Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Premie-inkomen uit 'cyberverzekeringen' is verdubbeld in Nederland

De Nederlandse verzekeringsmarkt heeft in 2017 minimaal 20 miljoen euro aan premies uit 'cyberverzekeringen' ge´nd. Dat betekent een verdubbeling ten opzichte van 2016. Het aantal particulieren bedraagt daarbij nog geen tien procent.

De verdubbeling van tien miljoen euro aan premie-inkomen in 2016 naar twintig miljoen euro in 2017 komt volgens het Verbond van Verzekeraars doordat er meer verzekeraars op de markt zijn die 'cyberverzekeringen' aanbieden. De sector gebruikt deze naam om verzekeringen aan te duiden waarmee personen en organisaties risico's kunnen afdekken omtrent de gevolgen van digitale inbraken, datadiefstal, ddos-aanvallen, ransomware en andere ict-dreigingen. Meer dan negentig procent van de omzet komt uit de zakelijke markt.

De directeur van het Verbond van Verzekeraars, Leo De Boer, denkt dat er nog veel meer geld te halen valt op de markt. "Mensen realiseren zich de risico’s nog onvoldoende. Samen met diverse stakeholders, waaronder de overheid, het mkb en de it- en securityspecialisten, moeten wij de bewustwording verder op gang brengen. Hier ligt echt een kans van formaat voor onze sector."

De cijfers zijn afkomstig van het Centrum voor Verzekeringsstatistiek, dat halverwege 2016 en begin dit jaar enquŕtes hield onder zakelijke verzekeraars. Het Verbond van Verzekeraars is de belangenvereniging van schade- en levensverzekeraars in Nederland, die de stichting Centrum voor Verzekeringsstatistiek heeft opgericht.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

26-03-2018 • 09:09

50 Linkedin Google+

Reacties (50)

Wijzig sortering
Wij zijn daar met mijn bedrijf ook mee bezig geweest. We moesten opgeven welke firewall we gebruikten, meer niet. Ik heb toen de vraag gesteld of er ook iemand kwam kijken of we volgens hun op dat moment voldoen aan hun configuratie-standaarden mbt eventuele uitkering. Ik kan van een firewall namelijk ook een dure UTP kabel maken. Nee niet nodig meneer. Geloof me maar als er uitgekeerd zou moeten worden dat we ineens nalatig zijn mbt de configuratie oid, uitkeren doet geen een verzekering graag.

Wat we ook moesten doen is alles encrypted opslaan. Op mijn vraag op welk niveau dan (gebruikersdata, m.a.w. op filesystem niveau), de VM's zelf, ofwel de complete SANs zelf, aangezien eea nogal wat overhead en kosten voor bv backup (geen dedup meer mogelijk) meebrengt. SAN hadden ze nog nooit van gehoord, en tot op de dag van vandaag wachten we op antwoord.

Ik snap best dat de maatschappijen hierop springen, want er is natuurlijk reŰle dreiging. Maar tegelijkertijd is men zelf nog enorm zoekende en baad onze maatschappij zich in onkunde. De voorwaarden zijn vaag, onduidelijk en technisch slecht / niet onderbouwd.

Dit is natuurlijk een enkel voorbeeld, met de maatschappij waar wij mee werken, maar ik heb me al tienduizenden euro's bespaard door het niet af te sluiten. Na´ef om zo te denken wellicht, maar ik denk dat veel verzekeringsmaatschappijen geen idee hebben wat ze aan het verzekeren zijn.
Ik snap best dat de maatschappijen hierop springen, want er is natuurlijk reŰle dreiging. Maar tegelijkertijd is men zelf nog enorm zoekende en baad onze maatschappij zich in onkunde. De voorwaarden zijn vaag, onduidelijk en technisch slecht / niet onderbouwd.

Dit is natuurlijk een enkel voorbeeld, met de maatschappij waar wij mee werken, maar ik heb me al tienduizenden euro's bespaard door het niet af te sluiten. Na´ef om zo te denken wellicht, maar ik denk dat veel verzekeringsmaatschappijen geen idee hebben wat ze aan het verzekeren zijn.
Ik vind het geweldig. Eindelijk begint de waarde van IT-beveiliging duidelijk te worden. Helaas is de eerste pijnlijke stap dat we langzaam beginnen in te zien dat we het niet weten. We weten allemaal dat IT belangrijk is, en dat beveiliging duur is.
Hoeveel beveiliging waard is, en hoeveel je dus verstandigerwijs zou moeten investeren, is echter enorm onduidelijk.
Dat bedrijven zich beginnen te verzekeren is een erkenning van het feit dat bedrijven snappen dat ze niet onkwetsbaar zijn, zoals lang werd gedacht. "Ach, dat gebeurt hier toch niet, wie wil ons nu hacken?" heb ik iets te vaak gehoord.
Dat verzekeraars dergelijke ruime voorwaarden toestaan is echter weer een teken dat de verzekeraars eigenlijk ook niet weten waar ze mee bezig zijn.
Het is nu nog een grote pot blufpoker. Iedereen heeft mooie verhalen, bijna niemand kan het waar maken, maar we weten nog niet wie.

Dat is even wrang en zuur, maar met een beetje doorbijten wordt het wel. Vroeg of laat wordt er namelijk gebruik gemaakt van die verzekeringen en dan wordt het eventjes heel duur. Dan gaan een paar bedrijven heel snel leren hoeveel beveiliging waard is en welke maatregelen zin hebben en welke niet. Zodra de eerste klappen vallen zal de rest razendsnel z'n beleid aanpassen, zodat risico's, beveiliging en verzekering op elkaar aan gaan sluiten.
Ik vraag me af of je dat soort specifieke informatie (fabrikant en type van firewall, encryptie) wel moet delen, want het komt ongetwijfeld ergens in een database van de verzekeraar te staan waarbij het altijd maar de vraag is hoe goed die beveiligd is.

Als je even bedenkt dat er dagelijks duizenden emails met bijlagen als pdfjes en doc(x)jes in de inbox van de verzekeraar komt voor afwikkeling van schade (schadeaangifteformulieren met diverse soorten bewijs) e.d., dan lijkt inbraak en datadiefstal bij elke verzekeraar niet onrealistisch.
Je verzekerd iets wat direct afhankelijk is of kan zijn van de inrichting van je omgeving. Lijkt me behooriljk evident dat erg een bepaalde baseline gelegd wordt. Als je gehackt wordt, of er zijn mogelijk scriptkiddies aan de gang geweest op je publieke ip-range, en er is vanalles buitgemaakt, maar het blijkt dat je SMB naar buiten had open staan op je firewall ben je nalatig. Of wanneer blijkt dat je je omgeving al 2 jaar niet gepatcht had, of bv de spectre-achtige updates niet gedaan had.

Dusja, je hebt een punt, er zal WEER een database met gegevens komen, en ja, er is weer een onbeheerbaar gedrocht de wereld in geroepen. Gezien de boetes die opgelegd kunnen worden (ik meen tot 8 ton per melding, bij mijn weten is er overigens nog nooit daadwerkelijk beboet tot nu toe) zijn wij als klein bedrijf echter haast genoodzaakt zoiets af te sluiten, we zouden zo'n last nooit kunnen dragen. Tegelijkertijd kan niemand me vertellen wat ik nou eigenlijk verzeker, en ook niet wat de voorwaarden zijn. Ik heb dus geen idee wat ik moet doen om niet nalatig bevonden te worden.
Als je dan ook nog de termen "er valt nog veel meer geld te halen" gebruikt.. heel beeldbevestigend. Ik mag echt hopen dat de beste man dat niet gezegd heeft. Ik snap best dat verzekeraars zoveel mogelijk geld proberen binnen te halen maar verpak het dan in wat marketingspeak "de mensen zijn zij niet goed bewust van de risico's dus daar ligt een taak voor de verzekeraar".
maar hoe werkt dat met nalatigheid? menig hack/verlies kan prima voorkomen (of verzacht) worden bij goede backups, uitrollen updates en 'goede' procedures.
Geldt dat niet voor een hele hoop verzekeringen? Als je heel zwart-wit er in gaat zitten is ook longkanker te wijten aan of nalatigheid (roken), of (genetische) overmacht. Verkeersongelukken zijn doorgaans vaak ook wel ergens terug te leiden op nalatigheid (gevaarlijk weggedrag, niet opletten, gebrekkig onderhoud, danwel een gevaarlijke situatie door nalatigheid vanuit de wegbeheerder)

Ik ben ook benieuwd hoe er wordt omgegaan met "de zaken op orde hebben", maar het vraagstuk is niet nieuw natuurlijk.
En daarom gaan ze bij ongelukken ook na bij wie de oorzaak ligt :+
Lijkt mij dat als je gehacked wordt omdat je nog Windows XP op je server hebt draaien dat je niks krijgt, net zoals je niks krijgt als je een ongeluk krijgt tijdens een illegale straatrace. Er staan altijd clausules in.
Dus als consument weet je de komende 10 tot 20 jaar eigenlijk niet goed wat je aan deze polissen hebt tot een rechter zich over veel gevallen heeft uitgesproken. Software ontwikkelaars sluiten verantwoordelijkheid doorgaans uit en dan komt dus de kwestie. Welke software mag je nog wel installeren. Wordt dat een zwarte lijst of een witte (mogelijk door mensen aan certificeringsprogrammas als die van Microsoft te binden). Maar goed, ik ben wel nieuwsgierig en ga even zo'n polis bekijken.
Je kan als ontwikkelaar uitsluiten wat je wilt. Dat maakt geen reet uit, want als consument heb je gewoon recht op een deugdelijk product.
En het is niet geheel onrealistisch dat de juridische visie ontstaat dat qua software een deugdelijk product inhoudt dat er een support termijn is die gelijk valt met een normale garantie termijn (dus 3 jaar) waarin bugs gefixed worden en er beveiligings updates komen.
Een verzekering is als een weddenschap. Jij betaald een premie en de verzekeraar gokt (berekend risico’s, met voorwaarden etc).
Dat is toch bij elke schade(verzekering)? bv Inbraak kan voorkomen worden met Keurmerk sloten, toch kan je je laten verzekeren zonder goede voormaatregelen.
Bij huizen inderdaad (nog wel), maar een motorverzekering vereist bijvoorbeeld sloten met minimaal categorie ART4, anders geen vergoeding bij diefstal. Auto's moeten toch ook minimaal startonderbreking hebben?
Zou er voor startonderbreking geen uitzondering zijn? er rijden namelijk nog genoeg auto's rond die geen startonderbreking hebben en waar het ook niet wenselijk is om het op te bouwen (kosten of en "puur" willen houden van de auto)
En ik neem aan dat dat niet zo is. IT is een groot grijs gebied waarin het vaak niet duidelijk is voor een buitenstaander wat goed is voor je security. Voor iemand zonder technische kennis lijkt bv het draaien van een Windows server geen probleem, maar zelf zou ik ze uit veiligheidsoogpunt niet in ons datacenter willen hebben. 2 verschillende meningen, maar de waarheid zal wel ergens in het grijze gebied liggen. Of afgaan op die suffe security scans die beweren dat je webserver lek is puur op basis van een versienummer, terwijl jouw distro netjes alle security fixes backport. Gaat een verzekeringsmaatschappij dan technische beslissingen dicteren bij een bedrijf? Lijkt me zeer onwenselijk en problematisch.
Ook zeer veel werk om van alleen maar alle hardware die draait alles te checken, laat staan alle software. Ondoenlijk, problematisch en onwenselijk. Een risico-analyse lijkt me hierom schier onmogelijk.

Als je het verzekeringsklimaat hier in nederland bekijkt kun je in vergelijk met andere landen wel stellen dat we hier bijna alles verzekerbaar hebben.

[Reactie gewijzigd door Somoghi op 26 maart 2018 10:39]

Wat ik me dan weer afvraag is: hoe verhoudt die 20miljoen aan premies zich ten opzichte van de uitgekeerde schadeclaims?
Een verzekering is geen stichting. Er zal zeker geld overblijven.

Vraag me inderdaad ook af hoe men omgaat met het verzuimen bij het maken van back-ups en hoe daarmee omgegaan wordt.
Een verzekering is geen stichting. Er zal zeker geld overblijven.

Vraag me inderdaad ook af hoe men omgaat met het verzuimen bij het maken van back-ups en hoe daarmee omgegaan wordt.
Misschien mijn domme maandagmorgen, maar als ik backups heb - heb ik geen verzekering nodig natuurlijk.
Maar betalen tegen hacks/dataverlies lijkt me een gevalletje van 2 reisverzekeringen voor dezelfde reis

Het enige wat die partij nog kan 'redden' zijn de manuren om het te herstellen.

edit:
Ondernemers krijgen steeds meer te maken met cyberrisico’s als: hacking, systeeminbraak, verlies of diefstal van data en cyberaanvallen. De kosten van een forensisch onderzoek, door de autoriteit bescherming persoonsgegevens opgelegde boetes, kosten bedrijfsstilstand etc. zijn niet gedekt op de traditionele verzekeringen, maar deze kosten kunnen wel het einde van een onderneming betekenen.
Van een willekeurige aanbieder.
600Ą/j verzekerd tot 100.000Ą

Maar echt duidelijk en snel de voorwaarden zijn niet te vinden, Rataplan_ in 'nieuws: Premie-inkomen uit 'cyberverzekeringen' is verdubbeld i... zegt er meer over

[Reactie gewijzigd door FreshMaker op 26 maart 2018 09:36]

Je kan wel backups hebben maar als data gestolen word zul jij je klanten toch moeten compenseren ofwel een boete betalen. Het zal vermoed ik niet alleen gaan om dataverlies maar ook om de kosten van eventuele gestolen data te dekken.
Misschien mijn domme maandagmorgen, maar als ik backups heb - heb ik geen verzekering nodig natuurlijk.
Als het een dag duurt om de backup terug te zetten (en voor een beetje firma kan dat zo maar waar zijn) kost je dat een dat omzet. Dat is te verzekeren.
en daarna valt alles onder consequential damage die weer niet onder de polis valt
De directeur van het Verbond van Verzekeraars, Leo De Boer, denkt dat er nog veel meer geld te halen valt op de markt
lijkt me duidelijk
Een cyberverzekering aanbieden zonder dat je als verzekeraar de werkwijze en installatie van je klanten gaat keuren lijkt me een prima manier om geld te verdienen. Bijna alle hacks, malwareinfecties en datalekken zijn terug te brengen tot enige vorm van nalatigheid van de klant. Als je er echt naar op zoek gaat vind je volgens mij altijd wel iets.
Als de verzekeraar geen lijst met eisen heeft moeten ze aantonen dat je nalatig geweest bent. En de rechters zijn zeer kritisch op de eisen die verzekeraars daar stellen.
Verbaasd me niets, het land met de no-claim beschermer, de verzekering voor je verzekering. :)
Als ze dan toch met cijfers aan het strooien zijn, vertel me er dan ook bij hoeveel er daadwerkelijk is uitgekeerd bij dit type verzekering.
Leuk om te lezen bij een verzekering hoeveel inkomsten ze eruit halen, niet hoeveel er wordt uitgekeerd. Voor hetzelfde geld is er niets uitgekeerd, is het easy cashen voor zulke verzekeringen.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True