Tijd voor een Cybersecurity verzekering.  Minimaliseer de risico's van een cloud hack of lek.

Tijd voor een Cybersecurity verzekering.  Minimaliseer de risico's van een cloud hack of lek.

Er zijn veel misvattingen over de cloud en aansprakelijkheid. Organisaties nemen vaak risico's over wanneer hun gegevens met een derde partij wordt gedeeld.

Het kan een naïeve en kostbare aanname  zijn. Hoewel we meer dan ooit afhankelijk zijn van cloud computing om data op te slaan en te verwerken, hebben maar heel weinig bedrijven een cyberaansprakelijkheidsverzekering. 

Het is een fout die niet alleen geld kost, zegt de expert in cyberaansprakelijkheid senior vice-president bij Woodruff Sawyer, Lauri Floresca. Ze heeft met veel bedrijven samengewerkt en programma's opgezet voor cyberaansprakelijkheid programma's opgezet voor directeuren bij verzekeraars, een aansprakelijkheid die vaak over het hoofd wordt gezien.

"Steeds meer bedrijven gebruiken diensten zoals AWS, Microsoft Azure of Google om gegevens op te slaan en data te verwerken, en velen hebben hun hele netwerk gemigreerd naar een cloud provider. Daarbovenop zitten alle Software as a Service (SaaS) bedrijven die op gehoste basis diensten aanbieden aan bedrijven. Een enkel bedrijf kan tientallen cloud relaties in zijn bedrijfsnetwerk hebben, waardoor het minder duidelijk kan zijn wie verantwoordelijk is als iets misgaat" zegt ze. 

 

Wie is verantwoordelijk voor cloud security?

Het bepalen wie verantwoordelijk is voor de beveiliging van de cloud en dus aansprakelijkheid is, is een uitdaging, omdat de verantwoordelijkheid, wordt gedeeld tussen de cloud provider en de klant. 

De gevolgen van een cyberinbreuk reiken vaak verder dan de gecompromitteerde gegevens en omvatten verlies van financieel en klantvertrouwen, reputatieschade en zelfs juridische stappen tegen de directie, dus het is logisch voor bedrijven om van een aansprakelijkheidsverzekering een prioriteit te maken. 

Floresca zegt dat bedrijven vaak hun beveiliging proberen te verbeteren door over te schakelen naar de cloud. Ze investeren om de  beveiliging een prioriteit te maken en inzicht te krijgen in een groot aantal aanvalsvectoren, waardoor ze sneller op bedreigingen zoals hacks kunnen reageren."  

Vanuit het perspectief van de klant is het goede nieuws volgens haar dat de meeste verzekeraars herkennen en begrijpen wat de cloud is. 

"De meeste cyberverzekeringen definiëren een 'computersysteem' met de netwerken van derden waarmee u een contract hebt gesloten om uw bedrijf te ondersteunen. Dus als er een hacks plaatsvindt, zal het beleid reageren, ongeacht waar de data was opgeslagen toen de inbreuk plaatsvond. Maar er zijn nog steeds vragen over wiens verantwoordelijkheid het is", zegt ze.

"Er zijn veel misvattingen rond de cloud en aansprakelijkheid. Veel bedrijven gaan ervan uit dat ze hun risico hebben overgedragen wanneer hun gegevens in handen zijn van derden. De realiteit is dat bedrijven in de meeste gevallen de service hebben uitbesteed, maar het risico hebben behouden. Er is heel weinig bescherming op het gebied van aansprakelijkheid bij cloud providers."

Ze legt uit dat het essentieel is om te begrijpen dat wanneer een cyber hack plaatsvindt met cloud computing, wettelijk gezien de verplichting berust bij het bedrijf dat de data host, bekend als de eigenaar van de gegevens.  Een opmerkelijke uitzondering zijn sectoren die moeten voldoen aan dezelfde verplichtingen voor het beschermen van gegevens als het bedrijf met de oorspronkelijke client of patiëntrelatie. 

"Maar zelfs in dat geval gaat de aansprakelijkheid niet over - het breidt zich alleen maar uit," voegt ze eraan toe.

"Cloud providers hebben over het algemeen uitstekend werk verricht door hun aansprakelijkheid te beperken, soms zelfs tot 0 Euro. De schade bij een datalek, inbreuk of hack gaat over meer dan alleen directe kosten, denk ook aan  andere aspecten zoals de kosten van het reageren op toezichthouders of het afhandelen van rechtszaken van klanten. "

Het vinden van de juiste cyberverzekering

Op zoek naar een goed ontworpen cyberverzekeringspolis betekent dit dat u gedekt bent voor aansprakelijkheidskosten en uitgaven van derden die verband houden met het omgaan met de hack of datalek. Maar Lauri waarschuwt dat dat soms niet genoeg is. 

"Zelfs als u uw eigen cyberverzekering hebt, is het een goed idee om van de cloud serviceprovider te eisen dat deze ook cyberdekking heeft om een verlies te helpen financieren. Ze zijn misschien meer bereid om u schadeloos te stellen als de kosten niet uit hun zak komen, en hun bijdrage kan helpen uw eigen risico te financieren of extra kosten te betalen als uw cyberverzekeringslimieten onvoldoende zijn. Dit is iets waarover je met je cloud provider kunt en moet onderhandelen voordat je klant wordt, en het is een vrij standaardvraag geworden."  

Meer recent breiden verzekeraars uit om ook dekking voor bedrijfsonderbrekingen op te nemen in het geval van een storing van een cloud provider. Lauri stelt voor dat als dit een risico voor u is, u specifiek moet zoeken naar 'Contingent Business Interruption' onder een cyberbeleid dat u overweegt.

Het standpunt van een cloud provider

Vanuit het perspectief van de cloud provider is een claim over een datalek eigenlijk een claim voor fouten en weglatingen en Lauri zegt dat ze geen directe aansprakelijkheid hebben voor de personen van wie de gegevens zijn gelekt. Er kan echter een claim worden ingediend door een klant voor het niet uitvoeren van een service. 

"Om deze reden," voegt ze eraan toe, "word het over het algemeen gebundeld in één beleid voor technologiebedrijven. Een klant kan bijvoorbeeld zeggen dat het hem miljoenen heeft gekost om zijn klanten op de hoogte te stellen van het datalek, of dat ze zaken hebben verloren als gevolg van het falen van de leverancier.

"Hoewel het contract van een cloud provider standaard de aansprakelijkheid beperkt, is het niet duidelijk of de contracten stand houden voor een rechtbank. Als de cloud provider leverancier echt nalatig is, kan de rechtbank beslissen dat aansprakelijkheidslimieten op contracten niet van toepassing zijn," voegt ze eraan toe.

Hoewel cyberdreigingen blijven groeien en complexer worden, is het een voortdurende uitdaging voor verzekeraars om zich aan te passen en op de hoogte te blijven van beslissingen over risicobeheer voor cloud klanten.

"Het komt erop neer", zegt Floresca, "dat wanneer u gegevens in de cloud opslaat, u er het beste voor kunt zorgen dat de risico's net zo strak worden beheerd als wanneer u deze op uw eigen systemen opslaat."


Comments
Comments are disabled in preview mode.