Datalekken, virussen, malware, hackers. De schade loopt op en bedrijven zijn voortdurend op achtervolgen aangewezen. ‘De massale aanvallen zijn vervangen door een heel gericht businessmodel.’
Cyberverzekeringen zitten nog niet zo lang in het aanbod van verzekeraars. Pas toen Europa in 2013 begon met het plannen van het harmoniseren van de Europese wetgevingen op privacy schreven meer verzekeraars cyberpolissen uit. De nadruk lag vooral op inbreuken op privacy, diefstal van bankrekeningen of het lekken van vertrouwelijke informatie.
Bedrijven gijzelen door hun computersystemen te vergrendelen, of daarmee dreigen - de ransomware-aanval -, is het meest succesvolle businessmodel van cybercriminelen. Elke organisatie of onderneming die afhankelijk is van een computersysteem of data bijhoudt, is een potentieel doelwit, ongeacht omvang of sector.
Nieuwe risico’s
‘We zien dat bijvoorbeeld ook manufacturingbedrijven op de radar van hackerscollectieven zijn verschenen sinds ze hun processen steeds meer zijn gaan digitaliseren’, vertelt Frederic De Blieck, Underwriting Manager Financial Lines bij AIG. ‘Van buitenaf kan men hun productieprocessen platleggen en het is voor dat soort bedrijven veel moeilijker om hun productie en omzet nog in te halen’.
We merken nu dat cybercriminelen toeleveranciers en externe dienstverleners in het vizier nemen omdat ze via die weg meerdere bedrijven tegelijk kunnen aanvallen.
‘De laatste drie jaar zien we de cyberrisico’s veranderen’, zegt Frank Vanhoonacker, Underwriting Manager Professional Liability and Cyber bij AIG. ‘Afpersing door diefstal van gegevens of gewoon het encrypteren van computersystemen komen nu vaker voor.’
Ernstige schade
Elke elf seconden vindt er, ergens ter wereld, een ransomware-aanval plaats. AIG zag het aantal schademeldingen sinds 2018 met 150 procent toenemen.
'Ik herinner me incidenten zoals de WannaCry-ransomware en de Petya-malware’, knikt De Blieck. ‘Dat waren massale aanvallen in de hoop dat er ergens iemand op een link klikt, vast komt te zitten en een klein bedrag betaalt om los te geraken. Dat evolueerde naar een bedrijfsmodel waarin een jager op de loer ligt, zijn prooien kiest en dan wacht om toe te slaan. Dit type van diepere, meer invasieve aanvallen zit enorm de laatste jaren in de lift. We merken nu eveneens dat cybercriminelen externe dienstverleners en/of toeleveranciers in het vizier nemen omdat ze via die weg meerdere bedrijven tegelijk kunnen raken’
‘Bovendien hebben we ook gemerkt dat de schade veroorzaakt door een aanval ernstiger wordt. Zo is de gemiddelde duur van netwerkonderbreking inmiddels gestegen tot zeven à tien dagen. Voor grotere bedrijven kan dit oplopen tot weken of maanden. De kosten als gevolg van een ransomware-aanval waarbij data reeds voor encryptie werden gestolen – wat een recente trend is – zijn bovendien dubbel zo hoog.’
Gedetailleerde risico-evaluatie
De negatieve evolutie van cyberrisico’s heeft een impact op de polisvoorwaarden die in de markt worden aangeboden. Terwijl de schade enorm oploopt, stijgen de premies, verhogen de vrijstellingen en gaan verzekerde bedragen naar omlaag. Bedrijven hebben meer spelers nodig om hun verzekeringstoren op te bouwen.
‘Specifiek met betrekking tot de polisvoorwaarden en het risico van afpersing en ransomware, zien we in de markt nu oplossingen waarbij de sublimieten, al dan niet in combinatie met een medeverzekeringsclausule, worden uitgewerkt’, zegt De Blieck.
De laatste drie jaar zien we de cyberrisico’s veranderen. Afpersing door diefstal van gegevens of gewoon het encrypteren van computersystemen komen nu vaker voor.
‘We besteden vandaag ook veel meer aandacht aan een gedetailleerde risico-evaluatie. Deze geeft ons een beter inzicht in het risico. Tegelijkertijd is de feedback die we aan de klant geven een extra service: hij krijgt een benchmark over de maturiteit van zijn beveiligingsniveau’, vult Vanhoonacker aan.
First response
Met de evolutie van de onderliggende risico’s is ook de rol van de verzekeraar veranderd. ‘AIG helpt haar klanten om zich beter te wapenen tegen ransomware en andere cyberdreigingen’, legt Vanhoonacker uit.
‘Enerzijds gebeurt dit in het kader van het onderschrijvingsproces, waarbij onze analyse en eventuele verbeteringspunten in de beveiliging met de klant worden besproken. Anderzijds stellen we als verzekeraar ook een reeks preventieve tools geheel kosteloos ter beschikking van onze klanten.’
‘Waar een verzekeraar klassiek tussenkomt ter vergoeding van geleden schade, hebben we bij AIG ook snel verstaan dat voor een afdoende cyberverzekering meer nodig was. Een ransomware-aanval vergt immers onmiddellijke technische bijstand’, zegt De Blieck.
‘Om die reden heeft AIG een First response lijn opgezet, waardoor klanten 24/7 toegang hebben tot IT-specialisten, juristen enzovoort om de eerste beslissingen te maken als er een crisis uitbreekt.’