Ook onderwijsinstellingen zijn kwetsbaar voor gevallen van cybercrime, zoals virussen, hacks, ransomware, phishing en datalekken. De gevolgen kunnen groot zijn. Het onderwijs staat bijvoorbeeld tijdelijk stil, je verliest als schoolbestuur geld en/of data en loopt reputatieschade op. Bij een datalek of cyberaanval heeft de school naast mogelijke aansprakelijkheidsstellingen en imagoschade ook te maken met het (tijdelijk) niet beschikbaar hebben van data en systemen. Hierdoor kunnen bijvoorbeeld bepaalde lesprogramma’s niet doorgaan of kan de voortgang van leerlingen niet worden vastgelegd en gemonitord. Om de kosten te dekken die hieruit kunnen voortvloeien, kan een cybersecurityverzekering een verstandige keuze zijn.
Wat is een cybersecurityverzekering?
Een cyberverzekering vergoedt kosten die je maakt als je slachtoffer bent van een cyberincident. De meeste cyberverzekeringen dekken meer dan alleen bedrijfsschade. Denk aan aansprakelijkheid voor schade aan derden en kosten van juridische hulp die misschien nodig is.
Bij een onderwijsinstelling kan een incident grote impact hebben, zoals bijvoorbeeld het verlies van vertrouwen in het onderwijs, de waarde van behaalde diploma’s of de reputatie van een onderwijsinstelling. Cybercriminelen zijn steeds meer geprofessionaliseerd en zoeken op grote schaal naar bedrijven en instellingen met kwetsbaarheden. Het risicoprofiel van een onderwijsinstelling heeft steeds meer te maken met de volwassenheid van preventieve maatregelen die de onderwijsinstelling tegen cyberincidenten heeft genomen.
Hoe ziet zo’n cybersecurityverzekering eruit?
Een cybersecurityverzekering is meestal opgebouwd uit drie onderdelen:
- Voorkomen: met de verzekeraar wordt gekeken naar de risico’s die aanwezig zijn. Indien nodig moeten maatregelen worden getroffen. Denk aan het installeren van verbeterde beveiligingssoftware, die bescherming geeft tegen virussen en ransomware.
- Herstellen: als je slachtoffer bent van cybercrime, herstellen experts de schade zo snel mogelijk. Ze zorgen er bijvoorbeeld voor dat alle systemen weer werken, of ze verminderen reputatieschade.
- Vergoeden van schade: van bijvoorbeeld omzetverlies doordat een virus de computer of server onbruikbaar maakt. Of doordat het onderwijs onbereikbaar is na een ransomware aanval De vergoeding geldt tot het verzekerde maximumbedrag.
Sommige verzekeraars leveren ook actieve diensten om de kans op een incident te verminderen zoals:
- een 24/7 monitoring op ongewone gedragingen;
- monitoring op kwetsbaarheden in het netwerk, zoals ongepatchte omgevingen.
Wat valt binnen de dekking van een cyberverzekering?
Onder een cybersecurityverzekering vallen diverse vergoedingen die variëren per verzekeraar. Vaak is de mate van dekking bespreekbaar inclusief de hoogte van de vergoeding. Het gaat om onder andere de volgende vergoedingen:
- het inhuren van managementdiensten voor de coördinatie bij een incident;
- het inhuren van een forensisch ict-bedrijf voor het vaststellen van de oorzaak en omvang van een incident;
- het inhuren van een pr-bureau, advocatenkantoor of crisismanagementbureau om (eventuele) reputatieschade in te perken;
- kosten van een ransomware aanval;
- kosten van herstel;
- kosten vervanging hardware.
Bedenk wel dat dekkingen waarbij fraude zonder inbreuk op systemen de oorzaak is, in het algemeen niet of zeer gelimiteerd onderdeel uitmaakt van de dekking van een cyberverzekering. Dit is bijvoorbeeld een datalek door een medewerker of een leerling.
Wat is nodig om een cyberverzekering af te sluiten?
Verzekeraars willen hun risico beperkt houden. Alleen onderwijsinstellingen die een aanvaardbaar niveau van beveiliging hebben, komen in aanmerking voor een verzekering. Daarom houden de meeste verzekeraars een cyberweerbaarheidsscan om de mate van volwassenheid van informatiebeveiliging vast te stellen.
Een cyberweerbaarheidsscan laat zien of je aan de voorwaarden voldoet. De scan toont de digitale kwetsbaarheid van de organisatie. Zijn de risico’s goed afgedekt? Zijn er bijvoorbeeld veilige antivirus-, antispy- en firewallsoftware die automatisch updaten? Een betrouwbaar computersysteem, een wachtwoordenbeleid en het maken van regelmatige back-ups horen bij de voorwaarden. De verzekeraar brengt samen de risico’s in kaart. En geeft aanbevelingen waarmee de digitale veiligheid verbetert.
Deze dienst maakt deel uit van ons ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.
Het Normenkader Informatiebeveiliging en Privacy voor Funderend Ondewijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken.
In onderstaand overzicht zie je bij welke norm de cybersecurityverzekering past.
Een aantal voorbeelden van veel voorkomende vereisten die een verzekeraar stelt bij het afsluiten van een cyberverzekering zijn:
- het hebben van een Multi-Factor Authenticatie (MFA) voor alle externe toegang en web-based accounts (norm 11.2);
- regelmatig awareness trainingen organiseren voor medewerkers (norm 4.6);
- aanwezigheid van een incident responsplan (norm 14.1);
- een back-up en recovery beleid inclusief testen of back-up bruikbaar is (13.2 en 14.3);
- een actief patch managementbeleid waarbij veiligheidspatches op korte termijn uitgerold worden (norm 11.6);
- de aanwezigheid van een actief risicomanagement proces (norm 3);
- het aantoonbaar treffen van technische beveiligingsmaatregelen (norm 11 & 13).
Samenvatting
Een cyberverzekering kun je niet zomaar afsluiten. Net als bij een brandverzekering moet je aan een aantal voorwaarden voldoen. Zorg dus eerst dat de basisvoorziening van je informatiebeveiliging op orde is. Het normenkader Informatiebeveiliging & Privacy dat speciaal voor het po en vo is opgesteld, toetst op deze minimale behoefte. Als je hieraan voldoet, maak je de kans op een cyberincident kleiner. Maar dit gevaar is nooit helemaal afwezig. Om mogelijke vervolgschade van een cyberincident te mitigeren, kun je kiezen voor het afsluiten van een cybersecurityverzekering om in ieder geval de financiële schade dekt. Een cybersecurityverzekering afsluiten lukt in de regel alleen als aan de minimale eisen – zoals beschreven in het lijstje hierboven – voldaan is.
Bedenk dat voorkomen altijd beter is dan genezen!