Cyber

Op deze pagina is ook content beschikbaar exclusief voor leden, Log in om toegang te krijgen tot deze content

Onze samenleving digitaliseert en het online zakendoen neemt, mede door corona, een grote vlucht. Die digitalisering brengt (nieuwe) risico’s met zich mee waar burgers en bedrijven zich niet altijd voldoende bewust van zijn. Dit blijkt onder andere uit het groeiend aantal cyberincidenten die grote impact hebben op bedrijven zoals problemen met de bedrijfscontinuïteit of reputatieschade. Om bewustwording te vergroten en het risico op schade door cyberincidenten te verkleinen, zet het Verbond van Verzekeraars zich op verschillende manieren in. Hoe? Dat lees je op deze webpagina.

Cyberrisico's en -criminaliteit

Cybercriminaliteit is een verzamelnaam voor bijvoorbeeld fraude, diefstal of afpersing via internet. Zo kunnen criminelen identiteitsgegevens stelen om mee te frauderen. Ook proberen ze computers of servers onbruikbaar te maken om vervolgens losgeld te vragen. Bedrijven lopen daardoor het risico dat de operationele continuïteit in gevaar komt of klantgegevens op straat komen te liggen met reputatieschade en verlies van klanten tot gevolg. Het aantal cyberaanvallen met als doel om systemen te gijzelen en losgeld te vragen, neemt hand over hand toe. Deloitte schatte het totale waardeverlies door cyberrisico’s voor de grootste Nederlandse bedrijven en overheid in 2016 in op 10 miljard euro per jaar.

Naast criminaliteit (en vandalisme) kan er in de digitale wereld ook op verschillende andere manieren iets fout gaan, waardoor systemen falen, gegevens kwijtraken en schade ontstaat. Vaak ligt de oorzaak daarvan bij menselijk handelen. Het niet goed uitvoeren van protocollen, gemakkelijk te achterhalen wachtwoorden en andere onzorgvuldigheden. Maar ook het systeem zelf kan falen door een bug of een softwarefout.

Omvang cyberverzekeringsmarkt

Ondanks de toename van cyberrisico’s is het verzekeren van deze risico’s (particulier en zakelijk) nog niet zo vanzelfsprekend in Nederland. Enerzijds komt dit doordat burgers en bedrijven zich nog niet voldoende bewust zijn van de risico’s. Anderzijds bestaat soms het beeld dat cyberrisico’s verzekerd zijn op bestaande verzekeringen zoals bijvoorbeeld (bedrijfs-)aansprakelijkheid, elektronica en brand. Ook wel de zogenaamde stille cyberdekking genoemd. Helaas is dat in de meeste gevallen niet zo. En een derde aandachtspunt is het kleine aanbod van cyberverzekeringen. Het Centraal Planbureau (CPB) concludeert dat gebrek aan inzicht in kosten en baten van cyberveiligheid een belemmering is voor de ontwikkeling van een verzekeringsmarkt voor cyberrisico's. Inmiddels bieden ruim 10 verzekeraars cyberdekking aan. Met name aan bedrijven, maar meer beperkt ook aan particulieren.

Premievolume cyberverzekeringen

Volgens het Data Analytics Centre (DAC) van het Verbond bedraagt de bruto premieomzet van cyberverzekeringen in Nederland ongeveer 25 miljoen euro (2020). Een zeer bescheiden omvang in vergelijking met de ruim 2 miljard dollar in de Verenigde Staten. Ook ten opzichte van de bruto premieomvang van de totale Nederlandse schadeverzekeringsmarkt in 2020 (14,4 miljard euro) is het aandeel cyberverzekeringen klein.

Zakelijke markt

Hoewel het premievolume de afgelopen jaren wel is toegenomen en Nederland het in vergelijking met andere Europese landen zo slecht nog niet doet, blijven de absolute aantallen klein. Zeker gezien de dichte ICT-infrastructuur in ons land. Daarnaast heeft het overgrote deel van het aanbod van cyberverzekeringen in Nederland betrekking op de zakelijke markt. De markt voor particulieren staat nog veel meer in de kinderschoenen. Een deel van de cyberrisico’s wordt gedekt via meer traditionele verzekeringen, zoals aansprakelijkheid en brand.

Totaalpakket

Zoals weergegeven in de onderstaande grafiek bieden zakelijke cyberverzekeringen een zogenaamd totaalpakket. Dit pakket bestaat onder ander uit:

  • advies om cyberrisico’s in kaart te brengen en maatregelen te treffen;
  • hulp als het toch mis gaat in de vorm van juridische, forensische, technische en communicatieve bijstand;
  • herstel van schade zoals vervanging van computers, systemen, software en datarecovery;
  • vergoeding van geleden financiële schade.

Verzekeraars werken hierbij vaak samen met partners op het gebied van IT, security, wet- en regelgeving, forensisch en communicatie.

Grafiek: Percentage dekking op een cyberverzekering (pakket)

Ransomware en losgeld

Incidenten bij onder andere de Universiteit Maastricht en de gemeente Hof van Twente hebben de discussie over het (verzekeren van) betalen van losgeld aangezwengeld. De politiek, de minister van Justitie en Veiligheid en de politie roepen op om nooit losgeld te betalen, maar de dagelijkse praktijk is weerbarstig. Tijdens de livestream ‘Security, risico en claims in balans’ is een start gemaakt met de discussie over dit onderwerp, die vervolgens tijdens enkele ronde tafelgesprekken is voortgezet.

Verzekeraars doen er alles aan om te voorkomen dat een bedrijf na een hack losgeld moet betalen. De minister pleit voor een verbod op het verzekeren van vergoeden van losgeld. Het Verbond wijst er echter op dat dit in de praktijk heel weinig oplevert en zelfs averechts kan werken. Verzekeraars zorgen er juist voor dat bedrijven niet ingaan op losgeld-eisen en er eerst alles aan doen om het probleem op andere manieren op te lossen. Verzekeraars maken daarvoor veel extra kosten voor onder andere technisch en forensische onderzoek. Hulpverlening en vergoeding van kosten vallen al onder de dekking, waarmee ondernemer concreet worden geholpen en betaling van losgeld vaak kan worden voorkomen of het bedrag significant kan worden verminderd.

Meer weten? Hieronder vind je een aantal relevante link

  • Nomoreransom.org | Dit initiatief biedt hulp bij het ontsleutelen van digitale bestanden zonder de criminelen te betalen.
  • Taskforce Ransomware | Een initiatief van de politie om de lucratieve ransomware-economie over de volle breedte te bestrijden.
  • BNR-podcast: Betaal nooit bij een ransomware-gijzeling | In deze podcast discussiëren Marijn Schuurbiers (Team High Tech Crime van de politie) en Jort Kollerie (Orange Cyberdefense) over de grootste bedreigingen van dit moment op het gebied van cybersecurity.
  • Samen tegen cybercrime | Een stappenplan van de politie

Initiatieven Verbond

  • Platform Cyber – Het Verbond werkt aan de oprichting van een Platform Cyber dat zich specifiek richt op (beheersing van) cyberrisico's. De snelle digitalisering, versterkt door de coronacrisis toenemende aantallen en omvang van incidenten leidt tot de vraag of risico’s gedekt zijn in bestaande polissen (‘stille’ dekking) en welke dekking cyberverzekeringen bieden. De grenzeloosheid en ongrijpbaarheid van de risico’s en zorgen rond cumulatie leiden ook tot discussies over verzekerbaarheid van de risico's. Daarnaast zijn er de meer technische en ethische vragen over (verzekeren van vergoeden van) betalen van losgeld, privacy en delen van data. Zodra het platform van start is gegaan, zullen wij hierover communiceren.

  • Risicoklasse-indeling Digitale Veiligheid - Met behulp van deze risicoklasse-indeling krijgen ondernemers en bedrijven inzicht in de cyberrisico’s en informatie over preventiemaatregelen. Aan de hand van elf vragen wordt een inschatting gemaakt van het risico op een cyberaanval. Deze inschatting bepaalt in welke risicoklasse een onderneming valt en welke concrete preventiemaatregelen genomen kunnen worden. Het Verbond is nauw betrokken geweest bij de ontwikkeling van deze tool.

Cyberveiligheid verzekeraars

Enerzijds heeft het Verbond te maken met het aanbod van particuliere en zakelijke cyberverzekeringen. Anderzijds is ook de cyberveiligheid van verzekeringsmaatschappijen die lid zijn van het Verbond van groot belang. Om een bijdrage te leveren aan de cyberveiligheid, is het i-CERT ontwikkeld.

i-CERT

Het Computer Emergency Response Team voor de verzekeringssector (i-CERT) staat onder coördinatie van het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond. Deze centrale dienst informeert en adviseert alle aangesloten verzekeraars doorlopend over cyberbedreigingen en incidenten. Het maakt bedrijven digitaal weerbaarder en draagt bij aan verbetering van de informatiebeveiliging in de hele keten.

Interviews over cyberveiligheid van verzekeraars (2020/2021)

Laatst gewijzigd op:12-08-2021