Hotels zullen over het algemeen verzekerd zijn tegen brand, diefstal of vandalisme, maar een cyberverzekering is iets waar minder snel aan gedacht wordt. Als er iets misgaat kan de schade echter groot zijn en volgens Sjaak Schouteren, Cyber Practice Leader bij verzekeringsmakelaar Marsh, doen hoteliers er goed aan ook hier een verzekering voor af te sluiten.
Over het algemeen moeten hotels aan een aantal voorwaarden voldoen voordat zij in aanmerking komen voor een cyberverzekering. Verzekeraars kijken in eerste instantie naar zaken als de bedrijfsvoering, de gevoeligheid van de data waarmee gewerkt wordt, geografische spreiding van ketens en de omzet. Het personeel moet verder een awareness-training hebben gehad. Er moet ook een incident response-plan liggen voor het geval een inbraak of aanval op het IT-systeem plaatsvindt en hotels moeten aan multifactor authentication doen. Hierbij kan er bijvoorbeeld alleen worden ingelogd als iemand het wachtwoord weet, plus een extra factor als een toegezonden code of een vingerafdruk: “Dat is een must op dit moment. Dit moet je hebben als je überhaupt in aanmerking wilt komen voor een verzekering. Qua verdere eisen van verzekeraars ligt het een beetje aan de grootte van de organisatie. Simpel gezegd: hoe groter het risico, des te hoger de eisen. Van een grotere organisatie mag je meer verwachten, die hebben vaak een eigen IT-afdeling. Als daar iets gebeurt, is het risico natuurlijk ook een stuk groter”, legt Schouteren uit.
Dit artikel is onderdeel van de White paper: Dossier Cybersecurity.
Dekking
Problemen met het IT-systeem waardoor een beroep gedaan moet worden op de cyberverzekering, kunnen verschillende oorzaken hebben. Doorgaans is er sprake van menselijke fouten, systeemfalen of, het meest voorkomend, criminele aanvallen. Als een hotel het slachtoffer wordt van een aanval van buitenaf, worden veel van de bijkomende kosten gedekt door de cyberverzekering: “Wat als eerste wordt gecovered is instant response”, gaat Schouteren verder. “Noem het maar betaling in natura van expertise. Dan hebben we het bijvoorbeeld over ICT-forensische partijen die helpen met juridische ondersteuning na een aanval. Daarnaast heb je dekking voor aansprakelijkheid, bijvoorbeeld privacy-aansprakelijkheid, media-aansprakelijkheid en netwerkaansprakelijkheid. En ook de kosten die je maakt door gederfde brutowinst als gevolg van een incident. Maar ook de kosten die komen kijken bij het weer op orde krijgen van het systeem. Of stel je voor dat je heel veel overuren moet maken als ICT-team of andere partijen omdat je niets meer digitaal kan doen.” De boetes voor het overtreden van AVG-wetgeving en vanuit creditcardproviders voor het op straat komen te liggen van gegevens vallen eveneens onder een cyberverzekering. Dit geldt ook voor ransomware, waarbij een systeem wordt gegijzeld tegen de betaling van losgeld. Dit losgeld en bijkomende kosten worden gedekt.
Fraude
De voorwaarden waaronder een cyberverzekering uitkeert zijn vergelijkbaar met die van een brandverzekering. Bij frauduleus handelen zal een verzekeraar niet uitkeren en ook het niet nakomen van eerder gemaakte afspraken is een reden tot afwijzing. Als een hotel bijvoorbeeld heeft aangegeven aan multifactor authentication te doen, maar vervolgens uit onderzoek blijkt dat dit niet het geval was, wordt niet uitgekeerd. Volgens Schouteren is het daarnaast belangrijk om voor ogen te houden dat niet alle incidenten die te maken hebben met computersystemen onder een cyberverzekering vallen: “Veel organisaties verwarren cybercriminaliteit met fraude. Stel dat ik nu een mail stuur naar een hotel waarin ik net doe alsof ik de CFO ben. Ik zeg bijvoorbeeld tegen iemand van de administratie dat zij twee keer honderdduizend euro moeten overmaken omdat ik een event moet organiseren. Dat noemen wij cyber enabled crime, dat wordt niet gedekt door een cyberverzekering maar door een fraudeverzekering. Voor een cyberverzekering moet er altijd een inbreuk zijn op het IT-systeem.”
Dit artikel is onderdeel van de White paper: Dossier Cybersecurity.
Blijf op de hoogte!
Twee keer per week het actuele en relevante hotelnieuws in je mailbox? Schrijf je hier in voor onze digitale nieuwsbrief en blijf op de hoogte.
