Cyberverzekeraars stellen hogere eisen

1. 9 november 2021, door Samenstelling Toon Berendsen
2. 0 reacties

Welke ontwikkelingen hebben jullie de voorbije twaalf maanden gezien bij de cyberverzekering?

Ron van Gijzel RMiA RGA, aansprakelijkheid specialist bij Klap (foto): “Vanwege toenemende grootte en hoeveelheid van cyberincidenten zien wij dat voorwaarden worden beperkt, premies stijgen, wachtdagen worden verhoogd, er meer wordt gemonitord op veiligheid, etcetera. Bij beroepsaansprakelijkheidsverzekeringen zien wij een toename aan algehele en of gedeeltelijke uitsluiting van cyberrisico’s. Een pas toegetreden marktpartij als Amlin heeft zich zelfs moeten terugtrekken uit dit deel van de markt.

“Een Nederlandse beurs cyberverzekering is in ontwikkeling.”

Maarten de Jonge, Senior Managing Consultant Cyber & Privacy bij Aon en verantwoordelijk voor de ontwikkeling van schaalbare cyberdienstverlening: ”De ontwikkelingen volgen elkaar zeer snel op. We komen uit een situatie waarbij er nauwelijks voldoende verzekeringen gesloten waren om inzicht te kunnen krijgen in de risico’s. Sinds het laatste kwartaal van 2020 zien verzekeraars dat er veel schades zijn. Nu bevinden we ons in een periode dat er maandelijks aan verschillende knoppen wordt gedraaid om grip op deze risico’s te krijgen. Dat uit zich in de eerste plaats in aanvraagformulieren van een aantal pagina’s. Twee jaar geleden was het nog een kantje. Verzekeraars willen dus veel meer weten en stellen hogere eisen. Multi Factor Authenticatie (MFA) wordt een standaard.

“Zolang er onvoldoende grip op de risico’s is, zullen de premies stijgen. Nu krijg je dekking of geen dekking. Ik denk dat we in de nabije toekomst te maken krijgen met dekkingen en premies die gerelateerd zullen zijn aan het cyberweerbaarheidsniveau van een organisatie.”

In de kinderschoenen

Vinden jullie de dekking die cyberverzekeringen bieden afdoende?

De Jonge: “Er zijn op dit moment nog voldoende mogelijkheden om een goede dekking te krijgen. Jammer genoeg zien we nu pogingen om volledige sectoren uit te sluiten van dekking. Alleen voor grote organisaties moeten we echt vechten om aan de gewenste te verzekeren bedragen te komen. Er is te weinig capaciteit in de markt.”

Van Gijzel: “De huidige cyberverzekeringen zijn meer gericht op verlies van (tijdelijk) geen gebruik kunnen maken van data en het in verkeerde handelen vallen van data. Onder de cyberverzekering worden de volgende gebeurtenissen als verzekerde gebeurtenissen aangemerkt: a) een inbreuk in verband met persoonsgegevens; b) een schending van de geheimhoudingsplicht; c) netwerkbeveiligingsgebeurtenis; d) een mediagebeurtenis; e) een schending van de PCI DSS (Payment Card Industry Data Security Standard); f) een bedrijfsstoring als gevolg van een bedrijfsstoringsgebeurtenis; g) een cyberaanval; h) cyberafpersing. Voor ons staan deze verzekeringsvormen in de kinderschoenen, want voor vele risico’s is geen dekking opgenomen in de reguliere cyberverzekeringen. Het gaat dan om de risico’s die niet onder een andere verzekeringsvorm zijn gedekt dan wel worden uitgesloten. Dat is door de afhankelijkheid van datagebruik heel divers. Denk aan schade eigen schip vanwege aanvaring door koerswijziging als gevolg van data-inbreuk. Het door een cyberincident ontstane gebrek in de energielevering niet meer kunnen voorzetten van je bedrijf. Het verkrijgen van bedrijfsinformatie middels een gehackte drone, overlopen van een wasmachine (Internet of Things), etcetera. En zo zijn er nog vele risico’s te bedenken waarvoor de huidige verzekeringen geen oplossingen bieden.”

Verschillen in voorwaarden enorm

Hoe beoordelen jullie de kwaliteit van de cyberdekking die Nederlandse verzekeraars bieden?

Van Gijzel: “De zogenaamde vergoeding in natura is voor ons het belangrijkste onderdeel van de huidige cyberverzekeringen. Het gaat dan om het technische ICTonderzoek/ herstel om weer snel up en running te zijn, de juridische ondersteuning en de hulp bij het melden aan de Autoriteit Persoonsgegevens. Dat 24/7.

“Daarnaast spelen diverse aanvullende diensten met betrekking tot het risico minded maken bij de relatie teneinde inbreuken zo veel mogelijk te voorkomen een pre in de afweging. Verder kijken wij naar de van toepassing zijnde eigen risico’s, wachtdagen en premiestelling en de geboden voorwaarden voor het betreffende bedrijf. Bij een cyberverzekering voor een webwinkel liggen de belangrijkste dekkingen in de voorwaarden anders dan bij een financiële dienstverlener of een zorginstelling.”

De Jonge: “De verschillen in de voorwaarden zijn enorm. Denk bijvoorbeeld aan de situatie dat de ene verzekering wel dekking geeft wanneer een Saas-systeem gehacked wordt, en de andere verzekering niet. Er is dus ook veel te kiezen. We besteden veel tijd aan het inzichtelijk maken van deze verschillen. Het is dan niet eenvoudig om een relatie uit te leggen wat de verschillen zijn. Er wordt gewerkt met verschillende defi nities. Voor de interpretatie moet je echt een specialist zijn, en een relatie moet daar ook nog eens tijd in willen steken.”

Van Gijzel: “Er zijn vele verschillen in de voorwaarden van diverse aanbieders. De hoogten van de geboden sublimieten kunnen van belang zijn. Hoe zit de in-en uitloop regeling in elkaar, is cyberfraude gedekt, is en op welke wijze is telefoon hacking gedekt, is zaak-en/ of personenschade gedekt? Is spoofing gedekt? Spoofing valt onder fraude en niet onder cyber. Hetzelfde geldt voor bijvoorbeeld spookfacturen of CEO-fraude.”

Losgeld

Niet alle polissen dekken ‘losgeld’. Hoe belangrijk vinden jullie die dekking?

Van Gijzel: “Wij vinden dit soort dekkingen in het belang van onze individuele klanten omdat daardoor de individuele schade wordt beperkt.”

De Jonge: “Er is zoveel discussie over het betalen en/ of het verbieden van het verzekeren van de betaling van losgeld. Het zou mooi zijn als een relatie kan kiezen of hij deze dekking wel of niet wil. Dekking van losgeld blijft een belangrijke reden voor een deel van de ondernemers om voor een cyberverzekering te kiezen. In de praktijk is het losgeldbedrag echter vaak maar een fractie van de totale schade. Ook dat maken we duidelijk.”

Hek

Op welk niveau staat cyberrisicomanagement in Nederland volgens jullie op dit moment?

Van Gijzel: “Het cyberrisicomanagement staat in Nederland nog aan het begin van ontwikkeling. Zeker als het gaat om de operationele risico’s. Een professionele risico-inventarisatie zou geïntegreerd moeten worden in de algehele risicoanalyse door directies. Zo kunnen voorgestelde maatregelen ook daadwerkelijk worden geïmplementeerd en wordt cybermanagement ingebed in de organisatie.”

De Jonge: “Cyberrisicomanagement staat bij de meeste ondernemingen nog in de kinderschoenen. We bevinden ons in de fase ‘hek om de IT-organisatie en verzekeren voor als het echt mis gaat’. We moeten naar de volgende fase waarbij we accepteren dat criminelen binnenkomen, maar er nog genoeg mogelijkheden zijn om schade te voorkomen of te minimaliseren. Bij vrijwel elk gesprek dat we nu hebben met een relatie behandelen we alle maatregelen om cyberweerbaar te blijven en hoe onze dienstverlening hierbij kan helpen.”

Cyberweerbaarheid vergroten

Op welke onderdelen (bijvoorbeeld ransomware) valt op dit moment de meeste schade?

Van Gijzel: “Er zijn de laatste tijd veel grote claims geweest door ransomware aanvallen en het eisen van losgeld.”

De Jonge: “Ransomware aanvallen zorgen op dit moment voor de meeste schades. Overigens wordt er over dit soort aanvallen te gemakkelijk gedacht. Het weer op orde krijgen van de data en het erstellen van systemen verloopt niet altijd vlekkeloos en kan veel tijd kosten. Back ups zijn tegenwoordig ook aangetast. Bijna altijd is er specialistische ondersteuning nodig en herstel kan dagen of weken duren. De kosten of verliezen kunnen dan zo een factor 10 bedragen van het te betalen ransomware bedrag.

“Er zijn verzekeraars die nog maar een deel van de schade vergoeden bij een ransomware aanval. Zelf ben ik daar geen voorstander van. Ik zie liever dat er meer eisen gesteld worden aan de cyberweerbaarheid om dit soort aanvallen en schades te voorkomen. Het cyberlandschap verandert razendsnel. Dat is een reden om je niet blind te staren op alleen een bepaald soort dreigingen.”

Praktijktips

Van Gijzel: “Om een cyberverzekering te adviseren hoef je geen specialist te zijn op het gebied van IT. Waar het om gaat is dat je in kaart brengt of deze risico’s de continuïteit van een onderneming in gevaar kunnen brengen. Voor de inhoudelijke adviezen op het gebied van preventie en schadebeperking is het zaak de juiste partners te hebben. Voor een cyberverzekering is dit een ITbeveiligingsbedrijf.

“Probeer het analyseren van het cyberrisico op de directie agenda als onderdeel van bedrijfsanalyse te krijgen. Geef aan dat advies van eigen ICT-mensen bij de klant vaak een lagere risico inschatting geeft dan externe deskundigen waaronder verzekeraars en hun eventuele hulppersonen. Voldoet het bedrijf aan de regels van AVG? Breng de internet-afhankelijkheid van een bedrijf of instelling en gevoeligheid van de persoonsgegevens in kaart.”

De Jonge: “Ik beperk me tot één tip: bepaal of je je dit onderwerp eigen wilt maken. Dat betekent dat je er tijd in moet steken. Naast verzekeringskennis moet je ook kennis van het risico hebben. Begin er anders niet aan. Er zijn te veel valkuilen. Anders kun je het adviestraject beter overlaten aan een collega. Zorg hoe dan ook dat je relatie goed ondersteund wordt, want de kans op schade is op dit moment aanzienlijk.”

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• aon