Ondanks het groeiend aantal naar buiten gekomen cyberincidenten, de aandacht ervoor in media en op symposia en congressen en de forse boetes voor bedrijven bij datalekken, lijken bedrijven nog niet bepaald warm te lopen voor het sluiten van een cyberverzekering. Dat beeld werd nog eens nadrukkelijk onderstreept tijdens het Zakelijk Platform dat Adfiz vorige week organiseerde. Daar waar is de VS in deze verzekering inmiddels voor twee miljard dollar omgaat, is dat in de rest van de wereld gezamenlijk ongeveer 10% hiervan. Japan is goed voor ca. $ 70 miljoen, Europa (excl. UK ) $ 50 miljoen, UK $ 30 miljoen, Australië en Canada elk $ 20 miljoen en de rest van de wereld ca. $ 10 miljoen, vertelde Graeme Newton, chief innovation underwriter bij de Britse verzekeraar CFC Underwriting.
Newton vertelde dat de autoriteiten in Groot-Brittannië trots zijn op de behaalde resultaten in de strijd tegen de ‘traditionele criminaliteit’, die tussen 2001 en 2015 is gehalveerd. “Maar wordt de cybercriminaliteit meegeteld, dan is er sprake van een stijging met ongeveer 15%. Cybercrime groei explosief; de verkoopcijfers van cyberverzekeringen zijn daarmee allesbehalve in overeenstemming”, aldus de Britse verzekeraar, die onder meer wees naar de opkomst van ransomware, waarbij je na een hack tegen het betalen van een losgeld weer toegang tot je computer krijgt. “Eén op de drie ondernemers heeft ooit te maken gehad met ransomware en velen van hen betaald het losgeld.”
CFC Underwriting heeft volgens Newton dit jaar op 22.263 verkochte cyberpolissen tot dusver 153 cyberschadeclaims gehad. Hiervan had 64% betrekking op de VS, 17 op de UJK, 8 op Canada, 6 op Australië en 4 op andere landen. Bijna één van de drie claims (31%) betrof schending van privacy, bij 22% was er misdaad in het spel, bij 16% ransomware, 7% malware en 5% zowel DDos en hacking. Newton benadrukte dat een cyberverzekering niet zozeer een aansprakelijkheidsrisico dekt, maar dat het hierbij in feite gaat om een first party-verzekering, die bovendien raakvlakken heeft met vrijwel alle verzekeringsbranches: property, terrorisme, crime, kidnap & ransom, product recall en (algemene, beroeps– en bestuurders)aansprakelijkheid.
Criminaliteit, systeemstoringen en menselijke fouten
Rogier Seinstra, practice leader engineering makelaar Marsh, benadrukte dat cyberschades behalve door criminaliteit (47%) ook kunnen ontstaan door systeemstoringen (29%) en menselijke fouten (25). Ook hield hij zijn gehoor nadrukkelijk voor dat 100% beveiligen een utopie is. Hij noemde een groot aantal voorbeelden van kosten en schade door cyberincidenten: aansprakelijkstelling (inbreuk copyright, datalek, verspreiding malware i en verlenen van ongewenste toegang), kosten datalek (meldingskosten, onderzoek, PR, klantenservice, reputatie, boetes) bedrijfsschade (extra kosten om bedrijfsstagnatie te voorkomen als gevolg van uitval van (productie)systemen en website), datareconstructie (verwijderen malware, onderzoek, herinstallatie van software/systemen), cyberdiefstal (geld, tegoeden, data/informatie), cyberafpersing (onderhandeling, losgeld, beloning), contractuele verplichting (in steeds meer zakelijke contracten vanwege beperkte dekking (beroeps)aansprakelijkheidsverzekering) en tot cloud & outsourcing. “Het werk kan weliswaar uitbesteed worden, het risico niet. De eigenaar van de data blijft verantwoordelijk”, aldus Seinstra, die als mogelijke kostencomponenten onder meer noemde incident response, externe experts, PR, meldkosten, IT-forensics, juridische bijstand, krediet-/ID-bescherming, juridische bijstand, en andere extra kosten. Onderzoek uit Duitsland, Engeland en Frankrijk heeft uitgewezen dat de kosten bij een datalek gemiddeld 153 euro per record omvatten. Bij een bestand met enkele duizenden adressen loopt dit dus flink in de papieren.
Verzekeringsmogelijkheden
Volgens Seinstra is de risicoperceptie bij ondernemend Nederland nog niet optimaal. “Vaak wordt voor de oplossing van het probleem verwezen naar de ICT-afdeling. Het cyberrisico staat bij grote ondernemingen wel op de radar als reëel risico, maar de koopbereidheid is klein. Ook bij mkb-bedrijven staat het op de radar, maar wordt het niet ervaren als een risico met grote impact. De conversie op offertes is ronduit laag te noemen, namelijk minder dan 10%”, aldus Seinstra, volgens wie de cyberriskverzekering moet worden gezien als aanvullend op beveiligingsbeleid
HIJ bestempelde de cyberverzekeringsmarkt als ‘wijdlappig’, ‘wisselvallig’ en ‘individueel. “De traditionele verzekeringen kennen doorgaans een beperkte dekking en de polisvoorwaarden van het niet al te grote aantal aanbieders verschillen soms enorm van elkaar, waardoor vergelijken lastig is”, aldus de makelaar, die als moeilijk verzekerbare risico’s in de markt voor cyberriskverzekeringen onder meer noemde medische- en zorginstellingen, de financiële sector (en dus ook de financieel advieskantoren), callcenters en telemarketingbedrijven, de publieke sector, dataprocessingbedrijven, internetproviders, telecombedrijven en sociale netwerken en alle bedrijven buiten de Europese Unie. Tot slot rekende hij zij gehoor voor dat de premie voor een cyberverzekering in de regel wel meevalt, zowel voor MKB-ers als voor grotere bedrijven.
