Toezichthouder Australië: ”’Onverzekerbare’ bedrijven krijgen te maken met hausse aan cyberaanvallen; bestuurders lopen groter persoonlijk risico

Een groot deel van de Australische bedrijven zou binnenkort onverzekerbaar kunnen zijn voor cyberbeveiligingsrisico’s, omdat te veel bedrijfsdirecteuren denken dat alleen het hebben van een cyberverzekering voldoende is. Door een gebrek aan inzicht investeren bedrijfsleiders niet in voorbereiding of bescherming en verzekeraars komen nu in actie, omdat de uitbetalingen van ransomware en de herverzekeringskosten voor bedrijven met een laag beveiligingsniveau de pan uit rijzen.

Wereldwijde ransomware-aanvallen tieren welig – met een piek van 170% in het afgelopen jaar – en de omvang van het geëiste losgeld is ook gestegen, waarbij de uitbetalingen in de VS tussen 2019 en het eerste kwartaal van dit jaar met 400% zijn gestegen. Als gevolg daarvan geeft de Australian Prudential Regulatory Authority (APRA) Australische verzekeraars de opdracht hun cyberrisicoprofiel te herzien en te heroverwegen of verzekeraars zelf het risico onderschatten. 

Verzekeraars gaan nu strenger om met het afdekken van het cyberrisico van bedrijven die niet konden aantonen dat ze passende maatregelen namen om de dreiging van een aanval of gegevensverlies te beperken voordat een incident plaatsvond. De risicoaversie bij verzekeraars die cyberbeveiliging dekken, wordt wereldwijd erkend, waarbij de internationale verzekeringsmakelaar Howden vorige maand schatte dat de premies voor cyberverzekeringen wereldwijd met 32% waren gestegen als gevolg van de toegenomen blootstelling aan risico’s. Er is een groeiende trend bij verzekeraars om de premies te verhogen en cyberbeveiligingslimieten te beperken. In Australië zijn de premies in 2020 met 20% gestegen.  

 Australische bedrijven zijn zich er algemeen van bewust dat cyberbeveiliging een groeiend risico is en dat een cyberverzekering uitkomst kan bieden. Maar de directies  begrijpen niet hoe ver die verzekering eigenlijk reikt en Pitcher Partners stelt vast dat veel bedrijven niet precies weten wat ze kopen, of waar ze zich in het risicospectrum bevinden.  

  Verzekeraars verlagen limieten vanwege ransomware-piek 

Directeuren weten dat er een gat in hun beveiliging zit, maar ze weten niet hoe groot dat gat werkelijk is, en zien een cyberverzekering als een manier om dat gat te dichten. Die mentaliteit leidt tot onrealistische verwachtingen dat het hebben van een cyberbeveiligingsverzekering betekent dat ze gedekt zijn voor bijna elke gebeurtenis. 

De realiteit is dat als het gaat om gegevensverlies, gegevensdiefstal, ransomware, kwaadaardige activiteiten of zelfs cyberterrorisme, verzekeraars steeds vaker uitsluitingen in de kleine lettertjes en beperkingen op hun aansprakelijkheid benadrukken. 

De standaardaanpak van verzekeraars om risico’s vooraf in te schatten – bedrijven vragenlijsten sturen over hun beveiligingsbeleid om inzicht te krijgen in hun bedreigingen, de waarschijnlijkheid dat een incident zich voordoet en de mogelijke gevolgen voor het bedrijf – schiet tekort als het gaat om cyberbeveiligingsverzekeringen.  Veel bedrijven kunnen deze vragen gewoon niet met zekerheid beantwoorden, of ze maken fouten die niet opzettelijk zijn, maar gebaseerd zijn op een gebrek aan inzicht of kennis. 

 De aanpak van verzekeraars is vaak om terug te gaan en die antwoorden zeer zorgvuldig te onderzoeken wanneer een claim wordt ingediend. Verzekeraars verhogen ook hun premies en verlagen hun limieten in reactie op de toename van uitbetalingen van ransomware. Sommige bedrijven zullen onverzekerbaar worden als ze er niet in slagen de cyberrisico’s in hun bedrijf aan te pakken of als ze hun risicobeperkingsplannen niet adequaat kunnen uitleggen aan de verzekeraars. Anderen zullen er pas achter komen dat hun verzekering niet meer geldig is als er iets misgaat.  

 Bestuurders lopen meer persoonlijk risico 

Het laatste wat een bedrijf nodig heeft, is te beseffen dat ze niet gedekt zijn op de manier waarop ze dachten dat ze gedekt waren op het moment van een claim. Australische directeuren lopen binnenkort mogelijk een groter persoonlijk risico, nu het ministerie van Binnenlandse Zaken wijzigingen overweegt die directeuren van bedrijven persoonlijk aansprakelijk zouden kunnen maken voor cyberaanvallen.  

 De APRA ziet reeds toe op de naleving van soortgelijke bestuursnormen en sancties door van financiële dienstverleners te eisen dat zij de APRA zo spoedig mogelijk in kennis stellen van informatiebeveiligingsincidenten die wezenlijke gevolgen hebben of kunnen hebben voor de belangen van klanten. Bovendien stelt een nieuw wetsvoorstel inzake betalingen van ransomware wijzigingen voor die de openbaarmaking van ransomware-aanvallen verplicht kunnen stellen. Momenteel zijn Australische organisaties niet verplicht bekend te maken of een bedrijf het slachtoffer is geweest van een ransomware-aanval en of het betalingen aan hackers heeft verricht.

De voorgestelde wijzigingen zouden organisaties verplichten zowel de aanval te melden als of zij het losgeld hebben betaald en zo ja, aan wie. Dit kan hen op zijn beurt blootstellen aan antiwitwaswetgeving, aangezien veel cybercriminelen op de lijst van gesanctioneerde personen, entiteiten of zelfs terroristische organisaties staan. Bestuurders zijn al aansprakelijk voor inbreuken op de privacy op grond van de Australische privacywetgeving, maar dit zal waarschijnlijk worden uitgebreid met een vrijwillig meldingssysteem voor cyberaanvallen op zijn minst.

Bestuurders moeten inzicht hebben in de risico’s van hun onderneming en zich ervan vergewissen dat zowel de organisatie als zijzelf beschermd zijn.  Zij moeten er ook voor zorgen dat de verzekering die zij hebben de juiste is voor hun situatie en zowel verliezen als herstelmaatregelen dekt in het geval van een claim 

 

Gerelateerde artikelen

Faisal Setoe nieuwe Algemeen Directeur HDI Global Nederland

Insurance | 25-04-2024

HDI Global is verheugd aan te kondigen dat Faisal Setoe per 1 juni 2024 zal aantreden als de nieuwe Algemeen Directeur van HDI Global Nederland. Sharon van Herel, de huidige Managing Director, zal het bedrijf verlaten om nieuwe professionele kansen na te streven. Faisal Setoe is sinds 2019 werkzaam bij HDI Global en bekleedde sinds […]

Advies Gezondheidsraad: Meet structureel de blootstelling aan chemische stoffen in de mens

Claims | 25-04-2024

De blootstelling van mensen aan chemische stoffen wordt in Nederland niet gemeten, maar geschat. Hierdoor heeft de overheid onvoldoende zicht op deze blootstelling en ontbreken gegevens die nodig zijn om beleid te controleren en verbeteren. De Gezondheidsraad adviseert daarom een structureel meetprogramma met biomonitoring in te richten. De overheid dient mens en milieu zo veel […]

 Independer waarschuwt: op Koningsdag 20% meer inbraken in grote steden

Claims | 24-04-2024

    Als jij met een oranjebittertje op de kleedjesmarkt of festival staat, slaan dieven veel vaker toe. Vooral in de steden die bekendstaan om de Koningsdagfeesten is het raak. Uitschieter Utrecht ziet zelfs bijna een verdubbeling (+94%). Dit blijkt uit de Woninginbraken Index van Independer op basis van een ingediend Woo-verzoek bij de Politie. […]

Marsh-rapport: Geopolitieke verschuivingen stellen het ondernemersvertrouwen op de proef

Claims | 24-04-2024

  Marsh publiceerde onlangs zijn Political Risk Report 2024. Het rapport biedt inzicht in de heersende wereldwijde politieke en economische trends die van invloed zullen zijn op multinationale ondernemingen en investeerders in het komende jaar. Het rapport wijst op de ongekende onzekerheid op lange termijn, versterkt door het grootste verkiezingsjaar wereldwijd. Deze onzekerheid komt voort […]

Meld je aan voor de nieuwsbrief

"*" geeft vereiste velden aan

F.J. Ebbensstraat 81, 4007 WJ Tiel

info@riskenbusiness.nl

0344-633356 of 06-20490063

Linkedin
Ik wil adverteren
© 2024 Risk & Business

 | Design & Development door WP Masters