Cyberverzekeringen winnen aan populariteit. Waar verzekeraars claimen dat bedrijven hiermee de risico’s rondom cybercriminaliteit afdekken, daar stellen critici dat zo’n verzekering niet meer dan schijnveiligheid biedt en organisaties ontslaat van de verantwoordelijkheid hun cybersecurity op orde te brengen. De waarheid ligt ergens in het midden.
Een veelgehoord argument om geen cyberverzekering af te sluiten, is dat de verzekering toch niet alles dekt. Inderdaad, zelfs de meest uitgebreide cyberverzekering dekt niet alle schade als gevolg van een cyberincident. Voor dit artikel heb ik de polisvoorwaarden van een populaire cyberverzekering bekeken. Het document bevat een hele trits aan uitsluitingen. De klant is bijvoorbeeld niet verzekerd tegen diefstal van bedrijfsgeheimen en schade door opzet.
Het is niet verwonderlijk dat verzekeraars een uitweg zoeken als de schade tientallen miljoenen euro’s bedraagt. Dat is al gauw het geval bij een grote cyberaanval op een multinational. Bedrijfsprocessen komen dagen- of wekenlang stil te leggen. Duizenden systemen moeten worden gerepareerd of vervangen. En dan hebben we het nog niet eens over zaken zoals losgeldbetalingen, misgelopen inkomsten en reputatieschade. Zelfs voor kapitaalkrachtige verzekeraars komen die hard aan.
Juridische conflicten
In de praktijk leidt de dekking soms zelfs tot juridisch gesteggel. Dat overkwam Mondelēz International toen de voedselfabrikant in 2017 zwaar werd getroffen door de NotPetya-malware. De aanval maakte 1.700 servers en 24.000 laptops onbruikbaar. Totale schade: honderd miljoen dollar. Eerst beloofde verzekeraar Zurich American direct tien miljoen dollar uit te keren, maar daar kwam het bedrijf snel op terug. Meer, het weigerde de schade te vergoeden omdat de aanval een ‘oorlogshandeling’ zou zijn. In de poliswaarden stond een uitsluiting voor dergelijke schade. Mondelēz sleepte de verzekeraar voor de rechter.
Ook bij farmareus Merck richtte NotPetya een ravage aan. Ruim dertigduizend computers en 7.500 servers gingen op zwart. De aanval zorgde ook voor een ernstige verstoring van de productiefaciliteiten. Hierdoor kon Merck niet voldoen aan de vraag naar een vaccin. Merck dacht voor 1,75 miljard dollar verzekerd te zijn via een eigendomsverzekering. Maar van de dertig (her)verzekeraars weigerde de meerderheid uit te keren. Ook hier werd de ‘act of war’-uitsluiting aangehaald. Merck stapte naar de rechter om 1,3 miljard dollar aan schade te claimen.
Gemakzucht dreigt
Er is nog een andere reden waarom cyberverzekeringen in de securitywereld met argusogen worden bekeken: ze zouden voor gemakzucht zorgen. Een verzekering afsluiten is in de basis minder complex dan het implementeren en uitvoeren van een solide securitystrategie.
Ook zijn de kosten van een cyberverzekering te overzien. Dat geldt niet altijd voor securitymaatregelen. Veel bedrijven hebben een beperkt budget om cyberrisico’s af te dekken. ‘Waarom zouden we nog investeren in cybersecurity als we ons kunnen verzekeren tegen cybercriminaliteit?’ Een gevaarlijke opmerking.
Hand in hand met security
Ik ga niet mee in de scepsis ten opzichte van cyberverzekeringen. Allereerst lijkt me niet dat de genoemde incidenten representatief zijn voor de branche. Nederlandse cijfers heb ik niet kunnen vinden, maar in het Verenigd Koninkrijk werd maar liefst 99 procent van de schadeclaims in 2018 uitbetaald. Daarnaast gaan veel verzekeringen gepaard met verplichte securitymaatregelen, zoals een goede wachtwoordhygiëne, het automatisch updaten van software en het maken van externe backups. Zijn deze maatregelen niet genomen, dan wordt eventuele schade niet vergoed. Het is dus geen keuze tussen verzekeringen of investeren in cybersecurity.
Voor dit artikel heb ik me bij wijze van experiment aangemeld voor zo’n verzekering. Onderdeel van dit traject is een snelle risicoscan. In ongeveer tien minuten moet je allerlei vragen beantwoorden over de aard en omvang van het bedrijf, de branche, getroffen securitymaatregelen, de mate van inzicht in de it-omgeving en aanwezige kennis van informatiebeveiliging. Vervolgens ontvang je een rapport waarin het risiconiveau wordt geschetst. De verzekeraar draagt daarin gerichte maatregelen en best practices aan om de security naar een hoger niveau te tillen.
Groeiende bewustwording
Kortom, sommige verzekeraars doen echt wel hun best om klanten digitaal weerbaarder te maken. Dat is ook in hun belang: hoe kleiner het risico op een cyberincident, hoe meer er overblijft van de betaalde premies. Ik bekijk het graag positief. Een bedrijf dat zo’n verzekering overweegt, is zich in elk geval bewust van de risico’s rondom cybercriminaliteit. En waarom zou een cyberverzekering geen aanvulling kunnen zijn op een securitystrategie? Vaak reiken verzekeraars bijvoorbeeld procedures en middelen voor effectieve incident-response aan. Dat is toch handig?
Er zijn evenwel ook zaken waar ik minder enthousiast over ben. Zo vraag ik me af of het wenselijk is dat verzekeraars de betaling van losgeld na een besmetting met ransomware vergoeden. Hiermee houden zij het verdienmodel van cybercriminelen in stand, zoals minister Grapperhaus terecht opmerkte. Daarnaast is het cruciaal dat verzekeraars geen gouden bergen beloven. Zij moeten helder en transparant communiceren over de schade die de cyberverzekering niet dekt. En het belang benadrukken van cybersecurity als eerste verdedigingslinie.
Geen alternatief voor cybersecurity
Overweegt u een cyberverzekering af te sluiten? Zorg dan dat u weet waar u aan begint. Wat zijn de belangrijkste cyberrisico’s voor uw bedrijf? Sluit de gekozen cyberverzekering daarop aan? Welke uitsluitingen staan er in de polisvoorwaarden? Wat betekent dat voor uw situatie? Wat is de totale schade van een ernstig cyberincident bij uw organisatie en valt dit binnen het verzekerde bedrag dat u voor ogen heeft? Staat de potentiële schade in verhouding tot de premie? Pas als u deze vragen heeft beantwoord, is de juiste keuze te maken.
Ik kan u niet vertellen of een cyberverzekering bij uw organisatie past. Deze afweging moet iedereen voor zichzelf maken. Maar laat één ding duidelijk zijn: een cyberverzekering is nooit een alternatief voor een goede basisbeveiliging. Denk aan antimalware, een strikt patch- en wachtwoordbeleid, backups, e-mailsecurity en awareness-trainingen voor het personeel. Breng altijd eerst deze basis op orde en kijk dan pas naar aanvullende maatregelen, zoals een cyberverzekering.
Het advies komt neer op het niet afsluiten van een brandverzekering terwijl je bezig bent rookmelders te installeren en het rieten dak te vervangen. Het lijkt me dat je juist dan zo’n verzekering nodig hebt! Oftewel, doe het precies omgekeerd: Sluit eerst een verzekering af, en ga dan pas over tot het nemen van de juiste maatregelen waarna je kan evalueren of de verzekering nog nodig is.