Een gespecialiseerde cyberrisicoverzekering op maat biedt een antwoord op de toegenomen dreiging én schade door cyberrisico’s. Toch dienen bedrijven in de eerste plaats preventieve maatregelen te nemen. Ook daar kan de verzekeraar en makelaar een belangrijke ondersteunende rol in spelen.
Welke uitdagingen stellen zich vandaag inzake het verzekeren van cyberrisico’s?
Anne-Sophie Coppens, Cyber Practice Leader BeLux bij Marsh: “De hoeveelheid cyberrisico’s neemt ieder jaar toe en bovendien wordt hun impact steeds groter. We worden door de digitalisering nu eenmaal alsmaar afhankelijker van technologie en IT. Dat geldt trouwens voor zowel kleine als grote bedrijven – cybercriminelen viseren iedereen. Ook de manier waarop we moeten omgaan met risico’s is geëvolueerd. We bieden in dat kader al meerdere jaren gespecialiseerde cyberrisicopolissen aan met aangepaste clausules, in plaats van bijvoorbeeld een algemene verzekering burgerlijke aansprakelijkheid waar cyberrisico’s slechts een klein deel van uitmaken en maar deels gedekt zouden zijn. In 2017 en 2018 was er echter een veel groter aanbod aan zulke verzekeringen dan dat er vraag was, waardoor de prijzen hiervan relatief laag lagen.” “Omdat het aantal risico’s en hun impact echter bleven stijgen, groeide de discrepantie tussen de prijs en de risico’s die moesten worden gedekt. Het portfolio van de verzekeraars dreigde dus uit balans te raken. Daarom zijn de premies intussen gestegen en bepaalde dekkingen gedaald. Vandaag wordt niet meer elk risico zomaar verzekerd. Ook worden verzekeringen nu afgestemd op het type en de grootte van het bedrijf, de sector,…”
Op welke manieren onderscheidt een gespecialiseerde cyberrisicopolis zich van een algemene verzekering?
Tim Merci, Head of Marsh Consulting Solutions BeLux: “Cyberrisicopolissen adresseren drie risico’s die traditionele polissen niet dekken. Ten eerste ben je ook verzekerd voor het omzetverlies dat ontstaat omdat je business stilligt terwijl een datalek moet worden “Preventieve maatregelen en cyberverzekering vullen elkaar aan” Een gespecialiseerde cyberrisicoverzekering op maat biedt een antwoord op de toegenomen dreiging én schade door cyberrisico’s. Toch dienen bedrijven in de eerste plaats preventieve maatregelen te nemen. Ook daar kan de verzekeraar en makelaar een belangrijke ondersteunende rol in spelen. Tekst: Joris Hendrickx geïdentificeerd en opgelost. Ten tweede zijn de bijkomende kosten gedekt, denk maar aan het herstellen van de integriteit van interne en externe systemen en processen, maar ook van beschadigde eigendommen. Ten derde is er de aansprakelijkheid ten aanzien van derden: ook de schade die door een cyberincident ontstaat bij je klanten, leveranciers of andere betrokken partijen is verzekerd.”
Onze verzekeraars gaan aan de slag met een checklist van twaalf punten. Afhankelijk van de score van bedrijven op al deze twaalf controles krijgen zij een bepaalde dekking, vrijstelling en limiet toegewezen.
Hoe gaan jullie tewerk bij het samenstellen van een verzekeringspolis op maat?
Coppens: “Om te beoordelen of een bedrijf verzekerbaar is en hoe die verzekering dan best is opgebouwd, kijken wij naar bepaalde basiselementen. Die hebben we in een gebruiksvriendelijke en overzichtelijke tool gegoten. Zo hoeven onze verzekeraars niet meer voor iedere klant een reeks van uiteenlopende vragen te stellen, maar kunnen zij steeds terugvallen op deze gestandaardiseerde checklist. Deze kan trouwens al vanaf de eerste assessment worden gebruikt als leidraad om te werken aan het verbeteren van de risico’s. Concreet bestaat de checklist uit twaalf controles: multi factor authentication, endpoint detection, secured & encrypted backup, privileged access, e-mail filtering & web security, patch management,… Afhankelijk van de score van bedrijven op al deze twaalf controles krijgen zij een bepaalde dekking, vrijstelling en limiet toegewezen.”
Wist je dat?
■ Bijna 75% van de organisaties wereldwijd heeft al te maken gekregen met cyberaanvallen.
■ 61% van de organisaties heeft een verzekering die bescherming biedt tegen de gevolgen van cyberrisico’s.
■ Slechts 3% van de organisaties beoordeelt zijn algemene cyberhygiëne als ‘excellent’, terwijl 40% toegeeft dat verbetering mogelijk is.
■ Slechts 26% van de organisaties meet de financiële schade van cyberrisico’s.
■ 64% van de organisaties geeft toe dat ze hun investeringen in cyberbeveiliging pas hebben verhoogd na een aanval te hebben ervaren.
■ 43% van de organisaties heeft een risicobeoordeling uitgevoerd bij de partners waarmee ze zijn verbonden in de waardeketen.
In welke zin gaan jullie verder dan enkel het verzekeren van cyberrisico’s?
Merci: “De door ons ontwikkelde tool kan bedrijven ook helpen om een grondige self assesment uit te voeren en op basis daarvan de juiste prioriteiten en investeringen te bepalen op het vlak van cyberveiligheid. Aanvullend kunnen wij dan met onze ruime kennis binnen dat domein een adviserende rol opnemen en extra hulp bieden bij het inzichtelijk maken van alles wat cyberveiligheid betreft.”
Coppens: “Een cyberverzekering is inderdaad slechts één onderdeel van een goed beleid op het vlak van cyberveiligheid. We raden bedrijven steeds een holistische aanpak aan: neem eerst zoveel mogelijk preventieve maatregelen die een positieve impact hebben op je verzekeringspremie, waardoor je vervolgens een lagere vrijstelling kan nemen. Een verzekering is daarna je laatste verdedigingslinie wanneer het toch fout loopt. Bij die analyse en denkoefening is het cruciaal dat iedereen in je bedrijf mee is, en dus niet enkel de CIO en de IT-afdeling. Je cyberrisico’s verminderen, is een globaal project en vergt een goede wisselwerking tussen de diverse stakeholders.”