Cyberverzekering: Wat Verzekeraars Eisen en Hoe een Pentest Helpt

TL;DR

Cyberverzekeraars zijn verschoven van brede vragen over beveiliging naar het vereisen van specifiek, gedocumenteerd bewijs van controles. Organisaties zonder multi-factor authenticatie, endpoint beveiliging, geteste incident response plannen en gedocumenteerd kwetsbaarheidsbeheer krijgen hogere premies, dekkingsuitsluitingen of worden ronduit geweigerd. Een penetratietest maakt steeds meer deel uit van wat verzekeraars beoordelen. Deze gids legt uit wat verzekeraars werkelijk zoeken, waar de meeste organisaties tekortschieten en hoe een gestructureerd beveiligingstestprogramma u positioneert voor betere dekking tegen lagere kosten.

Waarom cyberverzekeringsvereisten zijn aangescherpt

De cyberverzekering markt verstijfde aanzienlijk na een reeks grote ransomware-uitbetalingen en supply chain-incidenten. Verzekeraars ontdekten dat veel organisaties dekking hadden gekocht terwijl ze aanzienlijke, niet-gemelde beveiligingszwakheden hadden. Premiestijgingen, dekkingsbeperkingen en strengere acceptatie volgden.

Het resultaat is dat aanvragen voor cyberverzekeringen nu lijken op beveiligingsaudits. Acceptanten beoordelen specifieke controle niveaus, verifiëren claims waar mogelijk en prijzen dekking op basis van de werkelijke beveiligingshouding die ze waarnemen in plaats van de houding die organisaties beweren te hebben.

Wat verzekeraars werkelijk beoordelen

Multi-factor authenticatie

MFA op alle externe toegang en alle bevoorrechte accounts is nu een basisvereiste voor de meeste verzekeraars. Organisaties zonder MFA op remote desktop, VPN en administratieve accounts worden als hoog risico beschouwd ongeacht andere aanwezige controles. Sommige verzekeraars bieden geen dekking aan organisaties die MFA op e-mail en cloudservices niet kunnen bevestigen.

Endpoint detectie en respons

Traditioneel antivirussoftware is in de ogen van de meeste acceptanten niet langer voldoende. Endpoint detectie en respons tools die gedragsanalyse, threat hunting-vermogen en incidentonderzoeksondersteuning bieden, worden nu verwacht. Dekking voor ransomware-gebeurtenissen wordt vaak uitgesloten of beperkt voor organisaties die alleen legacy endpointbeveiliging gebruiken.

Back-up en herstel

Verzekeraars beoordelen of back-ups onveranderlijk zijn, of ze offline of in een geïsoleerde omgeving worden opgeslagen en of ze zijn getest. Organisaties waarvan de back-ups toegankelijk zijn vanuit het productienetwerk en dus kwetsbaar voor versleuteling bij een ransomware-gebeurtenis vertegenwoordigen hogere herstelkosten en hoger claimrisico.

Incident response plan

Een ongetest, generiek incident response plan heeft weinig gewicht bij ervaren acceptanten. Verzekeraars zoeken bewijs dat het plan is geoefend, dat rollen en contacten actueel zijn en dat de organisatie weet hoe ze haar regelgevende meldingsverplichtingen onder NIS2 of DORA moet nakomen. Een tabletop-oefening uitgevoerd in de afgelopen twaalf maanden is het meest geloofwaardige bewijs.

Kwetsbaarheidsbeheer en penetratietesten

Verzekeraars onderscheiden steeds vaker tussen organisaties die een gedocumenteerd kwetsbaarheidsbeheersproces hebben, die regelmatig penetratietesten uitvoeren en die geen van beide doen. Een recent penetratietestrapport dat aantoont dat kwetsbaarheden zijn geïdentificeerd en verholpen, demonstreert actief risicobeheer. Organisaties die geen enkel bewijs van beveiligingstesting kunnen overleggen, worden beoordeeld als drager van onbekend en onbeheerd risico.

Privileged access management

Het beheer van bevoorrechte accounts, serviceaccounts en administratieve referenties is een significante acceptatiefactor. Organisaties met slecht gecontroleerde bevoorrechte toegang betalen hogere premies omdat het compromitteren van referenties en laterale beweging het meest voorkomende aanvalspad zijn bij gedekte incidenten.

Het openbaarmakingsprobleem

Cyberverzekeringpolissen bevatten garantieclausules die nauwkeurige openbaarmaking van beveiligingscontroles vereisen op het moment van aanvraag. Dit creëert een significant aansprakelijkheidsrisico voor organisaties die beweren controles te hebben die ze feitelijk niet hebben, of die bekende kwetsbaarheden niet melden.

Wanneer een claim wordt ingediend en een verzekeraar onderzoekt, zullen ze beoordelen of de op aanvraagtijdstip gemelde controles daadwerkelijk aanwezig waren. Als ze een wezenlijke discrepantie vinden, kunnen ze de polis nietig verklaren of de claim weigeren. Betwiste claims op deze basis zijn aanzienlijk toegenomen omdat verzekeraars hebben geïnvesteerd in forensisch onderzoeksvermogen.

Een penetratietest uitgevoerd voor verlenging biedt gedocumenteerd bewijs van uw werkelijke beveiligingshouding op een specifiek tijdstip. Als kwetsbaarheden werden gevonden en verholpen, demonstreert het testrapport due diligence. Als kwetsbaarheden werden gevonden en in het herstelproces zijn, is nauwkeurige openbaarmaking hiervan veel veiliger dan niet-openbaarmaking.

Hoe een penetratietest uw verzekeringspositie verbetert

Bewijs van actief risicobeheer. Een pentestrapport toont aan dat uw organisatie kwetsbaarheden identificeert en aanpakt in plaats van aan te nemen dat beveiligingscontroles werken. Dit verlaagt het waargenomen risicoprofiel bij acceptatie.

Gap-identificatie voor verlenging. Testen voor uw verlengingsdatum stelt u in staat bevindingen te verhelpen voor aanvraag, waardoor de premie-impact van het openbaar maken van niet-aangepakte zwakheden wordt vermeden.

Nauwkeurige openbaarmaking. Een recent testrapport biedt een verdedigbare basis voor het beantwoorden van acceptatievragen over uw beveiligingscontroles. Dit vermindert het risico van post-claim geschillen over de nauwkeurigheid van openbaarmaking.

Lagere premies over tijd. Organisaties die een volwassen beveiligingsprogramma aantonen door terugkerende testing en gedocumenteerde remediatie zien doorgaans gunstigere verlengingsvoorwaarden naarmate hun staat van dienst zich ontwikkelt.

Cyberverzekering en regelgevende naleving

NIS2 vereist dat essentiële en belangrijke entiteiten risicobeheermaatregelen implementeren die aanzienlijk overlappen met wat cyberverzekeraars vereisen: kwetsbaarheidsbeheer, incidentafhandeling, leveranciersbeveiliging en beveiligingstesten. Een organisatie die werkt aan NIS2-naleving, werkt tegelijkertijd aan een sterkere verzekeringspositie.

De praktische implicatie is dat de kosten van een penetratietest, een incident response plan review en het verhelpen van geïdentificeerde kwetsbaarheden moeten worden beoordeeld tegen zowel de verlaging van verzekeringspremies als de verlaging van regelgevend risico. Voor de meeste organisaties verdient de investering zichzelf terug in verlaagde premies binnen één tot twee verlengingscycli.

FAQ

Wat eisen cyberverzekeraars?

Cyberverzekeraars vereisen doorgaans multi-factor authenticatie op alle externe toegang en bevoorrechte accounts, endpoint detectie en respons, netwerksegmentatie, gedocumenteerde back-up en herstelprocedures, een getest incident response plan en bewijs dat beveiligingscontroles worden gehandhaafd. Premium vereisten omvatten privileged access management, e-mailfiltering, patchbeheer en steeds vaker gedocumenteerde penetratietestresultaten.

Vereist een cyberverzekering een penetratietest?

Een toenemend aantal verzekeraars neemt penetratietesten op in hun vragenlijsten of verzekeringsacceptatievereisten, met name voor grotere organisaties en die in hoog-risicosectoren. Zelfs waar het niet expliciet vereist is, versterkt een recent penetratietestrapport dat aantoont dat kwetsbaarheden zijn geïdentificeerd en verholpen uw acceptatiepositie en kan premies verlagen. Organisaties zonder enige gedocumenteerde beveiligingstesting worden steeds vaker gezien als hoger risico.

Wat gebeurt er als u een claim indient en een beveiligingsgat niet heeft gemeld?

Cyberverzekeringpolissen bevatten garantieclausules die nauwkeurige openbaarmaking van beveiligingscontroles vereisen op het moment van aanvraag. Als een verzekeraar een claim onderzoekt en constateert dat er een wezenlijk beveiligingsgat bestond dat niet werd gemeld, kan de verzekeraar de polis nietig verklaren of de claim weigeren. Dit is een groeiende bron van betwiste claims. Het bijhouden van gedocumenteerd bewijs van uw beveiligingscontroles, inclusief penetratietestbevindingen en herstelacties, is de sterkste bescherming tegen dit resultaat.

Hoe beïnvloedt een penetratietest cyberverzekeringspremies?

Een penetratietest beïnvloedt premies op twee manieren. Ten eerste genereert het bewijs dat uw organisatie actief kwetsbaarheden identificeert en aanpakt, wat het waargenomen risicoprofiel verlaagt. Ten tweede stelt het u in staat gaten te identificeren en te verhelpen voor verlenging, waardoor de premieverhoging wordt vermeden die gepaard gaat met het openbaar maken van niet-aangepakte zwakheden. Organisaties die een volwassen, gedocumenteerd beveiligingstestprogramma kunnen aantonen, ontvangen doorgaans gunstigere acceptatievoorwaarden.

Wat is de relatie tussen cyberverzekering en NIS2?

NIS2 vereist dat essentiële en belangrijke entiteiten risicobeheermaatregelen implementeren inclusief penetratietesten en beveiligingsbeoordelingen. Organisaties die voldoen aan NIS2-vereisten, zullen doorgaans ook een groot deel van de beveiligingscontroles voldoen die cyberverzekeraars vereisen. De beveiligingshouding die nodig is voor NIS2-naleving en de beveiligingshouding die nodig is voor gunstige cyberverzekering overlappen aanzienlijk.

Gerelateerde diensten en bronnen

Sectricity biedt penetratietesten die het gedocumenteerde bewijs van beveiligingstesting genereert dat verzekeraars steeds vaker vereisen. Onze compliance-mapped security testing dekt zowel NIS2-vereisten als de controleniveaus die acceptanten beoordelen. Voor gerelateerde begeleiding, zie onze gidsen over incident response planning en penetratietesten in de EU. Start met een gratis security scan.