Social Engineering niet altijd gedekt in uw Cybersecurity verzekering!

15 dec 2017
cybersecurity verzekering, cyberverzekering, social engineering verzekering, social engineering, ceo fraud, ceo fraude

Hacks en cyberaanvallen kunnen rampzalige gevolgen kunnen hebben voor bedrijven. Daarom bieden verzekeraars Cybersecurity verzekeringen aan. Deze verzekeringen bieden hulp en vergoeding wanneer u het slachtoffer wordt van cybercriminaliteit. Maar let op! De standaardpolissen van deze verzekeringen dekken lang niet altijd de schade die veroorzaakt wordt door “human hacking” methodes op basis van social engineering technieken.

In eerdere blogs hebben we al regelmatig de gevaren van CEO-fraude en andere vormen van social engineering benadrukt. De financiële- of imago schade die een dergelijke aanval aanricht is vaak gigantisch, maar wordt dus niet atlijd vergoed.

Wat wordt er wel verzekerd?

De exacte voorwaarden van een Cybersecurity verzekering verschillen natuurlijk per verzekeraar en per polis. Doorgaans zien we dat een Cybersecurity verzekering standaard de volgende punten verzekerd:

  • Systeeminbraak: Verzekerd voor de financiële gevolgen van inbreuk op systemen of data.
  • Privacygevoelige gegevens: U bent verzekerd voor de gevolgen van gestolen privacygevoelige gegevens. Denk hierbij ook aan boetes opgelegd door de toezichthouder, ook in het kader van de GDPR.
  • Hacking: Bij schade die wordt toegebracht door hacking worden de kosten van bijvoorbeeld het herstellen van website en programma’s vergoed.
  • Afpersing: Schade van hackers die uw website of data hebben gegijzeld. Eventueel betaald losgeld wordt ook vergoed.
  • Omzetverlies door cyberaanvallen: Omzetverlies voor bijvoorbeeld een DDoS-aanval of andere aanval op uw computersystemen.

De zaak ‘The Brick Warehouse LP vs. Chubb Insurance Company’

Een voorbeeld van een verzekeraar die niet uit wilde keren na een social engineering aanval komt uit Canada.

De achtergrond

2 werknemers van The Brick, een woonwinkel, werden gecontacteerd door mensen die beweerden van Toshiba te zijn, een leverancier van The Brick. Na wat eerder voorbereidend contact werd door de criminelen geclaimd dat Toshiba van rekeningnummer ging wisselen. Het rekeningnummer werd zonder verificatie veranderd in het systeem, niet wetende dat dit het rekeningnummer van de criminelen was.

Het resultaat was dat ruim $300.000 werd overgemaakt naar de rekening van criminelen. De fraude kwam aan het licht nadat een Toshiba werknemer The Brick belde om te vragen waar de betalingen bleven. The Brick diende een claim in, maar deze werd door de verzekeraar afgewezen waarna de zaak voor de rechter verscheen.

De uitspraak

The Brick wees op hun Cybersecurity verzekering die dekking bood voor “Geldoverdrachtfraude door een derde”. De rechtbank stelde echter de verzekeraar in het gelijk om de geleden financiële schade niet te vergoeden. De reden? De financiële overdrachten waren gedaan door een eigen werknemer als gevolg van frauduleuze e-mails. De werknemer en niet de crimineel gaf de bank instructies om geld over te maken en daarom was het gedaan met goedkeuring van het gedupeerde bedrijf. De overdracht was dus niet gedaan door een derde partij, wat de verzekeraar in het gelijk stelde om het verloren geld niet te vergoeden.

Wat kunnen we hieruit meenemen?

Veel organisaties gaan er van uit dat hun Cybersecurity verzekering social engineering aanvallen dekt. In veel van dit soort aanvallen worden echter eigen werknemers dusdanig gemanipuleerd dat ze willens en wetens geld over te maken naar criminelen. We kunnen dus adviseren om polissen van dergelijke verzekeringen grondig te checken op deze vorm van cyberfraude en indien nodig om een aanvullende clausule te vragen.

Een ander advies is om werknemers te trainen om effectief om te gaan met social engineering aanvallen. Aanvragen om rekeningnummers te wijzigen moeten grondig gecheckt worden door leveranciers te contacten op de algemeen bekende telefoonnummers of e-mailadressen.

Social engineering aanvallen komen steeds vaker voor en blijken erg effectief. Naar verwachting zal het aantal van dit soort aanvallen de komende jaren blijven stijgen. Training en preventie is dus van groot belang, want als een bedrag eenmaal is overgemaakt is het extreem moeilijk om het bedrag terug te krijgen.

NextTech is specialist op het gebied van Security Awareness. Wij richten ons primair op het creëren van bewustwording en gedragsverandering bij uw medewerkers om bovengenoemde incidenten af te kunnen wenden. Dit doen we met een doorlopende benadering vanuit de vakgebieden security, communicatie en onderwijs. Bekijk onze Awareness programma’s en onderzoeken.

Lees meer

Terug naar het overzicht