Verzekeringsambtenaren vragen zich af of gemeenten zich moet verzekeren tegen cybercrime. De premies zijn hoog en de voorwaarden niet gunstig. Volgens de IBD is preventie de beste verzekering. Daarnaast moeten de CISO, FG en PO goed samenwerken en moeten medewerkers zich bewust zijn van de risico's.
Dit werd besproken tijdens een vakbijeenkomst van de Expertgroep Verzekeringsmanagement Overheden (EVO). Gastheer van de bijeenkomst was de gemeente Amersfoort. Dave Hoksbergen, specialist aansprakelijkheid en verzekeringen, vertelt dat zijn gemeente vorig jaar de markt voor een cyberverzekering verkende. Slechts één van de gevraagde verzekeraars bracht een offerte uit. De polisvoorwaarden waren ongunstig. ‘Ransomware is het belangrijkste risico, maar dit was slechts voor 50% verzekerd, naast een aanzienlijk eigen risico. ‘Veel van wat je als gemeente niet nodig hebt is verzekerd en niet uit te sluiten. Wat je wel nodig hebt is zeer beperkt verzekerd,’ zegt Hoksbergen.
De grootste dreigingen
Strategisch adviseur Remco Groet van de IBD (Informatiebeveiligingsdienst) vertelt dat de IBD gemeenten ondersteunt bij cyberbeveiliging en incidenten, en de kennis van gemeenten deelt. In het algemeen is preventie de beste verzekering dat er niets misgaat. De IBD maakt elke 2 jaar een dreigingsbeeld. De grootste dreigingen zijn:
- Meer ransomware, destructievere gevolgen
- Steeds meer en ernstiger kwetsbaarheden in software
- Geen zicht op gevaren in de ketens (gemeenschappelijke regelingen, samenwerkingspartners)
Aanbevelingen
De IBD beveelt aan om een vast percentage van het gemeentelijk budget te reserveren voor informatiebeveiliging. Daarnaast moeten de basismaatregelen tegen ransomware op orde zijn. Naast de technische factoren moet het gehele management zich verantwoordelijk voelen voor informatieveiligheid. Cruciaal is ook de samenwerking tussen de Chief Information Security Officer (CISO), functionaris gegevensbescherming (FG) en de Privacy Officer (PO). Een andere belangrijke bouwsteen van informatiebeveiliging en privacy, is het bewustzijn van medewerkers.
Spelen met vuur
Is het verstandig een cyberverzekering af te sluiten? ‘Zo lang gemeenten onvoldoende preventieve maatregelen nemen, is het spelen met vuur. De verzekeringsmarkt biedt een lege doos met 4 kwartjes erin. Dat is niet wat je nodig hebt,’ zegt Groet. Voor de risicomanagers en verzekeringsambtenaren is het zaak goed contact te houden over informatieveiligheid met de CISO, de FG, de PO en waar nodig met de IBD.