Werk van cybercriminelen of een oorlogsdaad? Als een Amerikaanse rechter straks beslist dat de wereldwijde cyberaanval NotPetya uit 2017 niet meer dan het eerste was, kan dat een schokgolf sturen door de verzekeringssector.

Twee jaar geleden lanceerden hackers de grootste cyberaanval uit de geschiedenis. Maar de impact van de Wannacry-virussen en de NotPetya-gijzelsoftware, die dagenlang de IT-systemen van multinationals zoals de containerrederij Maersk of de Durex-fabrikant Reckitt Benckiser lamlegden, blijft nazinderen.

100 miljoen Claim Het Amerikaanse Mondelez eist een schadevergoeding van 100 miljoen dollar van zijn verzekeraar Zurich.

De aanval heeft nu zelfs geleid tot een juridische titanenstrijd tussen de Amerikaanse snoepgigant Mondelez, hier onder meer bekend als de eigenaar van de Côte d'Or-chocolade, en zijn verzekeraar Zurich. Mondelez beweert twee keer te zijn aangevallen door hackers, die duizenden laptops en servers gijzelden door er een virus op te installeren.

De Amerikaanse multinational claimt dat hij via zijn eigendomsverzekering voor die schade is ingedekt bij Zurich. Iets wat de Zwitsers nu ontkennen. De verzekeraar wil niet met geld over de brug komen omdat de NotPetya-aanval, waarvan wordt vermoedt dat de Russische overheid erachter zit, een 'vijandige of oorlogsdaad' is. Vergelijk het met de kleine lettertjes in uw brandverzekering: daar staat ook in te lezen dat schade als gevolg van oorlog of terreur niet wordt terugbetaald. Mondelez laat het daar niet bij en eist nu een schadevergoeding van 100 miljoen dollar.

'Stille verzekeringsrisico's'

Het juridisch potje armworstelen tussen Mondelez en Zurich lijkt misschien een ver-van-ons-bedshow. Maar als de rechter in het voordeel van Mondelez beslist, kan dat volgens experts verstrekkende gevolgen hebben voor heel de verzekeringssector.

Veel bedrijven hebben een brand- of aansprakelijkheidspolis die werd opgesteld toen van cyberrisico's nog geen sprake was. Die teksten zijn dubbelzinnig te interpreteren. Pedro Matthynssens CEO Vanbreda Risk & Benefits

'De zaak draait hier om zogenaamde stille verzekeringsrisico's', legt Pedro Matthynssens, de CEO van de Belgische verzekeringsmakelaar Vanbreda Risk & Benefits, uit. 'Veel bedrijven hebben nog een brand- of aansprakelijkheidsverzekering die werd opgesteld in tijden toen er van cyberrisico's nog geen sprake was. Die teksten zijn dan ook erg dubbelzinnig te interpreteren. Bij schade zal iedere partij ze in hun voordeel proberen te interpreteren. Het voordeel van zo'n rechtszaak als die tussen Mondelez en Zurich is dat er nu ten minste transparantie zal komen over wat wordt gedekt en wat niet.'

Als de rechter Mondelez gelijk geeft, kan dat wellicht heel de verzekeringssector veel geld kosten. 'Zowat in elke grote verzekeringsgroep zijn er vandaag 'risk managers' aan het werk om te berekenen hoe groot de 'stille risico's' wel zijn die dreigen uitbetaald te moeten worden', weet Matthynssens.

Cyberverzekeringen

Volgens de CEO is dat niet het enige probleem dat de branche boven het hoofd hangt. De klassieke brandverzekeringen en aansprakelijkheidspolissen mogen dan wel een update gebruiken, de voorbije jaren zijn steeds meer verzekeraars wel gespecialiseerde producten beginnen aanbieden waarmee bedrijven zich kunnen beschermen tegen de fall-out van een cyberaanval. Met succes: door het stijgende aantal cyberaanvallen en sinds de GDPR-datarichtlijn actief is, hebben steeds meer kmo's een cyberverzekering afgesloten.

In 2017 was het aantal cyberpolissen verdubbeld in vergelijking met een jaar voordien. Concrete cijfers voor 2018 zijn nog niet voorhanden, maar experts verwachten dat de trend vorig jaar aanhield.

Schermvullende weergave Pedro Matthynssens, de CEO van de Belgische verzekeringsmakelaar Vanbreda Risk & Benefits. ©rv

'Dat kan uiteindelijk een probleem worden', vermoedt Matthynssens. 'Cyberveiligheid is een mooie groeimarkt. Veel verzekeraars willen nu zoveel mogelijk marktaandeel veroveren. Daarbij beginnen ze volop polissen te verkopen, maar om hun premies te berekenen kunnen ze niet terugvallen op historische data.'

Speciaal fonds

Dat is enigszins naiëf, meent Matthynssens. 'Cyberaanvallen worden namelijk steeds meer een systeemrisico voor verzekeraars. Kleinere schadegevallen van enkele tienduizenden euro's kan je natuurlijk nog vrij gemakkelijk uitbetalen. Maar op termijn dreigen heel wat spelers in de branche geconfronteerd te worden met zoveel claims dat ze die niet meer allemaal kunnen uitbetalen, vrees ik.'

'Steeds meer bedrijven bewaren hun data namelijk niet langer in eigen serverparken, maar doen daarvoor een beroep op de clouddiensten van grote spelers zoals Amazon of Microsoft. Maar je kan je bijna niet inbeelden wat er gebeurt als die cloudspecialisten gehackt worden: verzekeraars zullen worden geconfronteerd met claims die ze simpelweg niet kunnen dragen', zegt de topman.

Lopen ook de Belgische verzekeraars dit risico? Volgens Matthynssens valt dat nog mee. 'Het zijn vandaag vooral de buitenlandse spelers die dergelijke cyberpolissen aanbieden. Maar je kan dergelijke grote risico's niet alleen dragen. Na de terreuraanslagen in New York en Madrid hebben de verzekeringsmaatschappijen een gezamenlijk fonds opgericht om slachtoffers te kunnen vergoeden. Indien nodig worden ze daarbij gesteund door de overheid. De risico's die aan cyberaanvallen kleven zijn intussen zo groot geworden dat bij de verzekeraars de geesten aan het rijpen zijn om ook hiervoor een gemeenschappelijk fonds op poten te zetten.'