De nieuwe maatstaf die cyberverzekeringen in 2026 vormgeeft

Cyberbeveiliging
De nieuwe maatstaf die cyberverzekeringen in 2026 vormgeeft

Nu bij één op de drie cyberaanvallen gecompromitteerde werknemersaccounts betrokken zijn, leggen verzekeraars en toezichthouders veel meer nadruk op de identiteitshouding bij het beoordelen van cyberrisico’s.

Voor veel organisaties blijven deze beoordelingen echter grotendeels ondoorzichtig. Elementen als wachtwoordhygiëne, privileged access management en de mate van multi-factor authenticatie (MFA)-dekking worden steeds invloedrijker in de manier waarop cyberrisico’s en verzekeringskosten worden geëvalueerd.

Het begrijpen van de identiteitsgerichte factoren achter deze beoordelingen is van cruciaal belang voor organisaties die een lagere risicoblootstelling willen aantonen en gunstiger verzekeringsvoorwaarden willen veiligstellen.

Waarom identiteitshouding nu de acceptatie stimuleert

Nu de mondiale gemiddelde kosten van een datalek in 2025 4,4 miljoen dollar bedragen, wenden steeds meer organisaties zich tot een cyberverzekering om hun financiële risico’s te beheersen. In Groot-Brittannië is de dekking gestegen van 37% in 2023 naar 45% in 2025, maar de stijgende schadevolumes zijn voor verzekeraars aanleiding om de acceptatievereisten aan te scherpen.

Het compromitteren van inloggegevens blijft een van de meest betrouwbare manieren voor aanvallers om toegang te krijgen, bevoegdheden te escaleren en binnen een omgeving te blijven bestaan. Voor verzekeraars verkleinen sterke identiteitscontroles de kans dat een enkele gecompromitteerde rekening kan leiden tot wijdverbreide verstoringen of gegevensverlies, waardoor duurzamere acceptatiebeslissingen worden ondersteund.

Wat verzekeraars willen zien in identiteitsbeveiliging

Wachtwoordhygiëne en blootstelling aan inloggegevens

Ondanks het toenemende gebruik van meervoudige authenticatie en wachtwoordloze initiatieven, spelen wachtwoorden nog steeds een sleutelrol bij authenticatie. Organisaties moeten bijzondere aandacht besteden aan het gedrag en de problemen die het risico op diefstal en misbruik van legitimatiebewijzen vergroten, waaronder:

  • Hergebruik van wachtwoorden voor verschillende identiteitenvooral bij administratieve of serviceaccounts, vergroot de kans dat één gestolen inloggegevens leidt tot bredere toegang.
  • Verouderde authenticatieprotocollen zijn nog steeds gebruikelijk in netwerken en worden vaak misbruikt om inloggegevens te verzamelen. NTLM blijft in veel omgevingen bestaan, ondanks dat het functioneel is vervangen door Kerberos in Windows 2000.
  • Slapende rekeningen met geldige inloggegevens, die fungeren als niet-gecontroleerde toegangspunten en vaak onnodige toegang behouden.
  • Serviceaccounts met nooit verlopende wachtwoorden, waardoor langdurige, slecht zichtbare aanvalspaden ontstaan.
  • Gedeelde beheerdersreferentiesde verantwoordelijkheid verminderen en de impact van compromissen vergroten.

Vanuit acceptatieperspectief is het bewijs dat een organisatie deze risico’s begrijpt en actief beheert vaak belangrijker dan de aanwezigheid van individuele technische controles. Regelmatige audits van de wachtwoordhygiëne en de blootstelling aan inloggegevens helpen de volwassenheid en de intentie aan te tonen om identiteitsgerelateerde risico’s te verminderen.

Beheer van bevoorrechte toegang

Beheer van bevoorrechte toegang is een cruciale maatstaf voor het vermogen van een organisatie om inbreuken te voorkomen en te beperken. Geprivilegieerde accounts kunnen toegang op hoog niveau tot systemen en gegevens hebben, maar krijgen vaak te veel toestemming. Als gevolg hiervan besteden verzekeraars veel aandacht aan de manier waarop deze rekeningen worden beheerd.

Serviceaccounts, cloudbeheerders en gedelegeerde rechten buiten centrale monitoring verhogen het risico aanzienlijk. Dit geldt vooral als ze zonder MFA of logboekregistratie werken.

Overmatig lidmaatschap van domeinbeheerders- of globale beheerdersrollen en overlappende administratieve reikwijdten duiden er allemaal op dat de escalatie van bevoegdheden zowel snel als moeilijk te beheersen zou zijn.

Slecht beheerde of onbekende geprivilegieerde toegang wordt doorgaans als een groter risico gezien dan een klein aantal streng gecontroleerde beheerders. Beveiligingsteams kunnen tools zoals Specops Password Auditor gebruiken om verouderde, inactieve of overbelaste beheerdersaccounts te identificeren en prioriteit te geven aan herstel voordat deze inloggegevens worden misbruikt.

Bij het bepalen van de waarschijnlijkheid van een schadelijke inbreuk is de vraag eenvoudig: als een aanvaller een enkel account compromitteert, hoe snel kan hij of zij dan beheerder worden? Waar het antwoord ‘onmiddellijk’ of ‘met minimale inspanning’ is, weerspiegelen premies die blootstelling vaak.

MFA-dekking

De meeste organisaties kunnen op geloofwaardige wijze stellen dat MFA is ingezet. MFA vermindert de risico’s echter alleen op betekenisvolle wijze als deze consequent wordt afgedwongen op alle kritieke systemen en accounts. In één gedocumenteerd geval werd de stad Hamilton een uitbetaling van 18 miljoen dollar aan een cyberverzekering geweigerd na een ransomware-aanval, omdat MFA niet volledig was geïmplementeerd op de getroffen systemen.

Hoewel MFA niet onfeilbaar is, vereisen vermoeidheidsaanvallen eerst geldige accountreferenties en zijn ze vervolgens afhankelijk van de goedkeuring door een gebruiker van een onbekend authenticatieverzoek, een resultaat dat verre van gegarandeerd is.

Ondertussen bieden accounts die authenticeren via oudere protocollen, niet-interactieve serviceaccounts of geprivilegieerde rollen die voor het gemak zijn vrijgesteld, allemaal haalbare bypass-paden zodra de eerste toegang is bereikt.

Daarom eisen verzekeraars steeds vaker MFA voor alle geprivilegieerde accounts, maar ook voor e-mail en externe toegang. Organisaties die dit verwaarlozen, kunnen te maken krijgen met hogere premies.

Vier stappen om de cyberscore van uw identiteit te verbeteren

Er zijn veel manieren waarop organisaties de identiteitsbeveiliging kunnen verbeteren, maar verzekeraars zoeken naar bewijs van vooruitgang op een paar belangrijke gebieden:

  1. Elimineer zwakke en gedeelde wachtwoorden: Dwing minimale wachtwoordstandaarden af ​​en verminder het hergebruik van wachtwoorden, vooral voor beheerders- en serviceaccounts. Sterke wachtwoordhygiëne beperkt de impact van diefstal van inloggegevens en vermindert het risico op zijdelingse verplaatsing na de eerste toegang.
  2. Pas MFA toe op alle kritieke toegangspaden: Zorg ervoor dat MFA wordt afgedwongen voor externe toegang, cloudapplicaties, VPN’s en alle geprivilegieerde accounts. Verzekeraars verwachten steeds vaker dat de MFB-dekking alomvattend is in plaats van selectief toegepast.
  3. Verminder permanente bevoorrechte toegang: Beperk waar mogelijk permanente beheerdersrechten en pas just-in-time of tijdgebonden toegang toe voor hogere taken. Minder bevoorrechte accounts die altijd actief zijn, verminderen direct de impact van inloggegevens.
  4. Controleer en certificeer regelmatig de toegang: Voer routinematige beoordelingen uit van gebruikers- en bevoorrechte machtigingen om ervoor te zorgen dat deze aansluiten bij de huidige rollen. Verouderde toegang en verweesde rekeningen zijn veel voorkomende alarmsignalen bij verzekeringsbeoordelingen.

Verzekeraars verwachten steeds vaker dat organisaties niet alleen aantonen dat er identiteitscontroles bestaan, maar dat deze in de loop van de tijd actief worden gemonitord en verbeterd.

Specops Password Auditor ondersteunt dit door duidelijk inzicht te bieden in de blootstelling aan wachtwoorden binnen Active Directory en door controles af te dwingen die op inloggegevens gebaseerde risico’s verminderen.

Om te begrijpen hoe deze controles in uw omgeving kunnen worden toegepast en kunnen worden afgestemd op de verwachtingen van verzekeraars, kunt u met een Specops-expert spreken of een live demo aanvragen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google AI-overzichten krijgen meer zichtbare links om het siteverkeer te stimuleren

De Pixel-widget in één oogopslag heeft zojuist sportuitslagen en voorraadupdates gekregen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]