Uit het onderzoek “Cyber Insurance and Cyber Defenses 2024: Lessons from IT and Cybersecurity Leaders” van Sophos blijkt dat 97% van de organisaties met een cyberbeleid investeerde in het verbeteren van hun verdediging met het oog op hun de verzekering. 76% zegt dat ze hierdoor in aanmerking komen voor dekking, 67% kan een betere prijs krijgen en 30% krijgt betere polisvoorwaarden.
Uit het onderzoek blijkt ook dat de herstelkosten van cyberaanvallen hoger zijn dan de verzekeringsdekking. Slechts één procent van degenen die een claim hebben ingediend, gaf aan dat hun verzekeraar 100% van de kosten voor het herstel van het incident vergoedde. De meest voorkomende reden waarom de polis de kosten niet volledig vergoedde, was omdat de totale rekening de polislimiet overschreed. Volgens het onderzoek The State of Ransomware 2024 zijn de herstelkosten na een ransomware-incident het afgelopen jaar met 50% gestegen tot gemiddeld $2,73 miljoen.
“Het Sophos Active Adversary-rapport heeft herhaaldelijk laten zien dat veel van de cyberincidenten waar organisaties mee te maken hebben, het gevolg zijn van het niet implementeren van basis best practices op het gebied van cyberbeveiliging, zoals tijdig patchen. In ons meest recente rapport waren gecompromitteerde credentials bijvoorbeeld de hoofdoorzaak van aanvallen, maar 43% van de organisaties had geen multi-factor authenticatie ingeschakeld”, zegt Chester Wisniewski, directeur, Global Field CTO.
“Dat 76% van de organisaties investeerde in cyberverdediging om in aanmerking te komen voor een cyberverzekering, geeft aan dat verzekeringen organisaties dwingen om een aantal van deze essentiële beveiligingsmaatregelen te implementeren. Het maakt een verschil en het heeft een bredere, positieve impact op organisaties als geheel. Hoewel een cyberverzekering gunstig is voor organisaties, is het slechts één onderdeel van een effectieve strategie om risico’s te beperken. Organisaties moeten nog steeds werken aan het versterken van hun verdediging. Een cyberaanval kan een ingrijpende gevolgen hebben voor een organisatie, zowel op de bedrijfsactiviteiten als op de reputatie. Dat verandert niet als organisaties een cyberverzekering hebben.”
Van de 5.000 IT- en cyberbeveiligingsleiders die werden ondervraagd, zegt 99% van de organisaties die hun verdediging verbeterden met het oog op de verzekering dat hun investeringen ook bredere beveiligingsvoordelen hebben opgeleverd die verder gaan dan verzekeringsdekking, zoals betere bescherming, vrijgekomen IT-resources en minder waarschuwingen.
“Investeringen in cyberverdediging lijken een rimpeleffect te hebben voor wat betreft voordelen. Door besparingen op verzekeringen kunnen organisaties dit geld gebruiken voor andere defensieve maatregelen om hun beveiliging in bredere zin te verbeteren. Naarmate het gebruik van cyberverzekeringen toeneemt, zal de beveiliging van organisaties hopelijk blijven verbeteren. Cyberverzekeringen zullen er niet voor zorgen dat ransomware-aanvallen verdwijnen, maar het zou wel een deel van de oplossing kunnen zijn”, aldus Wisniewski.