Cyberverzekering, ervaringen?

Tsja, wat staat er op papier wat je er voor terug krijgt ?
Wat gaat de "verzekeringsadviseur" doen als de e-mailadressen lekken bijvoorbeeld ?

[ Voor 42% gewijzigd door dylan111111 op 30-01-2018 09:49 ]

Het gaat er vooral om of de verzekering ook geldt als het 'jouw schuld' is. Anders kunnen ze elk incident op nalatigheid gooien en gewoon nooit uitbetalen/actie ondernemen

Dat ja, Wat is precies hun polis, wat zijn de kleine letters? Het heeft pas zin als er in reële situaties (die niet al zijn gedekt door andere verzekeringen) voldoende gaat worden uitbetaald.

Gerede kans dat in de kleine letters bijv staat dat je bij iedere klant in de overeenkomst allerhande zaken moet afspreken die ze niet leuk gaan vinden. En/of dat je naast die 1.000 ook 50.000 moet uitgeven aan aanvullende maatregelen en dan kan je misschien net zo goed alleen dat tweede doen

Het klinkt alsof je beter een aansprakelijkheidsverzekering kan hebben die ook datalekken dekt.

Wat is het doel van de verzekering?

Zonder verdere uitleg of voorwaarden is dit topic vrij kansloos. @Rekcor Graag wat meer informatie geven als je wilt.

Een cyberverzekering biedt dekking voor financiële schade door/aan computersystemen. Omdat er veelal geen sprake is van fysieke schade biedt bijvoorbeeld een standaard aansprakelijkheidsverzekering of bedrijfsschadeverzekering geen dekking.

Het is in de grote lijnen opgedeeld in:
- Hacking (schade veroorzaakt door hackers, bv herstel van data)
- Systeeminbraak (eigen kosten: kosten onderzoek, communicatie naar klanten/justitie/etc., klantondersteuning)
- Privacy (datalekken, boetes hieromtrent)
- Aansprakelijkheid
- Afpersing
- bedrijfsschade (omzetverlies)

De exacte dekking is uiteraard afhankelijk van de voorwaarden en de samenstelling van de gekozen verzekering en zonder meer info van TS is hier inderdaad weinig over te zeggen. Net zoals bij iedere verzekering moet je je als bedrijf afvragen of je je hiervoor wilt verzekeren, of dat je dit risico zelf zo veel mogelijk inperkt en de eventuele schade voor lief neemt.

Bedenk ook dat deze verzekeringen in de regel ook eisen stellen aan hoe je eea hebt ingericht: techniek, proces en organisatie. Ervaring leert dat de 2 laatste meestal 'vergeten' worden....
Zodat bij een incident de verzekeraar (terecht ook wel) niet of veel minder uitkeert dan gedacht/gehoopt.

Een verzekering kan handig zijn, maar zonder exacte voorwaarden kan ik daar niet echt over zeggen.

Een goede certificering lijkt me iig essentieel:
Wikipedia: ISO/IEC 27001

L0we schreef op woensdag 31 januari 2018 @ 16:50:
Een verzekering kan handig zijn, maar zonder exacte voorwaarden kan ik daar niet echt over zeggen.

Een goede certificering lijkt me iig essentieel:
Wikipedia: ISO/IEC 27001

Dat hangt uiteindelijk allemaal af van de gedefinieerde scope. Ik ken een softwarebedrijf dat een mooie ISO 27001 certificering heeft, maar in de scope duidelijk zegt dat de producten en het ontwikkelteam buiten de scope vallen. Met andere woorden, de receptioniste heeft een achtergrondcheck gehad en er zitten sloten op 't gebouw, dat is het zo'n beetje even overdreven gezegd.

Een hoge mate van gestandaardiseerde werkprocessen e.d. zal wel geëist worden door de verzekering waar ISO 27001 een goed begin kan zijn, mits goed toegepast.

Het doel van de verzekering is om de continuïteit te waarborgen

Dat lijkt me erg sterk. Dat zou inhouden dat iemand bij de verzekeraar jouw technische problemen gaat oplossen. Misschien bedoel je dit niet, maar realiseer je je wel goed wat een verzekeraar wel of niet doet. Ze vergoeden de schade tot op bepaalde hoogte. Maar je klanten komen er niet door terug als je een flinke downtime of hack hebt. Een goede technische implementatie blijft dus extreem belangrijk. Daarnaast kan je lijkt mij veel financiele schade/risico's en claims afdekken met goede voorwaarden.

Mij lijkt het verstandiger om simpelweg een robuuste omgeving op te zetten en de risico's met een advocaat door te spreken. En wellicht dan nog e.e.a. af te dekken via een verzekering.

Rekcor schreef op woensdag 31 januari 2018 @ 16:17:
[...]Onze standaard beroeps-/bedrijfsaansprakelijkheidverzekeringen dekken deze gevallen niet. Volgens de verzekeringsman is dit standaard niet het geval.

Dezelfde verzekeringsman die de cyberverzekering wil afsluiten neem ik aan?

Met alle respect, maar het klinkt alsof je weinig verstand van verzekeringen hebt. Toevallig de enige IT'er op school en dan krijg je dit maar in je schoot geworpen?

Rekcor schreef op dinsdag 6 februari 2018 @ 10:04:
[...]
Dank! We hebben inderdaad besloten om geen cyberverzekering te nemen. We hebben een robuust systeem (niet alleen technisch, maar vooral ook:), leiden onze mensen goed op (bewustwording, password managers verplicht, tfa voor kritieke systemen, regelmatige checks door security officer).

Dat levert echter geen enkele garantie op dat je niet kwetsbaar bent.

Zijn er geen voorbeelden van zo'n verzekering in de praktijk? Meestal wordt een waarde van een verzekering per jurisprudentie vastgelegd bij de rechter indien er conflicten ontstaan Interessante vraag is natuurlijk altijd hoeveel zo'n verzekering uitkeert v.s. hoeveel verantwoordelijkheid de verzekerde heeft mbt preventie.

[ Voor 25% gewijzigd door Basszje op 06-02-2018 14:00 ]

Rekcor schreef op dinsdag 6 februari 2018 @ 10:04:
[...]
Dank! We hebben inderdaad besloten om geen cyberverzekering te nemen. We hebben een robuust systeem (niet alleen technisch, maar vooral ook:), leiden onze mensen goed op (bewustwording, password managers verplicht, tfa voor kritieke systemen, regelmatige checks door security officer).

Nu je geld bespaard hebt kijk dan eens of je al aan de volgende zaken hebt voldaan. Mist daar iets dan heb je nu budget

1. Jullie hebben een security officer, dat is al een goed begin. Is deze bereikbaar voor jullie SaaS klanten indien zij een incident hebben?
2. Is de SaaS oplossing al eens aan een pentest onderworpen?
3. Zit security ingebakken in het ontwikkel en test process?

Als je dit allemaal met een ja kunt beantwoorden dan kun je dit later ook aan de klant laten zien. Er is altijd een rest risico om gehackt te worden wat je niet af kunt vangen. Je kunt dan in ieder geval aantonen dat je een solide basis had opgezet. Financiele claims moet je zoveel mogelijk tegengaan met je voorwaarden en contracten.

Rekcor schreef op donderdag 8 februari 2018 @ 10:14:
[...]

Het punt is dat onze klanten zo groot zijn dat ze ons dwingen aan hun inkoopvoorwaarden te voldoen. Daarin wordt zelfs het op zijn van het toiletpapier in onze schoenen geschoven, als we niet uitkijken.

Opletten en vooraf bespreken. ‘Dit accepteert onze verzekeraar, als u hier aan vasthoudt kunnen we niet aanbieden’ kan een goed argument zijn. Of ze het eens zijn, is natuurlijk afwachten.. (c.q. goed uitleggen)