Cyberverzekeringen – een complex risico

Cyberverzekeringen – een complex risico

Achtergrond
Redactie Baaz

Tekst: Andrew Rose, Resident CISO, EMEA at Proofpoint

Gezien de continue stroom van spraakmakende cyberaanvallen, de meeste met ernstige financiële schade en reputatieschade als gevolg, wenden steeds meer organisaties zich tot verzekeraars om hen te helpen bij dergelijke gebeurtenissen. De wereldwijde markt voor cyberverzekeringen was in 2020 goed voor 7 miljard dollar aan bruto geschreven premies (GWP) en zal in 2025 oplopen tot 20,6 miljard dollar.

Deze vraag naar cyberverzekeringen heeft de sector voor een uniek probleem gesteld. De premies voor cyberverzekeringen stijgen, maar daarentegen wordt het ook steeds minder rendabel voor verzekeraars om zogenoemde cyberpolissen te verkopen.

Naarmate het aantal cyberaanvallen toeneemt en ze ook steeds vaker de krantenkoppen halen, neemt ook de vraag naar verzekeringspolissen toe. Maar met elke succesvolle claim wordt het huidige model van cyberverzekeringen minder levensvatbaar.

Hierdoor staan cyberverzekeraars voor een keuze. Moeten ze zich terugtrekken uit een belangrijk bedrijfssegment dat tot voor kort lucratief is gebleken? Verhogen ze gewoon de premies om het stijgende risico te compenseren? Of proberen ze dat risico te beperken door te eisen dat organisaties best practices op het gebied van cybersecurity toepassen als voorwaarde voor het verstrekken van de verzekering?

Al deze opties hebben aanzienlijke gevolgen voor allerlei sectoren en organisaties, maar de laatste optie plaatst zou betekenen dat verzekeraars mede bepalen wat de normen voor cybersecurity zijn.

Waarom is cyberrisico anders?

Het idee dat uitbetalingen van invloed zijn op de winst van de verzekeraar is natuurlijk niets nieuws. Dit geldt voor alle soorten verzekeringen, van autoverzekeringen tot reisverzekeringen. In deze sectoren kan dit echter gemakkelijk worden ondervangen door aan elke verzekeringnemer een risiconiveau en een passend premietarief toe te kennen. De meeste daarvan worden beoordeeld aan de hand van enorme hoeveelheden data.

Jongere mensen zijn statistisch gezien bijvoorbeeld vaker betrokken bij auto-ongevallen. Daarom zijn autopolissen doorgaans hoger voor jongere bestuurders.

Risico's op deze manier kwantificeren is jarenlang de basis geweest voor de verzekeringssector. Maar weinig van de principes die worden gebruikt om risico's op andere gebieden te meten, kunnen zomaar worden toegepast om cyberrisico's te bepalen.

Een verzekeraar kan het risico dat een huis door een overstroming wordt beschadigd, inschatten op basis van verschillende factoren, zoals historische gegevens en de locatie. Verzekeraars kunnen er ook zeker van zijn dat een eventuele uitkering waarschijnlijk beperkt zal blijven tot de kosten van de reparatie van het gebouw en de vervanging van de inboedel.

Cyberrisico is echter nieuw, dynamisch en moeilijk te beperken. Veel gebruikelijke verzekeringen zijn gebaseerd op de waarschijnlijkheid van een toevallige gebeurtenis. Dit in tegenstelling tot een dreiging die doelbewust en kwaadwillig is, en bovendien steeds geavanceerder en omvangrijker wordt. Tel daarbij op de verschillende niveaus van beveiligingsbewustzijn en cybersecurity binnen organisaties en het kwantificeren van het cyberrisico wordt bijzonder moeilijk.

Dan is er nog het probleem van het systeemrisico. De gevolgen voor een gebouw dat door een overstroming wordt verwoest, houden daar meestal op. Als een organisatie het slachtoffer wordt van een ernstige cyberaanval, dan kunnen ook leveranciers, klanten, aandeelhouders, banken en tal van andere externe partijen te maken krijgen met financiële verliezen en reputatieschade.

Hoe zullen verzekeraars reageren?

De vraag naar cyberverzekeringen zal waarschijnlijk niet snel afnemen. De wereld raakt steeds meer met elkaar verbonden en er wordt steeds meer gebruik gemaakt van software. Bedrijven in alle sectoren moeten zich kunnen indekken tegen storingen, inbreuken en andere cyberincidenten die hun activiteiten kunnen onderbreken of beschadigen.

Om aan deze vraag te voldoen, moeten verzekeraars worden beschermd tegen de stijgende kosten van schadeclaims. Hoewel veel verzekeraars hun premies al verhogen om dit risico te dekken, kan die trend zich niet eindeloos voortzetten.

In plaats daarvan beginnen verzekeringsmaatschappijen hun beleid en bedrijfsmodellen te heroverwegen. Meestal betekent dit een beperking van de dekking. AXA was een van de eerste grote verzekeraars die deze stap zette door de dekking voor ransomware-aanvallen in Frankrijk in te trekken. Ironisch genoeg was het bedrijf enkele dagen later zelf het doelwit van een ransomware-aanval. Wellicht als vergelding omdat het bedrijf een lucratieve inkomstenstroom voor cybercriminelen wilde wegnemen.

Om niet voor een van bovenstaande opties te hoeven kiezen, zijn verzekeraars begonnen strengere dekkingsvoorwaarden op te leggen of kortingen te geven aan verzekerden die bepaalde beschermingsmaatregelen hebben genomen. Dit is vergelijkbaar met de kortingen op autoverzekeringspolissen die bestuurders krijgen als ze ermee instemmen een zwarte doos met GPS in hun auto te installeren.

Een tweesprong voor cyberverzekeraars

Dergelijke voorwaarden stellen is geen nieuw verschijnsel. Een beroemd voorbeeld hiervan dateert uit het begin van de 20e eeuw. Als reactie op een sterke stijging van het aantal stoomboomexplosies legde de Hartford Steam and Boiler Inspection and Insurance Company (HSB) het gebruik van een speciale pijpleiding op aan iedereen die een stoomketelverzekering wilde afsluiten. Als gevolg daarvan daalden het aantal boilerexplosies en de daaruit voortvloeiende claims aanzienlijk.

Het lijdt geen twijfel dat HSB het spel heeft veranderd. De speciale pijpleiding werd al snel bekend als de Hartford Loop en wordt vandaag de dag nog steeds gebruikt.

Door de minimaal aanvaardbare dekkingsnorm te bepalen, verhoogde het bedrijf zijn winstgevendheid en verbeterde het de veiligheid van de hele sector. Cyberverzekeraars hebben nu de kans om de sector in dezelfde richting te sturen.

Als ze het goed doen, kunnen ze de hele sector veranderen en de veiligheidsnormen van zowel grote als kleine organisaties verhogen. Zulke duidelijk gedefinieerde en verplichte best practices op het gebied van beveiliging verbeteren de veiligheid. Maar ze helpen ook een groeiend probleem voor de CISO op te lossen. Namelijk hoe het risico van derden nauwkeurig kan worden beoordeeld, of het nu gaat om leveranciers, partners of opdrachtgevers.

Als ze het verkeerd aanpakken, bestaat de kans dat een ooit winstgevend product al snel een economische ramp wordt. Terwijl de markt voor technologiegerelateerde verzekeringen explosief groeit. Dat zou organisaties en personen kunnen blootstellen aan enorme, onverzekerbare financiële gevolgen.

Het probleem waarmee cyberverzekeraars worden geconfronteerd, is natuurlijk ingewikkelder dan dat van HSB. Het is geen geval van een eenvoudige leidinginstallatie. De uitdagingen en complexiteit zijn groot en de cyberaanvaller evolueert en innoveert voortdurend om effectief en impactvol te blijven.

Het is geen gemakkelijke opgave, maar dat betekent niet dat het niet moet gebeuren. Nu 64% van de organisaties het gevoel heeft dat ze de komende 12 maanden het risico lopen op een cyberaanval, is het duidelijk dat er actie ondernomen moet worden, en snel.

Lees meer

‘Subsidie voor cybermaatregelen kwam op het juiste moment’
‘Subsidie voor cybermaatregelen kwam op het juiste moment’
MKB laat digitaliseringskansen liggen door gebrek aan kennis en expertise
MKB laat digitaliseringskansen liggen door gebrek aan kennis en expertise
Mastercard kondigt drie Nederlandse winnaars aan voor het Mastercard Strive EU Innovatiefonds
Mastercard kondigt drie Nederlandse winnaars aan voor het Mastercard Strive EU Innovatiefonds
81% van Nederlandse forenzen maakt zich zorgen om privacy
81% van Nederlandse forenzen maakt zich zorgen om privacy
Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst
Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst
Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie