Door Imran Ahmad
Partner, Miller Thomson LLP
Eerder deze zomer, toen de University of Calgary slachtoffer was van een ransomware-aanval, zei het publiekelijk dat de cyberverzekering die het had gekocht van onschatbare waarde was bij het omgaan met de gevolgen van de aanval. Ongetwijfeld kijken organisaties steeds vaker naar het afsluiten van verzekeringen die hen kunnen helpen bij een cyberincident. Volgens een recente PwC rapport, zal de markt voor cyberverzekeringen tegen 2020 verdrievoudigen tot $ 7,5 miljard.
Moet uw organisatie met die achtergrond een cyberverzekering afsluiten? Zo ja, hoe moet u de businesscase maken en welke stappen moeten worden genomen om ervoor te zorgen dat uw organisatie een beleid krijgt dat het beste aansluit bij haar behoeften?
Voordat organisaties een cyberverzekering afsluiten, moeten ze ten minste de volgende stappen ondernemen om ervoor te zorgen dat ze het juiste product krijgen op basis van hun werkelijke behoeften. Deze beoordeling moet de volgende stappen omvatten:
Evalueer intern beleid en protocollen met betrekking tot menselijke, fysieke en netwerkbeveiliging, privacy en paraatheid voor cyberincidenten.
Identificeer mogelijke blootstelling. Dit kan op verschillende manieren worden gedaan, waaronder bijvoorbeeld het bijhouden van een risicoscorekaart van de bedrijfsdivisies/afdelingen, het uitvoeren van een gap-analyse van het beleid en de protocollen voor respons op cyberincidenten van het bedrijf, en het ontwikkelen van een risicokaart die identificeert en evaluatie van de belangrijkste privacy- en informatiebeveiligingsrisico's.
Overweeg de verschillende scenario's voor cyberincidenten (van "mild" tot "catastrofaal") en benchmark de kosten die aan elk scenario zijn verbonden op basis van branchevergelijkingen.
Bekijk de huidige verzekeringspolissen van het bedrijf om te bepalen wat gedekt is en wat niet.
Op basis van deze beoordeling zal het bedrijf goed gepositioneerd zijn om te bepalen voor welke soorten cyberrisico's het bereid is verzekeringen af te sluiten (bijv. privacy en netwerkbeveiliging, wettelijke aansprakelijkheid, crisisbeheer, netwerkonderbreking, dekking van informatieactiva, afpersing, enz. ). Deze stappen zullen de verzekeraar ook laten zien dat de organisatie stappen heeft ondernomen om haar cyberprofiel te begrijpen en kunnen ook helpen om de premies in verband met cyberpolissen te verlagen.
Als algemene regel geldt dat een cyberverzekering dekking biedt voor eerste partij verlies en aansprakelijkheid van derden. Dekking voor eerste partij verlies zal het volgende bevatten:
Dit dekt de kosten van het onderzoeken van een cyberincident, het informeren van de toezichthouders, getroffen klanten en het verstrekken van kredietbewaking.
Dekking om te reageren op de vraag van een hacker om geld in ruil voor het ontgrendelen of niet beschadigen van de gegevens of het netwerk van een bedrijf. Het meest voorkomende voorbeeld is een ransomware-aanval — die in 2016 aanzienlijk is toegenomen.
Dekking voor experts om gegevens te herstellen of te herstellen die verloren zijn gegaan na een incident.
Vergoeding van gederfde inkomsten of uitgaven die verband houden met het herstellen van activiteiten wanneer uw bedrijf failliet gaat. In termen van aansprakelijkheid van derden , bieden cyberverzekeringen doorgaans de volgende soorten dekkingen:
Dekking om rechtszaken te verdedigen en schadeloos te stellen voor nalatigheid in verband met een cyberincident.
Verdedigen en schadeloosstellen van rechtszaken door partijen die een inbreuk op de privacy claimen vanwege een datalek.
Dekking voor rechtszaken door een partij wegens schade aan haar netwerk als gevolg van een cyberincident.
Dekking voor regelgevende maatregelen die voortvloeien uit een cyberincident.
De omvang van een organisatie, de sector waarin het actief is, het type gegevens dat het bezit, potentiële risicoblootstellingen en andere overwegingen zullen van invloed zijn op de reikwijdte van de dekking van cyberaansprakelijkheid die zij zoeken. Een duidelijk begrip van waar het staat in het cyberrisicospectrum is van cruciaal belang om ervoor te zorgen dat een bedrijf de juiste dekking voor cyberaansprakelijkheid krijgt. Deze oefening zal organisaties informeren bij het onderhandelen over premies en de diensten die in het cyberbeleid moeten worden opgenomen.
Hoewel standaard commerciële algemene aansprakelijkheid (CGL), fouten en omissies (E&O) en directeuren en functionarissen (D&O) sommige van deze dekkingen al kunnen bieden, kunnen er, als een organisatie niet oppast, uitsluitingen van cyberinbreuken zijn in die polissen die kan het soort hulp dat nodig is om een cyberincident effectief aan te pakken, beperken.
Cyberverzekeringen moeten deel uitmaken van de risicobeperkingsstrategie van elke organisatie. Dat gezegd hebbende, niet alle cyberpolissen zijn gelijk en een organisatie moet eerst haar specifieke behoeften en risicoblootstelling beoordelen en vervolgens onderhandelen over de beste cyberverzekeringsdekking.
*Imran Ahmad is een partner bij het advocatenkantoor Miller Thomson LLP in Toronto en is gespecialiseerd op het gebied van cybersecurityrecht. Hij is bereikbaar via iahmad@millerthomson.com.