Verzekeraars weten niet wat ze doen wanneer ze cyberverzekeringen accepteren; Cyberverzekeringen betalen sowieso niet uit, dus het is een tijdverspilling; een cyberverzekering biedt slechts een beperkte oplossing enondernemingen kunnen beter meer geld uitgeven aan cyberbeveiliging. Dat zijn volgens Paul Millaire, CEO bij advies- bureau Cyber Cube enkele vooroordelen over het nut en de voordelen van cyberverzekeringen die leven bij cyberbeveiligingsprofessionals.
Aan de vooravond van een grootschalig cyberbeveiligingscongres in San Francisco – de RSAConference 2019 – plaatste hij in een blog op de eigen website een ‘open brief ‘ aan de congresdeelnemers waarin hij bovengenoemde drie vooroordelen bestempelde als ‘in het beste geval verouderd en in het slechtste geval gewoonweg misleidend’.
In zijn blog weerlegt hij de voordelen vervolgens als volgt:
1. Verzekeraars:
“Cyberverzekeraars bieden al bijna twee decennia cyberoplossingen
aan en dat is veel langer dan de meeste aanwezige beveiligingsbedrijven op de RSA
bestaan. Niet alleen heeft de verzekeringsindustrie ieder jaar een inkomstengroei
van tussen de 25-50% per jaar gerealiseerd, maar verzekeraars hebben met hun
beleid en preventie maatregelen cyberverzekeringen met een schaderatio die
schommelt tussen de 30 en 40% per jaar, succesvol en winstgevend gemaakt. Natuurlijk
heeft de cyberverzekeringsmarkt nog een lange weg te gaan als het gaat om het verder
verbeteren van premiemodellen en acceptatietools, maar de prestaties van de van
cyberverzekeraars zijn over het algemeen genomen prima door een goed risicobeleid
tegen de juiste prijs.”
2. Claims:
Als je kijkt naar de grootste cyber incidenten van de afgelopen 5 jaar, hebben bedrijven schadebetalingen uit cyberverzekeringen ontvangen, die soms tientallen en zelfs honderden miljoenen dollars bedragen (om nog maar te zwijgen over de ondersteuning die bedrijven krijgen van hun verzekeraars en haar partners in geval van een claim). Al te vaak is het probleem niet dat bedrijven geen schade uitkering ontvangen van hun cyberverzekeraar, maar wel dat bedrijven onvoldoende dekking kopen om de hoge financiële gevolgen van een cyberaanval te dekken. Informatiebeveiligingsprofessionals stellen daar tegenover dat verzekeraars bij bepaalde spraakmakende cyberincidenten niet hebben uitgekeerd. Het is echter belangrijk om vast te stellen dat bij deze voorbeelden deze bedrijven geen adequate standalone cyberverzekering kochten, maar in plaats daarvan dekking zochten op andere polissen, zoals een brandverzekering, die simpelweg niet is ontworpen om dekking te bieden voor een cyberschade. De verzekeringssector heeft nog wel veel werk te doen om duidelijk te maken wat onder de verschillende verzekeringspolissen is gedekt. Daarom is het van cruciaal belang om een deskundige makelaar die gespecialiseerd is in cyberverzekeringspolissen te gebruiken, maar de standalone cyberverzekeringsmarkt werkt en betaalt claims uit zoals verwacht.”
3. Verzekeringskosten:
In zeer korte tijd is de cyberverzekeringsmarkt ontploft en
het aantal aanbieders van cyberverzekeringen van circa 50 verzekeraars nu zal de
komende jaren tot 200 uitgroeien in de komende jaren. Het is moeilijk
voorstelbaar dat een 21ste eeuw schadeverzekeraar niet zal participeren in deze
markt, aangezien het cyberrisico bovenaan de lijst van verzekeringsbehoeften
bij klanten staat, volgens Allianz. Er is nu al meer dan $ 5 miljard aan standalone
cyberverzekeringspremie en met de huidige ontwikkelingen en snelheid zal binnen
3 tot 5 jaar de cyberverzekering groter zijn dan ieder ander cyber beveiligingsproduct.
Niet alleen wordt dit een belangrijke investering voor ondernemingen zoals meer
dan een eeuw geschiedenis ons over verzekeringen heeft geleerd, maar zij zullen
ook fundamenteel hun risicobeheer veranderen. Men hoeft alleen maar te kijken
naar automotive sector, bouwstandaarden, specificaties voor elektrische
apparaten en compensatie voor werknemers, om de impact van de verzekeringssector
te zien wanneer dit een hulpmiddel voor risicobeheer wordt.”
Hij besluit zijn blog als volgt: “Hoewel sommige verouderde
misvattingen blijven bestaan, zal ‘waar de wereld praat over veiligheid’ in toenemende mate risicomanagement en risico-overdracht
worden betrokken in dit gesprek.
Vooruitstrevende cyber beveiligingsprofessionals doen er goed aan om te
begrijpen hoe de cyberverzekering het cyberrisicobeheer nieuw leven inblaast, alvorens
zij hun mening over het maatwerk van de verzekeraars geven.”
Zijn volledige Engelstalige blog kunt u hier lezen.https://www.cybcube.com/2019/03/an-open-letter-to-this-years-rsa-attendees-in-defense-of-cyber-insurers/. De gehele vertaalde blog wordt opgenomen in het eerstvolgende, later deze maand verschijnende magazine van Risk & Business.