Cybercriminaliteit is een verzamelnaam voor bijvoorbeeld fraude, diefstal of afpersing via internet. Zo kunnen criminelen identiteitsgegevens stelen om mee te frauderen. Ook proberen ze computers of servers onbruikbaar te maken om vervolgens losgeld te vragen. Ondernemers lopen daardoor het risico dat de bedrijfscontinuïteit in gevaar komt of klantgegevens op straat komen te liggen met reputatieschade en verlies van klanten tot gevolg. Hand over hand neemt het aantal cyberaanvallen toe, met als doel het gijzelen van systemen en het vragen van losgeld. Deloitte schatte het totale waardeverlies door cyberrisico’s voor de grootste Nederlandse bedrijven en overheid in al 2016 in op 10 miljard euro per jaar.

Naast criminaliteit en vandalisme kunnen er in de digitale wereld ook andere dingen misgaan, waardoor systemen falen, gegevens kwijtraken en schade ontstaat. Menselijk handelen is daar vaak de oorzaak van, door het niet goed uitvoeren van protocollen, gemakkelijk te achterhalen wachtwoorden en andere onzorgvuldigheden. Maar ook het systeem zelf kan falen door een bug of softwarefout.

Ondanks de toename van cyberrisico’s is het verzekeren van deze risico’s (particulier en zakelijk) nog niet zo vanzelfsprekend in Nederland. Daarvoor zijn drie oorzaken:

• Burgers en bedrijven zijn zich nog niet voldoende bewust van de risico’s.
• Soms bestaat het beeld dat cyberrisico’s verzekerd zijn op bestaande verzekeringen zoals (bedrijfs-)aansprakelijkheid, elektronica en brand. Ook wel de zogenaamde stille cyberdekking genoemd. Helaas is dat in de meeste gevallen niet zo.
• Het kleine aanbod in cyberverzekeringen. Het Centraal Planbureau (CPB) concludeert dat gebrek aan inzicht in kosten en baten van cyberveiligheid een belemmering is voor de ontwikkeling van een verzekeringsmarkt voor cyberrisico's. Inmiddels bieden ruim tien verzekeraars cyberdekking aan. Met name aan bedrijven, en beperkt ook aan particulieren.

Premievolume cyberverzekeringen

Volgens het Data Analytics Centre van het Verbond bedraagt de bruto premieomzet van cyberverzekeringen in Nederland ongeveer 65 miljoen euro (2022). Een bescheiden omvang in vergelijking met de ruim 2 miljard dollar in de Verenigde Staten. Ook ten opzichte van de bruto premieomvang van de totale Nederlandse schadeverzekeringsmarkt in 2022 (15,5 miljard euro) is het aandeel cyberverzekeringen klein.

Zakelijke markt

Hoewel het premievolume de afgelopen jaren wel is toegenomen en Nederland het in vergelijking met andere Europese landen niet slecht doet, blijven de absolute aantallen klein. Zeker gezien de dichte ICT-infrastructuur in ons land. Daarnaast geldt het overgrote deel van het aanbod aan cyberverzekeringen voor de zakelijke markt. De markt voor particulieren staat nog veel meer in de kinderschoenen. Een deel van de cyberrisico’s wordt gedekt via traditionelere verzekeringen, zoals aansprakelijkheid en brand.

Totaalpakket

Zakelijke cyberverzekeringen bieden een totaalpakket, zie de grafiek. Dat bestaat onder andere uit:

• Advies om cyberrisico’s in kaart te brengen en maatregelen te treffen.
• Hulp als het toch mis gaat in de vorm van juridische, forensische, technische en communicatieve bijstand.
• Herstel van schade zoals vervanging van computers, systemen, software en datarecovery.
• Vergoeding van geleden financiële schade.

Verzekeraars werken hierbij vaak samen met partners op het gebied van IT, security, wet- en regelgeving, forensisch en communicatie.

Grafiek: Percentages dekking op een cyberverzekering (pakket)

Risicoklassenindeling Digitale Veiligheid

Met behulp van de Risicoklassenindeling Digitale Veiligheid krijgen ondernemers en bedrijven inzicht in de cyberrisico’s en informatie over preventiemaatregelen. Aan de hand van elf vragen wordt een inschatting gemaakt van het risico op een cyberaanval. Deze inschatting bepaalt in welke risicoklasse een onderneming valt en welke concrete preventiemaatregelen genomen kunnen worden. Het Verbond is nauw betrokken geweest bij de ontwikkeling van deze tool.

SIVI-codes voor registreren schadeoorzaak

Het kennis- en standaardisatie-instituut voor de financiële dienstverlening, SIVI, publiceert binnenkort de eerste codes schadeoorzaken voor de branche Cyberverzekeringen. Deze zijn in overleg met het platform Cyber ontwikkeld. Het doel van deze codes is om duidelijkheid in de sector te bewerkstelligen door gebruik te maken van specifieke codes tijdens het registreren van een schadeoorzaak. Deze codes vloeien voort uit de onderverdelingen van hoofd- en subcategorieën. De hoofdcategorieën voor schadeoorzaken zijn onderverdeeld in: criminaliteit, diefstal en menselijk handelen. Vervolgens komen de specifiekere subcategorieën die nader onderverdeeld worden in de specifieke schadeoorzaken zoals bijvoorbeeld: phising, data-lek, ransomware etc. In de komende tijd zullen wij ervaren hoe de codes zich in de verzekeringssector uitbreiden en of deze eventueel verdere aanvullingen behoeven.

Marktmonitor

Wat speelt zich af binnen de sector in het kader van cyberverzekeringen? Deze vraag wordt eens per jaar beantwoord met de marktmonitor van het Verbond. Op deze manier worden de trends op de markt bijgehouden.

MKB-Nederland / VNO-NCW

Het Verbond participeert ook in de werkgroep Cyber van MKB-Nederland en VNO-NCW. Deze werkgroep richt zich op het bevorderen van risicobewustzijn van (mkb-)ondernemers en ontwikkelt branche-specifieke instrumenten onder de noemer ‘Samen Digitaal Veilig’.

De Vereniging Nederlandse Assurantiebeurs (VNAB) heeft een handleiding opgesteld voor verzekeringsadviseurs en bedrijven over het afsluiten van een cyberverzekering. Het doel van de handleiding is om inzicht te geven in de betekenis van een cyberverzekering en de wijze waarop deze in met name de co-assurantie / (groot) zakelijke markt tot stand komt.

Ook voor kleinere bedrijven biedt deze handleiding nuttige informatie over welke dekking cyberverzekeringen zoal bieden, welke voorwaarden worden veelal gehanteerd en welke preventieve maatregelen minimaal vereist zijn.

Incidenten bij onder andere de Universiteit Maastricht en de gemeente Hof van Twente hebben de discussie over het (verzekeren van) betalen van losgeld aangezwengeld. De politiek, de minister van Justitie en Veiligheid en de politie roepen op om nooit losgeld te betalen, maar de dagelijkse praktijk is weerbarstig. Nynke Brouwer promoveerde op een proefschrift over cyberverzekeringen. Zij noemt een verbod zinloos: “Het leidt niet per se tot minder uitbetalingen.” Een gesprek over haar proefschrift, de rol van verzekeraars en de zin en onzin van losgeld lees je hier. 

Verzekeraars voorkomen betalen van losgeld 

Verzekeraars doen er alles aan om te voorkomen dat een bedrijf na een hack losgeld moet betalen. De minister pleit voor een verbod op het verzekeren van vergoeden van losgeld. Het Verbond wijst er echter op dat dit in de praktijk heel weinig oplevert en zelfs averechts werkt. Verzekeraars zorgen er namelijk voor dat bedrijven niet ingaan op losgeld-eisen en er eerst alles aan doen om het probleem op andere manieren op te lossen. Verzekeraars maken daarvoor veel extra kosten voor onder andere technisch en forensisch onderzoek. Hulpverlening en vergoeding van kosten vallen al onder de dekking. Daarmee kunnen ondernemers concreet worden geholpen en kan betaling van losgeld vaak worden voorkomen of het losgeldbedrag wordt significant verminderd.

Tijdens de livestream Security, risico en claims in balans is een start gemaakt met de discussie over dit onderwerp, die vervolgens tijdens enkele ronde tafelgesprekken is voortgezet. 

Meer weten?

• Nomoreransom.org | Dit initiatief biedt hulp bij het ontsleutelen van digitale bestanden zonder de criminelen te betalen.
• Taskforce Ransomware | Een initiatief van de politie om de lucratieve ransomware-economie over de volle breedte te bestrijden.
• BNR-podcast: Betaal nooit bij een ransomware-gijzeling | In deze podcast discussiëren Marijn Schuurbiers (Team High Tech Crime van de politie) en Jort Kollerie (Orange Cyberdefense) over de grootste bedreigingen van dit moment op het gebied van cybersecurity.
• Samen tegen cybercrime | Een stappenplan van de politie

Ook de eigen cyberveiligheid van verzekeringsmaatschappijen is van groot belang. Om een operationele bijdrage te leveren aan de cyberveiligheid van de sector zélf, vindt dienstverlening plaats via het Computer Emergency Response Team (i-CERT) voor de verzekeringssector. Hiernaast is er een speciaal platform (Insurance ISAC) voor Chief Information Security Officers (CISO’s) van verzekeraars. Deze jaagt kennisdeling aan en draagt daarmee bij aan een digitaal veilige bedrijfsvoering door verzekeraars.

i-CERT

Het (i-CERT) wordt ondersteund door het Verbond's Centrum Bestrijding Verzekeringscriminaliteit (CBV). Deze centrale dienst informeert en adviseert verzekeraars doorlopend over actuele cyberbedreigingen en coördineert waar nodig collectieve acties.

Interviews over cyberveiligheid van verzekeraars (2020/2021)

• Hoe goed zit onze digitale voordeur op slot?
• Verzekeraar kan ontwikkelingen niet in z'n eentje bijbenen
• Bestuur verzekeraar kan IT security kennis versterken
• Oefenen met phishing loont

De toename in het aantal cyberaanvallen leidt ertoe dat verzekeraars steeds kritischer worden wat betreft het verzekeren van cyberrisico’s. De cyberverzekeringsmarkt in Nederland is relatief klein en volop in beweging. Mede als gevolg hiervan stellen verzekeraars zich verschillend op wanneer het aankomt op de het dekken van deze risico’s.

De ongrijpbaarheid van cyberrisico’s, vanwege een gebrek aan data en de kans op opeenstapeling van incidenten (en daarmee zeer grote schades), kunnen leiden tot het stellen van (extra) eisen aan preventie, het limiteren van maximale schadevergoedingen, aanpassingen in premies of zelfs het stoppen met het verzekeren van deze risico’s. Elke verzekeraar maakt hierin zijn eigen afweging.

In de VS en ons omringende landen, zoals Duitsland, Frankrijk en het Verenigd Koninkrijk, zijn vergelijkbare ontwikkelingen gaande.