Elektronische verzekeringen nemen toe en veiligheidssituaties in de regelgeving moeten volgen

Ondanks alle inspanningen om dit ongedaan te maken, komen ransomware, hacks en datalekken vaker voor dan ooit.

Bijna 75% van ‘s werelds besluitvormers voor internetrisico’s meldt dat hun bedrijf eraan is blootgesteld Minstens één cyberaanval Vorig jaar beoordeelde slechts 3% van de respondenten de elektronische hygiëne van hun bedrijf als ‘uitstekend’. In aanvulling op, Recent onderzoek Het plaatst de gemiddelde losgeldbetaling op $ 211.529.

En om zichzelf te beschermen investeren natuurlijk steeds meer organisaties – vaak aanzienlijk – in cyberverzekeringen, vooral omdat cybersecurity-inbreuken, hacking en ransomware-aanvallen vaak niet zijn opgenomen in de traditionele polissen.

Elektronische verzekeraars verhogen op hun beurt de premies en worden selectiever in welke bedrijven ze willen verzekeren.

“De markt voor elektronische verzekeringen verandert”, zegt John Siegler, medeoprichter en productmanager bij het softwarebedrijf Governance, Risk and Compliance. Logische poort. “Online verzekeringsmaatschappijen verdienen niet zoveel geld als vroeger omdat ze meer claims betalen vanwege een toename van cyberaanvallen.”

Zelfs als ze wel dekking bieden, splitsen verzekeringsmaatschappijen deze op op basis van de risicosituatie van het bedrijf.

“Elektronische verzekeringen vergoeden u niet voor gerelateerde ongevallen als u de software niet bijwerkt of een verouderde patch gebruikt”, zei Siegler.

premie verzekering

Elektronische verzekeringen lijken sterk op andere verzekeringen. Het is een manier om risico’s en verliezen van specifieke gebeurtenissen te beheren, in dit geval cyberdreigingen.

Hoewel ze verschillen per verzekeraar en het overgedragen bedrag, kunnen polissen de kosten dekken die verband houden met zakelijke e-mailhacks, ransomware-aanvallen, phishing-aanvallen en andere social engineering-aanvallen, legt Jennifer Mulvihill uit, hoofd bedrijfsontwikkeling voor cyberverzekeringen en juridische zaken bij de cyberdefensie. platform bedrijf. . Blauwe Voyant. Ze zei dat de polissen ook dekking kunnen bieden aan de eerste en derde partij.

Ten slotte wordt verwacht dat de elektronische verzekeringsmarkt in 2026 $ 25 miljard zal bereiken, volgens een elektronisch jaarlijks rapport van Howden .groep. De National Association of Insurance Commissioners ook Rapporten Premies voor elektronische verzekeringen geïnd door de grootste Amerikaanse verzekeringsmaatschappijen in 2021 stegen met 92% op jaarlijkse basis.

Norman Krumberg, directeur van het cyberbeveiligingsbedrijf, voorspelt dat deze trend zich alleen maar zal voortzetten NetSPI. De huidige markt van onvoorspelbare bedreigingen maakt het voor verzekeraars moeilijk om het IT-beheer en de volwassenheid van het beveiligingstoezicht van een organisatie nauwkeurig te beoordelen. Hij voorspelt dat het steeds moeilijker zal worden om claims te ontvangen, vooral als er een storing is in de controles.

Bovendien hebben online makelaars en verzekeringsmaatschappijen het acceptatieproces en de acceptatievragen verder gecompliceerd, zei hij. Voorheen vertrouwden verzekeringsmaatschappijen op vragenlijsten en zelfcertificeringen en misten ze het inzicht van binnenuit om de verdiensten van aanbiedingen te beoordelen.

Krumberg zei dat verzekeraars experts op het gebied van beveiligingscontroles gebruiken om reacties te beoordelen, proactief het aanvalsoppervlak van de organisatie te beoordelen en hun volledige reeks controles te begrijpen.

Siegler wees op onderzoek van S&P Global Market Intelligence dat dit gemiddelde aan het licht bracht Elektronische verzekeringsverliesratio Het was ongeveer 73% in 2021, een stijging van 25% ten opzichte van 2019. Elektronische verzekeraars hadden slechts 27 cent van elke dollar die klanten aan premies betaalden – vergeleken met 2019 toen ze 52 cent op de dollar verdienden.

Moderne bedrijven: technologiebedrijven

Dus, waarom is e-verzekering zo belangrijk?

“Tot op zekere hoogte is elk modern bedrijf nu een technologiebedrijf”, zei Siegler. “Zelfs als je jezelf niet als een technologiebedrijf beschouwt, sla je gevoelige klantinformatie op, soms persoonlijk identificeerbare informatie (PII).”

Hij zei dat het zo simpel zou kunnen zijn als het opslaan van dergelijke informatie in een e-mail. Het verzenden van een e-mail naar de verkeerde ontvanger kan een datalek vormen. Uw organisatie kan eenvoudig worden doorverwezen naar de rechter. Evenzo vereist het opslaan van persoonlijk identificeerbare informatie naleving van een groot aantal federale en staatsgegevenswetten.

“Vanuit dit perspectief kan bijna elke moderne organisatie e-insurance gebruiken”, zegt Siegler.

Mulvihill benadrukte echter dat cyberverzekeringen meer zijn dan alleen een reactieve polis die schade vergoedt.

“Elektronische verzekeringen bieden ondersteuning zelfs voordat er een claim is”, zei ze, en legde uit dat dit kan bestaan ​​uit pre-claim cyberassessments en toegang tot experts tegen gereduceerde tarieven.

Online verzekeringsexpert

Net als bij alle andere soorten verzekeringen, moeten organisaties weten waar ze op moeten letten – en ook wat er van hen wordt verwacht.

Tot nu toe, zei Mulvihill, moeten organisaties makelaars raadplegen over dekking die past bij hun specifieke risico. Dit kan afhankelijk zijn van de bedrijfstak en/of diensten of producten. Ze moeten ook de risicobereidheid van de vervoerder begrijpen, welke aanvullende pre-claimvoordelen (zoals opleiding) ze kunnen bieden, typische responstijden voor een claim en of er co-assurantie of sublimietvereisten zijn.

Begrijp ook de acceptatievereisten, adviseerde Krumberg, en hoe deze de dekking tijdens de looptijd van de polis kunnen beïnvloeden. Ook van groot belang: hoe verzekeraars een cybergebeurtenis of incident identificeren, aangezien er overlap kan zijn met andere polissen.

Siegler was het daarmee eens en wees op de veelvoorkomende uitzonderingen op cyberverzekeringen: ongevallen door externe leveranciers; verloren of gestolen mobiele apparaten; gevolgen van oorlog, terrorisme of invasie; Het nalaten van de verzekerde om overeengekomen beveiligingsprotocollen te handhaven. Hij zei dat hij ook meer verzekeringsmaatschappijen ziet die organisaties vragen om minimumbedragen van elektronische naar kwaliteitsverzekeringen voor andere soorten dekking te brengen.

Siegler zei dat bedrijfsleiders ook proberen te bepalen hoeveel dekking hun bedrijf nodig heeft en of één polis of een reeks secundaire polissen voldoende is. Het inschatten van de omvang van het risico kan hierbij helpen, omdat het risico overbrengt via de gemeenschappelijke taal van geldwaarde. Dit kan een basislijn bieden, samen met een bestaand financieel model, om een ​​doellimiet in te stellen.

Siegler zei dat risicoschatting organisaties ook kan helpen bij het beoordelen en kosten van een datalek om te bepalen of de huidige dekking de kosten van potentiële risicoscenario’s kan absorberen. En wanneer aanvullende dekking nodig is, stelt deze methode CIO’s en andere technologieleiders in staat om financiële termen te gebruiken – in plaats van technische – zodat de C-suite de risico’s beter begrijpt.

“Door risico’s vanuit een zakelijk perspectief te rapporteren, kunnen IT-leiders kostenbesparingen aantonen voor het beheren van kwetsbaarheden en het verbeteren van de beveiliging versus de kosten van verzekeringen of het direct absorberen van het risico”, aldus Siegler.

Verbeter de veiligheidssituatie

Er zijn veel stappen die een organisatie kan nemen om zichzelf aantrekkelijker te maken voor verzekeringsmaatschappijen. “Hoe beter uw beveiliging, hoe beter uw prijzen”, zei Siegler in het bijzonder.

Een volwassen formeel beveiligingsprogramma helpt organisaties om dekking te verzekeren en kan ook de algemene premies en de daaruit voortvloeiende premieverhogingen verlagen.

“In dit nieuwe tijdperk moeten organisaties voorbereid zijn met een gedocumenteerd beveiligingsprogramma”, zei Krumberg, eraan toevoegend dat organisaties er ook voor moeten zorgen dat hun antwoorden op acceptatievereisten aanwezig zijn en werken.

Om de kans te verkleinen dat ze niet in aanmerking komen, kunnen organisaties overwegen een cyberverzekeringsmakelaar te raadplegen om hun cyberbeveiligingsprogramma te verbeteren, stelde Siegler voor. Deze experts zullen deskundig inzicht hebben in gunstige veranderingen die kunnen worden aangebracht op basis van de huidige risicoprofielen, branche en bedrijfsgrootte.

Siegler zei dat voorbereiding de beste kans is voor de organisatie om sneller te verzekeren, vooral omdat het due diligence-proces voor verzekeraars tot zes maanden kan duren, zelfs als het gaat om verlenging. Met de toenemende vraag naar e-insurance is het proces uitgebreid van enquêtes van 20-30 vragen naar maar liefst 200 vragen, en ook verzekeringsmaatschappijen vragen steeds vaker om interviews.

Maar Siegler waarschuwde: “Vergeet niet dat cyberverzekeringen geen vervanging zijn voor best practices op het gebied van beveiliging. Internetverzekeringen kunnen bedrijven een vals gevoel van veiligheid geven.”

Hij wees erop dat de waarheid is dat een elektronische verzekeringsmaatschappij een ongeval niet kan dekken als het bedrijf nalatig handelt.

“De beste lens voor elke organisatie is om te vragen: ‘Doen we de juiste dingen om zowel de gegevens van onze klanten als die van ons te beveiligen?’ “Als u dat niet bent, zorg dan dat uw gegevenspraktijken goed zijn”, zei Siegler.

Krachtig beheer, controles

Organisaties zullen er goed aan doen – of ze nu een verzekering zoeken of niet – om hun identiteits- en toegangsbeheer (IAM) te versterken, adviseerde Siegler. Hoewel dit geen nieuw proces is, hebben de beveiligingssystemen van de volgende generatie de verwachtingen gewekt, zei hij.

In plaats van te vertrouwen op gebruikersnamen en wachtwoorden, gebruikt de robuustere IAM multi-factor authenticatie (MFA), apparaatgeschiedenis, geolocatie en gebruikersgedrag om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot bronnen. Siegler zei dat de meeste verzekeringsmaatschappijen MFA en het gebruik van VPN’s nodig hebben.

De zero-trust-architectuur gaat verder dan deze controles en vereist dat gebruikers hun geloofwaardigheid bewijzen telkens wanneer ze toegang krijgen tot een systeem of bron. Hoewel het geen vereiste is, kan wantrouwen IAM ook verbeteren.

Siegler moedigde organisaties aan om effectief vermogensbeheer te demonstreren. Providers willen de proactieve ontdekking van nieuwe activa en kwetsbaarheden zien door middel van apparaatdetectie, doorlopende beleidshandhaving en kwetsbaarheidsbeheer.

“Verzekeringsmaatschappijen willen weten dat als een cyberaanval succesvol is, uw bedrijf snel de omvang van de impact kan bepalen en het incidentbeheerproces kan starten”, aldus Siegler.

Bovendien moeten organisaties de gegevens- en netwerkversleuteling verbeteren, aangezien verzekeraars willen weten hoe veilig gegevens blijven terwijl deze stadia binnen de infrastructuur doorlopen – gegevens in transit; gegevens die intern of extern worden opgeslagen en opgeslagen; De gegevens zijn in gebruik.

Een andere belangrijke preventieve maatregel, zei Siegler, is het verbeteren van de plannen voor reactie op incidenten, aangezien elektronische verzekeraars daar problemen zullen zoeken. Het ideale plan zorgt voor een consistent proces van eerste reactie tot herstel en omvat verschillende stappen, waaronder:

• identificatieBeveiligingspersoneel beoordeelt het beleid, identificeert getroffen activa en prioriteert kritieke getroffen activa voordat ze actie ondernemen.
• insluiting (zowel korte als lange termijn): Het detecteren van afwijkingen van de normale bedrijfsvoering en het bepalen of deze afwijkingen het gevolg zijn van een overtreding.
• uitroeiing: Identificatie en correctie van de grondoorzaken van de inbreuk.

• Herstel: Start de getroffen systemen online opnieuw op door een grondige test van de getroffen activa uit te voeren.
• verbeteringen: na een inbreuk (Siegler suggereert binnen twee weken), manieren vinden om de beveiliging te verbeteren om soortgelijke incidenten in de toekomst te voorkomen.

Siegler zei eenvoudig: “Aanbieders willen geen organisatie verzekeren die waarschijnlijk een negatief effect heeft op de verliesratio’s.” Dus “verwacht van potentiële verzekeraars dat ze uw risicopositie volledig beoordelen en onderzoeken.”