Niet natuurrampen maar cyberaanvallen dreigen over niet al te lange tijd onverzekerbaar te worden. Voor verzekeringsmaatschappijen wordt het zo langzamerhand ondoenlijk deze risico’s te dekken. Als het aantal en de ernst van cyberaanvallen blijven toenemen, is het einde in zicht.
Mario Greco, topman van de grote verzekeraar Zurich, waarschuwt hiervoor in een recent interview met de Britse zakenkrant Financial Times. Zijn nieuwjaarsboodschap zal ertoe leiden dat cybersecurity nog hoger op de agenda van topmanagers, ziekenhuisdirecteuren en gemeentelijke bestuurders komt te staan.
Verzekeraars hebben de afgelopen tijd al harde taal laten horen over systeemrisico’s als de pandemie en de klimaatverandering. Maar deze risico’s vallen volgens Greco in het niet bij de stroppen die dreigen bij ransomware en andere cyberaanvallen.
De topman van Zurich, ook in Nederland en België actief met cyberverzekeringen, ziet onbeheersbare risico’s. Hij vraagt zich af wat de gevolgen zijn als aanvallers de controle over vitale delen van onze infrastructuur overnemen. Greco wijst op de talrijke aanvallen op ziekenhuizen, het uitschakelen van pijpleidingen en het hacken van overheidsinstanties.
Volgens Greco concentreerde de aandacht zich daarbij op het privacyrisico voor individuen. Daardoor werd het grotere plaatje gemist, aldus de ceo van Zurich. Hij licht toe: ‘Ten eerste moet er een perceptie zijn dat dit niet alleen gegevens zijn..dit gaat over beschaving. Deze mensen kunnen ons leven ernstig ontwrichten.’
Stijgende premies
Overigens hebben de assuradeurs al de nodige maatregelen genomen om de financiële risico’s die ze lopen, te beperken. Zo zijn polisvoorwaarden in het nadeel van de verzekerden aangepast. Sommige cyberverzekeringen dekken geen schade meer als de aanvallen door statelijke actoren zijn gedaan. Ruim drie jaar geleden wees Zurich in eerste instantie een 100 miljoen dollar tellende claim van Mondelez af, toen dat voedingsmiddelenconcern slachtoffer werd van de notoire nonPetya-aanval. Volgens de verzekeraar betrof het een ‘oorlogszuchtige actie’ aangezien nonPetya zich oorspronkelijk richtte op het uitschakelen van de stroomvoorziening in Oekraïne. Later wisten Zurich en Mondelez een schikking te bereiken.
Afgelopen september drong Lloyd’s of London er bij zijn leden op aan de schade als gevolg van aanvallen van staatshackers uit te sluiten van dekking. Een andere maatregel is klanten te weigeren die niet aan bepaalde veiligheidseisen voldoen. Over de hele linie genomen stijgen de premies voor cyberverzekeringen sterk. In 2021 namen de premies gemiddeld 74 procent vergeleken met 2020, zo bleek uit onderzoek van Nationale Nederlanden, Dealroom.co, Mundi Ventures en Mapfre. In 2022 is die stijging voortgezet. Ook denken de verzekeraars aan publiek-private samenwerkingen waarbij de overheid een deel van de systeemrisico’s overneemt.
Niks bijzonders. Als je je keukendeur van het slot laat krijg je ook geen inbraakverzekering meer. Ook al noem je het dan een ‘inbrekersaanval’. En ook al noemt staatssecretaris Van Huffelen het ‘onacceptabel’ dat overheden niet aan securityregels voldoen.
Praktijk is dat er nauwelijks sanctie op staat, dan wel deze wordt gesocialiseerd naar consument/belastingbetaler.
En “het privacyrisico voor individuen” valt best mee. Want ook dat vindt niemand belangrijk. Sancties zijn er nauwelijks of worden door de rechter gemitigeerd, en vervolgens gesocialiseerd.
De rechter is intussen van oordeel dat er uitsluitend aanleiding is tot schadevergoeding indien er aantoonbaar schade is geleden. Vergoeding voor privacy-inbreuken, ook al waren deze het gevolg van onvoldoende systeembeveiliging, is dus principieel op € 0,00 gesteld.
Ga er maar aan staan als consument/belastingbetaler.
“Sommige cyberverzekeringen dekken geen schade meer als de aanvallen door statelijke actoren zijn gedaan” En dat zou volgens Lloyd’s ook nog eens de norm moeten gaan worden. De grote cybercriminele organisaties zijn meestal of statelijke actoren of werken samen met ze via een verborgen p.p.p. constructie. De criminele activiteiten worden bovendien veelvuldig als een dienst verkocht, zoals ddos aanvallen of hack tools. Daardoor kan je aanvallen door kleine boeven vaak aan een statelijke actor koppelen. Worden al die aanvallen straks onverzekerbaar?
Je moet sowieso de kleine lettertjes van de verzekeraars goed lezen, want ook zonder activiteit van een statelijke actor zijn allerlei vormen van first party en third party schade niet verzekerd. Ook is de omvang van de dekking per kalenderjaar vaak zeer beperkt en beperken cloud leveranciers hun aansprakelijkheid naar de afnemers.
Een cyberverzekering voor een klein bedrijf kost ca. € 500 per jaar, voor het middenbedrijf kan het al gauw om € 5000 gaan. Multinationals betalen zich vaak blauw, maar lopen ook giga risico’s. Gezien de premiestijgingen van de laatste jaren, kan dat over een paar jaar wel 3-4 keer hoger zijn. De kans op een geslaagde cyberaanval wordt steeds groter. Voor bedrijven is die nu ca.20% per jaar. Dus kan je beter vooral blijven investeren in beveiliging en zeker ook in snel herstel (ook organisatorisch).
Als veel bedrijven en instantie zo nonchalant met risico’s blijven omgaan zoals P.J Westerhof aangeeft, dan is de kans dat je indirect betrokken raakt is natuurlijk veel groter dan 20% per jaar. De kans op een privacy-inbreuk is nu enkele keren per jaar. Sneu voor de kleine man dat de vergoeding principieel op € 0,00 is gesteld. 😉