Hier een bericht van iemand die dit soort verzekeringen verkoopt, ontwikkelt en afsluit:
Een verzekering tegen hackers kan de volgende zaken vergoeden:
- de kosten voor het herverkijgen van verloren gegane data (denk aan het opnieuw in laten kloppen van de data of het inhuren van gespecialiseerde bedrijven die van harddisks die zijn gewist nog wat data kunnen halen - daar was laatst ook een nieuwspost over)
- de schade die het bedrijf lijdt door stilstand van de onderneming (Wegvallen omzet, verlies klanten etc..)
Er zijn, in tegenstelling tot wat het bericht stelt, geen bijzondere beperkende voorwaarden. Alle hack-pogingen zijn gedekt, ongeacht hoe uitgevoerd. Het enige dat een verzekerde hoeft aan te tonen is het verlies van data. Uiteraard moet er wel een redelijk vermoeden bestaan dat er daadwerkelijk een hackpoging is geweest, maar dit is veelal uit de firewall-logs en de logs van ISP's te achterhalen.
De door Reuters aangehaalde verzekeringsbedrijven zijn bijna allemaal Amerikaans en die zijn veel meer geschrokken van 9-11 dan de Europese bedrijven. Die sluiten wel van alles en nog wat uit, wij dus niet.
Uiteraard is er met een verzekering te frauderen, maar stilstand van je onderneming is natuurlijk makkelijk aan te tonen, evenals de verloren gegane data. Dat laat je niet voor je lol even weghalen door een ingehuurde hacker, want daarmee breng je ook de continuïteit van je bedrijf in gevaar.
Voorts eisen verzekeraars vanzelfsprekend voorzorgsmaatregelen. Iedereen vindt het ook volstrekt normaal dat je een alarm op een Ferrari of BMW 730 schroeft, dus: Firewalls, het binnen redelijke tijd implementeren van patches en updates en een stringente back-up procedure lijken me geen vreemde eisen van de verzekeraar.
Voorts bestaat er ook nog zoiets als een verzekering tegen virussen, maar daarmee zijn de verzekeringsbedrijven zeer terughoudend, omdat de impact van een "goed" virus enorm kan zijn. Maar het kán wel.
De premie vaststellen is voor verzekeraars niet zo erg moeilijk. Je kunt de kosten die je moet maken om de data weer terug te krijgen inschatten en je kunt de vaste lasten en netto winst van een onderneming gewoon uit de jaarcijfers halen. Daarna kun je dus inschatten wat het risico is en een adequate premie vaststellen. Daarmee is al ervaring opgedaan en is de risicopremie vast te stellen. Dit blijft uiteraard vakwerk voor mensen met verstand van verzekeren EN verstand van computers.
Overigens zal zo'n systeembeheerder door verzekeraars geen nalatigheid worden verweten. Uiteraard volgt er geen uitkering als blijkt dat een verzekerde patches die meer dan een jaar oud zijn niet heeft geïnstalleerd Dit is echter niet genoeg om de beheerder aansprakelijk te stellen en de schade te verhalen. Waarschijnlijk krijgt de beheerder wel een pittig gesprekje met de directie….
At the same time, some security experts questioned whether insurance policies would be effective, given that many of them exclude more incidents than they cover, given the unpredictability of where and how an attack could come. Still, the hacker insurance field got a big boost on Jan. 1, when many existing commercial general liability policies expired and were replaced by policies that contain explicit exclusions for hacker-related losses, attorney Robert Steinberg of Latham & Watkins in Los Angeles told clients in a recent brief.
/u/2205/nzflag_60x60.png?f=community){kind=small}
:strip_icc():strip_exif()/u/30846/crop624404d93a803_cropped.jpg?f=community){kind=small}
/u/24256/crop563b59e78b723.png?f=community){kind=small}
:strip_exif()/u/18861/MRice-avatar.gif?f=community){kind=avatar}
:strip_exif()/u/61720/Metal-avatar60609-10K.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community){kind=small}
/u/70662/card.JPG?f=community){kind=small}
