Is uw onderneming al verzekerd tegen cybercriminaliteit?

Phishing, malware, ransomware, CEO-fraude: hackers lanceren almaar gewiekstere aanvallen op ondernemingen en thuiswerkers. Er zijn ook steeds meer verzekeringen die de schade door cyberaanvallen dekken. Hoe werkt zo’n verzekering? Voor wie is ze bedoeld? En wat kunnen bedrijven doen om cyberrisico’s te beperken?

Het toonaangevende onderzoeksbureau Cybersecurity Ventures becijferde dat de wereldwijde schade door cybercriminaliteit tegen 2021 zal oplopen tot 6 miljard dollar per jaar. Dat is een verdubbeling tegenover 2015. De cyberverzekeringsmarkt speelt daar actief op in. Dat segment had in 2018 een geschatte waarde van 4,3 miljard dollar. Naar verwachting zal die markt elk jaar nog met een kwart groeien en in 2025 ruim 20 miljard dollar waard zijn. Ook in ons land bieden verzekeraars zulke polissen aan. CyberContract betrad zes jaar geleden als een van de eerste spelers de Belgische markt.

“Dit is het enige type verzekering dat wij aanbieden”, zegt Koen Druyts, de oprichter en zaakvoerder van CyberContract. “We voorspelden al rond 2014 dat de vraag naar die verzekeringen enorm zou toenemen. Dit jaar staan cyberincidenten voor het eerst wereldwijd als het grootste bedrijfsrisico in de Allianz Risk Barometer – ongeacht de omvang van ondernemingen en de sector waarin ze actief zijn.”

Inmiddels zijn meer dan 1500 Belgische kmo’s verzekerd bij CyberContract. De verzekeraar voorziet dat één op de tien polissen binnen het jaar een schadegeval zal opleveren.

Gespecialiseerde hulp

Een cybersecurityverzekeraar betaalt een schadevergoeding na specifieke gevallen van hacking: een computervirus dat een productielijn lamlegt, een medewerker die argeloos een besmette link aanklikt waarna documenten onleesbaar worden, of een systeemcrash die data vernietigt. Daarnaast wil CyberContract de schade door een hacking beperken en het getroffen bedrijf zo snel mogelijk gespecialiseerde hulp verlenen. “Ik maak vaak de vergelijking met een autoverzekering”, zegt Koen Druyts. “Wanneer onze klanten een incident melden via onze hotline, checken onze medewerkers hoe groot de schade is en welke schade verzekerd is. Als het nodig is, sturen we meteen een cybersecurityspecialist ter plaatse.”

CyberContract overlegt daarbij ook altijd met de vaste IT-leverancier van de klant. In zulke situaties zijn snelheid en teamwerk cruciaal, benadrukt Druyts. De interventiekosten worden meestal gedragen door de verzekeraar en schommelen gemiddeld tussen 10.000 en 30.000 euro, afhankelijk van de ernst en de duur van het incident. Bij datadiefstal loopt de schadevergoeding al snel op tot een tienvoud van die bedragen.

Onvolwassen markt

“In tegenstelling tot courante verzekeringen, zoals een autoverzekering, is de markt van de cyberverzekeringen nog niet helemaal volwassen”, meent Thomas Spittaels, principal consultant bij het Zaventemse Cranium, dat is gespecialiseerd in privacy, security en datamanagement. “Ze is nog voortdurend in ontwikkeling. Er bestaat nog geen standaard. De premies, de diensten en de dekkingen lopen sterk uiteen. Aanvankelijk werden cyberverzekeringen aangeboden door grote supranationale verzekeringsmaatschappijen. Nu hebben ook lokale spelers een nicheaanbod ontwikkeld.”

Hoe zit het bijvoorbeeld met de schade die particuliere of zakelijke klanten van een getroffen bedrijf ondervinden door een hacking: wordt die gedekt door een cyberverzekering of niet? “Dat hangt af van de situatie”, legt Koen Druyts uit. “De data-aansprakelijkheid zit mee vervat in onze polis. Als een klant van een klant schade lijdt door een verzekerd incident, wordt die claim vergoed. Onze klanten kunnen ook een soort omniumformule afsluiten, waarbij ook zaken zoals reputatieschade en het hersamenstellen van data in aanmerking komen voor een vergoeding.” En er is ook een deel rechtsbijstand.

Huiswerk maken

De voorwaarden in de polis bevatten vaak uitsluitingen voor overmacht, oorlogshandelingen en criminele daden. “Die formuleringen zijn soms open voor interpretatie”, zegt Thomas Spittaels. “Dat kan een probleem worden als je een grote schadeclaim indient. Er zijn al gevallen geweest waarin verzekeraars stelden dat ransomware, malware of social engineering digitaal terrorisme is, of een criminele daad.” Het resultaat is dat een bedrijf dan niet alleen wordt geconfronteerd met een veiligheidscrisis, de media, de toezichthouders en zijn stakeholders, maar ook verzeild raakt in een juridische procedureslag met zijn verzekeraar – in plaats van gedekt en vergoed te worden. “Dat wil niemand”, benadrukt Thomas Spittaels.

Hij wijst erop dat bedrijven die een cyberverzekering willen afsluiten, vooraf grondig hun huiswerk moeten maken. “Voer eerst een interne analyse van het veiligheidsrisico uit”, zegt Thomas Spittaels. “Zonder een inschatting van de belangrijkste risico’s is het onmogelijk te bepalen welk type schade het meest moet worden gedekt door een cyberverzekering.” Zonder risicoprofiel kunnen bedrijven ook onmogelijk inschatten wat de impact van een specifieke uitsluiting, of een geplafonneerde of voorwaardelijke dekking in de polis kan zijn. “Houd er bovendien rekening mee dat het proces om te onderhandelen en de meest geschikte cyberverzekering te selecteren enkele maanden, zo niet een halfjaar in beslag kan nemen”, tipt Spittaels.

Los daarvan is zowat elke kmo en organisatie vandaag gebaat bij een cyberverzekering, bepleit Koen Druyts. Zelfs als er maximale preventieve maatregelen genomen zijn, is geen enkele onderneming helemaal vrij van cyberrisico’s. Een cyberverzekering is een airbag die opengaat wanneer preventie alleen onvoldoende blijkt. “Eigenlijk zou dat een basisverzekering moeten zijn voor elk bedrijf. Zeker omdat de oplossingsgraad van cyberincidenten bij CyberContract op 100 procent zit. Er is nog geen enkel incident geweest dat we – vroeg of laat – niet in orde hebben kunnen brengen.”