Schadeverzekeraars bevinden zich in een van de meest bijzondere posities op het gebied van cyberbeveiliging. Ze houden zich beroepsmatig bezig met het inschatten van risico’s. Ze stellen beveiligingseisen als voorwaarde voor dekking, en ze weten als geen ander wat de kosten van een datalek zijn.

Wat hun eigen cyberbeveiliging betreft, blijven er echter nog steeds ernstige tekortkomingen bestaan.

Dat is de belangrijkste conclusie van Cybersecurity for Insurers: Squaring Safety with Service, een nieuw rapport gepubliceerd door het Insurance Information Institute (Triple-I) in samenwerking met Fenix24. Het onderzoek is gebaseerd op gestructureerde gesprekken met leidinggevenden uit de verzekeringssector, waarbij hun werkwijzen worden getoetst aan de allerbeste praktijken en beveiligingsmaatregelen die zij van hun eigen polishouders verlangen.

Wat kunnen we hieruit concluderen? Verzekeraars hebben aanzienlijke investeringen gedaan in cyberbeveiliging. Maar aanzienlijk is niet hetzelfde als voldoende.

Waar de hiaten zitten

In het rapport werden sterke punten op verschillende gebieden genoemd, maar ook punten die verzekeraars kwetsbaar zouden kunnen maken.

Hersteltests zijn te beperkt. De meeste verzekeraars maken gebruik van onveranderlijke back-ups en melden dat ze voldoen aan de hersteltijddoelstellingen voor hun meest kritieke systemen. Maar die tests worden doorgaans uitgevoerd op één enkel systeem onder ideale omstandigheden, niet op het volledige netwerk of onder de druk van een echt incident. Juist die kloof tussen een gecontroleerde test en een echt ransomware-incident is waar organisaties ten onder gaan.

Zoals Mark Grazman, CEO van Fenix24, het verwoordde: „De meeste organisaties hebben hun herstelplannen getest voor natuurrampen of standaard IT-storingen, maar niet voor ransomware-aanvallen. Inzicht in wat er daadwerkelijk gebeurt in een ransomware-scenario is cruciaal voor het opzetten van echte veerkracht. Het zijn niet alleen back-ups die gevaar lopen. Aanvallers richten zich systematisch op infrastructuur en vernietigen deze, waaronder Active Directory, identiteitssystemen, virtuele machines, hypervisors en zelfs essentiële communicatiemiddelen zoals e-mail. Resilienceplanning vereist inzicht in de overlevingskansen van back-ups, de architectuur voor rehydratie en integriteit, samen met uitgebreide asset intelligence, prioritering van bedrijfskritische applicaties en de bijbehorende afhankelijkheden. Resilience is haalbaar als je weet wat je moet ontwerpen en dat is de kracht van de inzichten van Fenix24.”

De authenticatie vertoont nog steeds zwakke plekken. Alle deelnemende verzekeraars maken gebruik van bedrijfswachtwoordkluizen en hanteren strenge eisen voor de complexiteit van wachtwoorden. Ze eisen allemaal meervoudige authenticatie voor beheerdersaccounts, maar sommige staan nog steeds MFA via sms en e-mail toe. Dit zijn beide methoden die cybercriminelen regelmatig misbruiken. Hoewel de tools aanwezig zijn, is de configuratie niet streng genoeg.

Het tempo van het installeren van patches is te laag. Alle deelnemers voeren penetratietests uit, waaronder social-engineering-scenario’s gericht op helpdeskmedewerkers. Slechts ongeveer de helft installeert maandelijks beveiligingspatches, wat ontoereikend is in een omgeving waarin aanvallers binnen enkele uren of dagen na openbaarmaking misbruik maken van nieuw ontdekte kwetsbaarheden.

Beperkingen op internetgebruik brengen voor- en nadelen met zich mee. De meeste verzekeraars passen DNS-filtering toe en blokkeren peer-to-peer-bestandsuitwisseling en webgebaseerde e-mail. Dit zijn allemaal effectieve maatregelen, maar sommige maken ook gebruik van split tunneling voor VPN, waardoor een deel van het internetverkeer buiten de versleuteling om wordt geleid. Dit verbetert de gebruikerservaring, maar vergroot tegelijkertijd de kans op phishing, malware en onderscheppingsaanvallen.

Voorbereiding boven perfectie

Het rapport onderstreept een punt dat we al jaren benadrukken: er bestaat geen „perfecte“ beveiligingsoplossing. Het streven daarnaar wekt een vals gevoel van veiligheid. Wat veerkrachtige organisaties onderscheidt van kwetsbare, is systematische voorbereiding, beproefde herstelmogelijkheden en de organisatorische toewijding om te blijven verbeteren.

Verzekeraars moeten, net als elk ander bedrijf, een evenwicht vinden tussen beveiliging, gebruiksvriendelijkheid en operationele prestaties. Dat is de realiteit. Maar uit het rapport blijkt duidelijk dat de kloof tussen „we hebben back-ups“ en „we kunnen ons herstellen van een ransomware-aanval“ nog steeds gevaarlijk groot is, zelfs bij bedrijven die dit risico juist voor hun klanten beoordelen.

De markt voor cyberverzekeringen groeit. De dreigingen nemen nog sneller toe.

De markt voor cyberverzekeringen bereikte in 2024 een omzet van 15,3 miljard dollar aan netto geboekte premies, en volgens prognoses zal dit bedrag in 2025 oplopen tot 16,3 miljard dollar. Ransomware blijft een belangrijke oorzaak van verzekerde schade, en bedrijfsonderbreking is verantwoordelijk voor ongeveer de helft van de gemiddelde kosten van 1 miljoen dollar die met deze incidenten gepaard gaan.

Als verzekeraars hun eigen systemen niet snel weer operationeel kunnen krijgen, kunnen ze de polishouders die op hen rekenen niet van dienst zijn.

Herstel is de doorslaggevende factor

De bevindingen in dit rapport bevestigen wat Fenix24 dagelijks in de praktijk ziet. Organisaties investeren in beveiliging. Ze schaffen de tools aan, voeren de tests uit en vinken de lijstjes af. Maar als een aanvaller er toch doorheen komt (en dat zal gebeuren), is de vraag: kun je je daarvan herstellen?

Download het volledige rapport: Cyberbeveiliging voor verzekeraars: veiligheid en service in balans brengen om te zien hoe de sector ervoor staat, waar de hiaten zitten en wat er nodig is om deze te dichten.