‘De verzekerbaarheid van cyberrisico’s staat onder druk’

Terwijl misdaden van alle tijden zoals inbraak en diefstal sterk afnemen, groeit cybercriminaliteit spectaculair. De toegenomen frequentie en omvang ervan zijn zelfs zo indrukwekkend dat die jammerlijke trend verzekeraars wereldwijd het mes op de keel zet. Zij vergoeden de schade die cybercriminelen berokkenen aan bedrijven, maar dat wordt stilaan onhoudbaar. En dat ondanks het feit dat de premies en vrijstellingen voor bedrijven met een cyberverzekering ook de hoogte zijn ingeschoten. Is de logica zoek? Nee, de bescherming tegen digitale gevaren komt fors onder druk door de turbulente geopolitieke situatie.

Wat is de link tussen cyberverzekeringen en oorlog? In verzekeringspolissen is de dekking voor schade veroorzaakt door oorlog in de regel uitgesloten. De reden is eenvoudig: wanneer er oorlog uitbreekt, zijn verzekeraars niet in staat de immense schade die daarvan het gevolg is te vergoeden. Oorlogsvoering gebeurt steeds vaker, en in de meeste gevallen zelfs uitsluitend, digitaal. Grootmachten die elkaar bestoken met cyberaanvallen? Het is dagelijkse kost.

Opdrachtgevers en hackers worden ook steeds slinkser en professioneler. Precies achterhalen waar een cyberaanval vandaan komt, is niet altijd meer mogelijk. Alleen al de Russische cyberaanvallen hebben de verzekeringsindustrie al een fortuin gekost. Honderden bedrijven hebben sinds 2014 miljarden euro’s schade geleden door gerichte cyberaanvallen vanuit Oekraïne. Verscheidene verzekeraars weigerden die bedrijven te betalen. Ze verwezen daarbij naar de – weliswaar digitale – oorlogssituatie tussen Rusland en Oekraïne die voorafging aan de fysieke oorlog.

In de Verenigde Staten sleepte een chemie- en farmareus zijn verzekeraars voor de rechtbank voor een cyberschadeclaim uit 2017. Het bedrijf won de zaak tegen twintig verzekeraars, met een schadevergoeding van 1,4 miljard euro, omdat de uitsluiting in het geval van oorlog “alleen van toepassing is op de traditionele manier van oorlog voeren”, oordeelde de rechtbank. Dat was een fameuze opsteker voor dat bedrijf, maar een beslissing met mogelijk een wrange nasmaak. De uitspraak riskeert een pyrrusoverwinning te worden voor alle bedrijven die zich via een verzekering willen beschermen tegen de financiële gevolgen van cyberaanvallen.

Wat als een Russische cyberaanval die gestart is in Oekraïne door een Amerikaanse rechtbank niet wordt uitgesloten en verzekeraars daardoor voor de miljardenschade opdraaien? Dan zit er voor verzekeraars niets anders op dan zich op een andere manier te beschermen tegen de omvangrijke schadeclaims na cyberaanvallen. De verliezen die daarvan het gevolg zijn, kunnen het absorptievermogen van de verzekeringsmarkt ruim overschrijden.

Nieuwe versies van clausules voor uitsluiting op basis van oorlog in cyberpolissen zagen intussen het levenslicht. Als cybercriminaliteit zich voordoet in een land waarvan de regering meent dat ze het gevolg is van een aanval door een ander land of in opdracht van een ander land gebeurt, is een verzekeraar voortaan meteen vrijgesteld van vergoeding. Vindt Oekraïne dat een Russische aanval cyberschade veroorzaakte? Dan hoeven verzekeraars die schade in de toekomst niet meer te betalen.

Zal de verzekeringssector daardoor opnieuw wat ademruimte krijgen? Het probleem dat we al zien opduiken, is dat overheden doorgaans niet zelf een cyberaanval uitvoeren. Ze zetten daarvoor derde partijen in of knijpen bewust een oogje dicht, zodat criminelen ongestoord hun gang kunnen gaan. Het is dus maar zeer de vraag of de nieuwe uitgebreide cyberuitsluiting transparant genoeg zal zijn om verzekeraars en hun bedrijfsklanten uit de rechtbank te houden. Die evolutie zal mee bepalen hoelang de sector de verzekerbaarheid van cyberrisico’s nog zal kunnen garanderen.