekeringen. Het is belangrijk voor banken om te begrijpen wat wel en niet wordt gedekt door hun individuele polissen. Sommigen kunnen bijvoorbeeld de betaling uitsluiten bij een ransomware-aanval.
“Niet elk beleid zal hetzelfde zijn. Ze passen echt bij de behoeften van het bedrijf”, zegt Comerford. Banken kunnen ervoor kiezen om opties toe te voegen aan een standaard cyberverzekeringspakket, zoals dekking voor reputatieschade of public relations-kosten in verband met een inbreuk. “Het ergste dat kan gebeuren, is dat je denkt dat je ergens dekking voor hebt, maar het is niet echt inbegrepen in de polis die je hebt gekocht”, voegt Comerford toe.
De prijs van cyberverzekeringspremies varieert afhankelijk van het kredietrisico, de dekking en de polislimieten van een bank, die kunnen variëren van $ 1 miljoen tot honderden miljoenen dollars in totale limieten. “Banken moeten samenwerken met hun agent of makelaar om te bepalen wat het beste dekkingsniveau voor hen is”, zegt Gentile.
Middelen bieden toegevoegde waarde
Verzekeraars en vervoerders kunnen ook een belangrijke hulpbron zijn bij het verstrekken van informatie en het helpen van banken om snel op een inbreuk te reageren.
“Een van de grootste voordelen van een cyberbeleid, vooral voor een kleinere gemeenschapsbank, is toegang tot experts”, zegt Gentile. Wanneer een bank een evenement heeft, kunnen ze de telefoon opnemen en contact opnemen met de juridische adviseur of ‘inbreukcoaches’ die in wezen de reactie op het verzachten of reageren op wat er is gebeurd ondersteunen. Het is de inbreukcoach die forensische, juridische en meldingsdiensten inschakelt om schade te beperken.
“Het grootste voordeel voor een bank is te weten dat die middelen beschikbaar en klaar zijn als ze ze nodig hebben, en het is belangrijk om een verzekeringsmaatschappij te hebben die ook de rekening daarvoor kan betalen”, zegt hij.
Daarnaast kunnen verzekeringsmaatschappijen banken helpen proactieve stappen te nemen om de verdediging tegen cyberdreigingen te versterken. Stappen zoals multi-factor authenticatie zijn zeer effectief gebleken en worden gezien als minimale beveiligingsfuncties voor banken die op zoek zijn naar een cyberverzekering. Sommige verzekeringsmaatschappijen bieden zelfs kortingen voor banken die extra beveiligingslagen hebben, zoals multi-factor authenticatie of eindpuntdetectie en -herstel.
Een nadeel van cyberverzekeringen is dat de schadecyclus vaak lang en complex is en vele maanden en soms zelfs jaren in beslag neemt om volledig op te lossen. Dit vertraagt niet alleen de vergoeding van verliezen, maar kan ook een aanslag zijn op de interne middelen, merkt Montana op.
Een andere uitdaging voor banken is dat niet elke cyberverzekering op dezelfde manier tot stand komt. “Dekkingsvoorwaarden kunnen worden toegevoegd en afgetrokken via een complex web van goedkeuringen, waardoor de verzekerde zich aan het einde van het claimproces gefrustreerd kan voelen”, zegt hij.
Toch kunnen verzekeringen een belangrijke verdedigingsmuur tegen cyberrisico’s zijn – een goede pleitbezorger om de bank te helpen de blootstelling aan cyberrisico’s te verminderen. “Het is heel belangrijk om te weten dat cyberverzekeraars een partner zijn”, zegt Comerford. “We willen je helpen voordat je een incident hebt, en we zijn hier om je te helpen als je een incident hebt om je hand tijdens het proces vast te houden.”
Toezichthouders die meer aandacht besteden aan cyberrisico’s
De banksector kan te maken krijgen met meer regelgevend toezicht en druk op de manier waarop zij cyberrisico’s beheren
Federale regelgevende groepen vestigen meer aandacht op de manier waarop cyberverzekeringen een cruciaal onderdeel vormen van bredere strategieën voor risicobeheer. “Banktoezichthouders zijn zich terdege bewust geworden van hoe een cybergebeurtenis de financiële stabiliteit van een bank, bankklanten en ook bankmedewerkers kan beïnvloeden”, zegt Jared Gentile, assistent-vicepresident, obligatie- en speciale verzekeringen bij Travellers.
In november 2021 keurden de FDIC, OCC en de Raad van Gouverneurs van het Federal Reserve System een nieuwe regel goed die bankorganisaties verplicht om regelgevers zo snel mogelijk op de hoogte te stellen van “elk significant computerbeveiligingsincident” en niet later dan 36 uur na een vaststelling dat een dergelijk incident heeft plaatsgevonden.
De FDIC en het OCC hebben ook een verklaring uitgegeven over verhoogde cyberbeveiligingsrisico’s, die zich richt op manieren waarop banken het risico op een cyberaanval kunnen verminderen en bedrijfsonderbrekingen kunnen minimaliseren. Enkele van de hoogtepunten voor goed risicobeheer voor cyberbeveiliging zijn:
- Reactie- en veerkrachtmogelijkheden: Herzien, updaten en testen van incidentrespons en bedrijfscontinuïteitsplannen
- authenticatie: Beschermen tegen ongeoorloofde toegang
- Systeem configuratie: Systemen en services veilig configureren
Beth Mattson-Teig is een schrijver in Minnesota.