Ondanks de complexiteit kunnen ervan verzekeraars en bedrijven wel degelijk meer grip krijgen op cyberrisico’s, stelt Swiss Re Institute in zijn eerste Sigma-rapport met als titel: ‘Cyber: getting to grips with a complex risk’. Daarin komt de herverzekeraarsgigant tot meerdere conclusies. Eén daarvan is dat de markt voor cyberverzekeringen weliswaar snel groeit tot volwassenheid, maar dat aan de andere kant het aanbod aan verzekeringsdekking nog als beperkt kan worden bestempeld, zeker in relatie tot het potentiële risico. “Product- en procesinnovatie, in combinatie met big data en ‘slimme’data-analyses, moeten leiden tot betere cyberverzekeringsoplossingen. Daarnaast kunnen overheden volgens Swiss Re een belangrijke rol vervullen bij het bevorderen van de veerkracht van ondernemingen en overige instellingen tegen cyberrisico’s. Bijvoorbeeld door (financieel) bij te springen indien bepaalde cyberrisico’s niet of moeilijk verzekeraars zijn”, aldus Swiss Re.
Een andere uitkomst is dat niet alleen de kans op cyberaanvallen groeit, maar dat daarnaast ook de (potentiële) kosten van datalekken en andere incidenten in rap temp toenemen. Recente aanvallen laten zien dat de kosten van datalekken ver boven het herstellen van verloren of corrupte data kunnen uitstijgen. Mede daardoor is het cyberrisico dan ook een groeiend punt van zorg bij veel ondernemingen, niet in de laatste plaats vanwege de impact op de bedrijfsreputatie, fysieke en intellectuele eigendommen en disruptie van de bedrijfsvoering . “Hoewel er steeds meer initiatieven worden genomen om het cyberrisico beter in te dammen, moeten bedrijven meer doen om cyberveiligheid beter te integreren in hun riskmanagementprogramma’s”, aldus het Swiss Re Institute, volgens wie door bovengenoemde ontwikkelingen het landschap voor cyberrisico’s constant in beweging is. Daar zijn volgens het nieuwe instituut drie belangrijke dynamische ontwikkelingen te onderscheiden:
- De sterk toenemende snelheid en omvang van de digitale transformatie;
- De groeiende kwetsbaarheid door de hyperconnectiviteit, mede door de snelle verspreiding van bijvoorbeeld zogeheten internet enabled devices en van cloud-toepassingen;
- De groeiende deskundigheid van hackers die meer en meer de financiële en economische verdienmogelijkheden inzien van cyberaanvallen. .
Hoewel het bewustzijn bij bedrijven toeneemt, zijn ze over het algemeen slecht voorbereid op cyberrisico’s, concludeert het Swiss Re Intsitute. “Zo hebben nog relatief weinig bedrijven hun beveiliging tegen cyberaanvallen geïntegreerd in het riskmanagement. Bedrijven, zowel de kleinere als de grotere, moeten dan ook meer investeren in cybersecurity, zowel ter voorkoming van incidenten als in de aanpak na een eventuele cyberaanval. Daarnaast kan regelgeving als katalysator fungeren om te bevorderen dat bedrijven meer aan cyberbeveiliging gaan doen.”
Verzekeringsmogelijkheden nog beperkt
Het Swiss Re Institute neemt in zijn rapport verder waar dat veel bedrijven op zoek zijn naar mogelijkheden om het cyberrisico over te dragen. “De verzekeringsmarkt op dit terrein is zich aan het ontwikkelen en een toenemend aantal verzekeraars wil dit risico verzekeren. De meeste polissen bieden dekking tegen schade als gevolg van verlies of diefstal van data en andere lekken in het computernetwerk tot vaak een limiet van 100 miljoen dollar. Desalniettemin blijven significante cybergerelateerde risico’s grotendeels onverzekerd en is het aanbod aan dekking relatief beperkt in relatie tot de potentiële risico’s.
Een belangrijke restrictie voor de ontwikkeling van adequate verzekeringsoplossingen is volgens Swiss Re Institute gelegen in de aard van cyberrisico’s. “Die zijn vaak moeilijk te kwantificeren zijn , mede door de snel veranderende technologische ontwikkelingen en een gebrek aan voldoende cybergerelateerde claimsdata. Aan de andere kant zijn verzekeraars en risico-analisten aan het experimenteren met verschillende risicomodellen om de potentiële schade ervan beter in te kunnen schatten. Wat dat betreft geeft de ervaring met de voortdurende verbetering van andere risicomodellen, bijvoorbeeld voor inschatting van het natuurramprisico, goede hoop en zal ook de beschikbaarheid van claimsdata verbeteren.”
De ondernemers nemen verder waar dat verzekeraars bezig zijn meer eenvoudige en flexibele verzekeringsproducten te ontwikkelen, waaronder ook dekkingen die ’op maat’ kunnen worden aangepast voor het mkb, een doelgroep die met betrekking tot dit specifieke risico tot dusver niet primair de aandacht had van de verzekeringsbranche. Daarnaast zoeken (her)verzekeraars naarstig naar partnerschappen met gespecialiseerde cybersecurity- & data-analysebureaus om hun klanten op dit gebied nog beter van dient te kunnen zijn.”
