De voor- en nadelen van een cyberverzekering

Als grote bedrijven zoals Picanol in het nieuws komen met cyberaanvallen, spinnen verkopers van cyberverzekeringen daar garen bij. Maar zijn bedrijven en gezinnen wel gebaat bij zo’n verzekering?

Picanol kon zijn productie deze week weer opstarten, nadat de machines een week hadden stilgelegen door een cyberaanval. De criminelen verstopten ransomware in de systemen van de weefgetouwenbouwer, een stukje software dat cruciale data versleutelt. Doorgaans vragen de criminelen losgeld in ruil voor de sleutel om die data te ontgrendelen.

“Als een bedrijf in samenspraak met zijn verzekeraar beslist losgeld te betalen, valt dat onder de dekking van een verzekeringspolis tegen cybercriminaliteit”, merken Paul Caekebeke en Jan Catry van de verzekeringsmakelaar ADD op. Volgens ADD onderschatten bedrijven het risico dat ze lopen. “Het risico op een cyberincident is groter dan het risico dat de bedrijfsgebouwen afbranden. Bijna elke onderneming heeft een brandverzekering, maar weinig ondernemingen hebben een cyberverzekering.”

Verzekeringsmakelaar Vanbreda Risk & Benefits schat dat 10 procent van de Belgische bedrijven verzekerd is tegen cyberincidenten. “Daar zitten zowel eenmanszaken als beursgenoteerde bedrijven tussen. Toen we in 2013 met een cyberverzekering begonnen, kwamen vooral ziekenhuizen en banken bij ons aankloppen, omdat die met gevoelige gegevens werken. Vandaag sluiten bedrijven uit allerlei sectoren cyberverzekeringen af”, zegt Tom Van Britsom, cyberexpert bij Vanbreda.

In 2019 sloot Vanbreda om de twee dagen een cyberpolis af. Daarbij moet worden opgemerkt dat bedrijven niet enkel schrik hebben van cybercriminelen, maar ook van de Europese privacyregels GDPR die in mei 2018 in voege zijn getreden. Bedrijven die niet voorzichtig genoeg omspringen met de privacy van hun klanten, riskeren hoge boetes.

In december kreeg de Belgische juridische website jubel.be een boete van 15.000 euro, de hoogste tot nu in ons land. “Bij alle verzekeringen die wij verkopen, zit een dekking tegen administratieve GDPR-boetes. Sommige bedrijven sloten om die reden een cyberverzekering af”, geeft Tom Van Britsom toe. Hij stelt vast dat één op de drie bedrijven met een cyberverzekering die polis al minstens één keer heeft moeten aanspreken.

Hoeveel kost een cyberverzekering?

“De voorbije jaren zijn er op de cybermarkt veel verzekeraars bij gekomen. Vroeger boden enkel Amerikaanse verzekeraars zoals AIG en Chubb verzekeringen tegen cybercriminaliteit aan. Nu zijn ook Europese verzekeraars zoals Allianz, Zurich en MS Amlin actief in dat segment”, zeggen Paul Caekebeke en Jan Catry. In november vorig jaar lanceerde Baloise de dekking Cyber Safe, die zowel richt op gezinnen als op bedrijven.

Baloise rekent gezinnen een forfaitaire premie van 13 euro per maand aan. Alleenstaanden betalen 9 euro per maand. Voor gezinnen komt een cyberverzekering op 156 euro per jaar. De verzekeraar vergoedt in de meeste gevallen maximaal 7500 euro per schadegeval per jaar. Om de premie voor een bedrijf te bepalen hanteert Baloise de omzet als een van de belangrijkste criteria. Het aantal verwerkte data is een ander criterium.

Elke verzekeraar heeft zijn eigen criteria. Bedrijven moeten doorgaans een vragenlijst doorlopen. “De mens is de zwakste schakel in de ketting. Daarom speelt het aantal medewerkers vaak een rol in het bepalen van de premie”, zegt Tom Van Britsom. “Net zoals bij een autoverzekering kijkt de verzekeraar naar het schadeverleden. Ook de omvang van het bedrijf en de regio’s waar het actief is, spelen een rol. Ondernemingen die enkel in België of binnen de Europese Unie opereren, lopen minder risico dan bedrijven met vestigingen in China, de Oostbloklanden of de Verenigde Staten. Ook het niveau van de beveiliging is belangrijk. Hoe slechter de beveiliging is, hoe moeilijker het wordt een scherpe prijs te vinden voor een verzekering.”

Paul Caekebeke en Jan Catry vinden dat een cyberverzekering niet duur meer is. “Door de bijkomende concurrentie zijn de premies gedaald. De premiestructuur begint vanaf 500 à 600 euro per jaar. Voor een premie van een paar duizenden euro’s per jaar kunnen zelfs kmo’s met een omzet tot 75 miljoen euro een verzekering krijgen.”

Welke schade wordt vergoed?

“Bij 45 procent van de schadegevallen was vorig jaar sprake van een stilstand. Die hoeft niet altijd weken te duren, zoals bij Asco. Soms blijft die beperkt tot enkele uren”, zegt Tom Van Britsom. “Als de productie stilligt, kost dat het bedrijf geld. Als de systemen moeten worden hersteld of data opnieuw opgebouwd, komen er extra kosten bij. Dat valt allemaal onder de dekkingen van zo’n verzekering”, stellen Paul Caekebeke en Jan Catry.

Er is wel een belangrijke kanttekening, want de bedrijven moeten vooraf beslissen tegen hoeveel schade ze zich willen indekken. Doorgaans geldt: hoe hoger de verzekeringspremie, hoe hoger het verzekerde kapitaal of het bedrag dat bij schade kan worden uitgekeerd. Het verzekerde kapitaal kan variëren van enkele duizenden tot miljoenen euro’s. Als het bedrijf onvoldoende verzekerd is, zal de verzekeraar de schade niet volledig terugbetalen.

Tom Van Britsom merkt op dat de schade vaak een veelvoud van de betaalde premie is. “Het leeuwendeel van de betalingen van de verzekeraars lag in onze portefeuille tussen 20.000 en 100.000 euro. Maar er waren ook betalingen van meer dan 100.000 euro.” Bij de grote Amerikaanse verzekeraars zijn uitkeringen van vele miljoenen bekend.

Niet enkel de keuze van het verzekerde kapitaal, ook de keuze van de verzekeraar is cruciaal. “Iedere verzekeraar legt zijn beperkingen en uitsluitingen op. Het is niet altijd gemakkelijk daar je weg in te vinden”, merken Paul Caekebeke en Jan Catry op. Ze vertellen erbij dat de voordelen van een verzekering niet enkel gelegen zijn in de uitbetaling bij schade. “Als hackers een bedrijf lamleggen, stelt de verzekeraar soms externe IT-specialisten ter beschikking om de IT-afdeling van het bedrijf te helpen.” Sommige verzekeraars bieden behalve verzekeringen ook trainingen voor het personeel en andere diensten aan, waarvan de bedrijven gratis kunnen gebruikmaken.

Welke beveiligingseisen stellen verzekeraars?

Bedrijven kunnen zich pas verzekeren als ze voldoende beveiligingsmaatregelen nemen. “Het verzekeringscontract is het sluitstuk. Een verzekeraar kan een bedrijf een verzekering weigeren als de beveiliging onvoldoende is. Voor die beveiliging moeten de bedrijven budgetten vrijmaken, een IT-dienstenleverancier in de arm nemen en het personeel opleiden”, zeggen Paul Caekebeke en Jan Catry. “Als mensen de procedures niet volgen, kan het fout lopen. Dat kan gaan van laks omgaan met paswoorden tot het niet uitvoeren van updates. Ons bedrijf stuurt regelmatig phishingmails om het personeel te testen en te waarschuwen dat ze niet zomaar ergens op mogen klikken.”

Niet elke verzekeraar aanvaardt elk bedrijf als klant. Baloise sluit bedrijven met bepaalde economische activiteiten uit, zoals ziekenhuizen, banken en telecomoperatoren. “Wij dekken ook geen schade die het gevolg is van het ontbreken van elementaire preventiemaatregelen, van oorlog en terrorisme, milieuverontreiniging of de uitval van infrastructuur”, stippen Bert Vander Elst en Paul Stinkens van Baloise aan. Onder elementaire preventiemaatregelen begrijpt de verzekeraar een login met een paswoord, een antivirus en een firewall, een automatische update van die software en een back-up.

Voor gezinnen stelt Baloise geen voorwaarden voor de beveiliging van de computer. “Op dat gebied zijn er geen redenen om een gezin te weigeren”, zeggen Bert Vander Elst en Paul Stinkens. De verzekering biedt een vangnet bij voorvallen zoals een besmetting door malware, oplichting bij onlineshopping, phishing en gegevensdiefstal. Baloise biedt een gratis preventiedienst aan, waarbij twaalf gegevens zoals e-mailadressen, bankkaart- en telefoonnummers permanent worden gecontroleerd op misbruik op het internet. Het gezin kan ook een beroep doen op een hotline van Baloise voor bijstand na een cyberincident, om bijvoorbeeld schadelijke software van de computer te verwijderen. Daarnaast heeft de klant recht op een rechtsbijstand tot 25.000 euro.

“Ik vermoed dat die verzekeringen eerst bij de bedrijven ingeburgerd zullen raken en pas daarna bij particulieren”, zegt Tom Van Britsom. “Een verzekering voor particulieren kan nuttig zijn, maar ze moet andere accenten leggen dan een polis voor bedrijven. Een fenomeen als cyberpesten is relevanter voor particulieren dan voor bedrijven.”

Welke cyberincidenten komen het vaakst voor?

Ransomware was het afgelopen jaar niet uit de media weg te branden. Het jaar begon met een incident bij Ranson, dat losgeld betaalde omdat de bakkerijspecialist het zich niet kon permitteren lang stil te liggen. In juni kon Asco drie weken lang geen vliegtuigonderdelen bouwen, omdat de systemen gegijzeld werden. Maar Vanbreda telde in 2019 minder incidenten met ransomware bij zijn klanten dan in 2018.

“Die vorm van cybercriminaliteit was goed voor 18 procent van alle schadegevallen in 2019. In 2018 was dat nog 60 procent”, zegt Tom Van Britsom. “Ik ga ervan uit dat een bewustwording bij de bedrijven en trainingen van het personeel ervoor zorgen dat die aanvallen minder succesvol zijn. Digitale inbrekers gaan net zoals gewone inbrekers op zoek naar huizen waar ze onopgemerkt langs de achterdeur binnen kunnen”, zegt hij. In 2019 waren vooral cyberdiefstallen een probleem bij de klanten van Vanbreda, waarbij hackers het geld rechtstreeks ontvreemden.

“Het aantal aanvallen met ransomware zit wereldwijd in de lift”, zegt Katrien Eggers, de woordvoerder van het Computer Emergency Response Team (CERT), de federale overheidsdienst die als opdracht het opsporen, observeren, analyseren van en informeren over veiligheidsproblemen op het internet heeft. Voor België zijn er geen betrouwbare cijfers over de omvang van het probleem, omdat bedrijven niet verplicht zijn incidenten te melden of klacht neer te leggen bij de politie. Van particulieren is nog minder bekend. Zij geven cyberaanvallen zelden aan.

Nochtans kunnen mensen elkaar helpen door bijvoorbeeld verdachte phishingmails te melden op verdacht@safeonweb.be. “In oktober ontvingen we dagelijks 8000 mails. Daardoor konden we enkele tientallen phishingwebsites per dag blokkeren”, vervolgt Eggers. “Phishingmails of valse mails die mensen naar een website lokken, fraude, ransomware en computervirussen zijn de meest voorkomende incidenten.”