De opkomst van cyberverzekeringen
Bedrijven verzekeren zich tegen brand, diefstal, aansprakelijkheid en veel meer. Het wordt ook steeds normaler om een verzekering af te sluiten tegen digitale schade. Er is in het afgelopen jaar een explosie ontstaan van 'cyberverzekeringen'. Die dekken niet alleen datadiefstal en -verlies, maar soms ook de losgeldkosten bij ransomware en zelfs AVG-boetes. Althans, dat is de bedoeling.
Weinig bedrijven zijn ooit zo hard getroffen door ransomware als Norsk Hydro. De Noorse aluminiumproducent werd in maart dit jaar getroffen door LockerGoga, agressieve en geavanceerde ransomware die ook in Nederland toesloeg. LockerGoga is berucht omdat het wekenlang verborgen kan blijven in de systemen van vooral industriële bedrijven. Daar wacht de malware op het juiste moment om toe te slaan, om vervolgens miljoenen euro's aan losgeld te vragen. Al tientallen bedrijven werden slachtoffer van LockerGoga. Norsk Hydro besloot de ransomware niet te betalen. Of dat de juiste keus was, is de vraag. Financieel gezien was het een flinke slag die Norsk Hydro naar schatting 53 miljoen euro heeft gekost, en dat is waarschijnlijk een conservatieve schatting. Het duurde maanden voordat het bedrijf weer volledig operationeel was en alle duizenden computers weer werkten, maanden waarin het bedrijf niet op volle kracht kon draaien. Het bedrijf was weliswaar voor die schade verzekerd, maar moest een flinke deceptie verwerken toen bleek dat de verzekeraar slechts een fractie van de schade wilde vergoeden.
Eerder dit jaar werden verschillende Amerikaanse steden getroffen door gijzelsoftware waarbij de computersystemen onbruikbaar werden gemaakt. Het losgeld kwam meestal neer op miljoenen euro's. Dat werd in diverse gevallen betaald, maar niet door de gemeenten zelf. De steden wendden zich tot hun verzekeraars en lieten hen voor een groot deel opdraaien voor de kosten. Dat wordt steeds normaler. Niet alleen de schade en zelfs het losgeld bij ransomware, maar ook schade door datadiefstal, en de kosten van het vervangen van computers en het terugzetten van back-ups zijn nu bij de meeste Nederlandse verzekeraars net zo gemakkelijk te verzekeren als brandschade. Er zit wel verschil tussen de polissen en of bedrijven ook echt alle schade vergoed krijgen, is de vraag.
Wat is er te verzekeren?
Vier cyberverzekeringen heten simpelweg 'Cyberverzekering'
Inmiddels hebben vrijwel alle grote Nederlandse verzekeraars een zogeheten cyberverzekering. Dat is doorgaans ook enigszins inspiratieloos de naam van de polis. Bij Allianz, Centraal Beheer, Nationale-Nederlanden en Achmea-tak Avéro heet de cyberverzekering simpelweg 'Cyberverzekering'. De Goudse heeft een verzekering die Cyberrisk heet, en er zijn wat kleinere partijen die eigen verzekeringen uitbrengen, zoals Cybercare van Turien & Co. Het gaat meestal om losstaande verzekeringen die specifiek op dit soort digitale risico's zijn gericht. Dat is wel anders dan een paar jaar geleden, toen bijvoorbeeld Nationale-Nederlanden met de mogelijkheid kwam voor webshops om cybercrime in hun algemene verzekeringspakket op te nemen. Die polis werd echter uitgefaseerd wegens gebrek aan animo.
Voor en na
De meest voorkomende onderdelen in een cyberverzekering zijn schade bij afpersing, zoals schade door ransomware of een ddos-aanval, of digitale diefstal van geld. In de meeste gevallen wordt schade aan computersystemen ook vergoed, net als het inhuren van experts. Opvallend is dat een paar jaar geleden vooral nog online schade zoals datadiefstal werd gedekt, maar dat daar inmiddels steeds meer schade bij is gekomen, zoals reputatieschade en schade aan apparatuur. Veel verzekeraars vergoeden ook bijkomende kosten bij een aanval, zoals de extra belkosten die een bedrijf maakt bij een storing van het telefoonsysteem.
Meestal volgen de verzekeringen eenzelfde patroon. Tijdens een aanval wordt eerst naar de directe schade gekeken: wat kost het om de aanval af te slaan, bijvoorbeeld in losgeld of aan extra ict-inzet. Daarna volgt een periode waarin met forensische analyse moet worden aangetoond wat er gebeurde, en wie verantwoordelijk en aansprakelijk is. Ook dat onderzoek kost geld waartegen een bedrijf zich kan verzekeren. Na het onderzoek begint de opbouw; nieuwe ict-systemen installeren, klanten informeren en zelfs pr-advies inwinnen. Dit is vaak een van de omvangrijkere en duurdere aspecten van een cyberverzekering, al is het lang niet altijd de kostenpost die het best wordt vergoed. Na afloop van een aanval kan een verzekering ook nog de nasleep vergoeden, zoals eventuele boetes die worden opgelegd door toezichthouders of extra controle op fraude bij klanten.
Verzekeringsmarkt
Hoe groot de markt van cyberverzekeringen precies is, is moeilijk te zeggen. De grootste verzekeraars in Nederland hebben allemaal hun eigen polissen voor cybercrime en online-incidenten, en veel specifieke brancheverzekeraars hebben ook hun eigen pakketten. Maar hoeveel geld er binnenkomt of wordt uitgekeerd en hoeveel klanten zo'n polis hebben, maken verzekeraars niet bekend. In 2016 schatte het Verbond voor Verzekeraars de totale premie-inkomsten al op zo'n twintig miljoen euro per jaar, maar de organisatie kon niet zeggen hoe groot die markt inmiddels is. Helemaal nieuw is de opkomst van cyberverzekeringen dus niet. Zeker rond 2015 en 2016 zagen analisten een opvallende stijging. Die schreven ze voor een belangrijk deel toe aan de 'meldplicht datalekken'. Dat is een onderdeel van de Wet bescherming persoonsgegevens, een voorloper van de huidige privacywet. Sinds de meldplicht datalekken er is, stijgt ook het aantal aanbiedingen van dergelijke verzekeringen. Analisten van de grootste verzekeringsbeurs ter wereld, Lloyd's, schrijven dat toe aan het groeiende bewustzijn over de impact van datalekken.
Hoewel officiële cijfers ontbreken, proberen sommige analisten de groei te duiden. Lloyd's meldde al in 2017 een grote stijging van het aantal cyberverzekeringspolissen. De groei van 'honderden procenten' zou volgens analisten in 2020 betekenen dat er wereldwijd zeven miljard euro aan premies wordt geïnd. Een andere invloedrijke analist, AIR Worldwide, noemde in dat jaar een stijging van 733 procent van het aantal verzekeringen voor cybercrime.
Niet altijd nodig
Het 'cybergedeelte' van een bedrijf hoeft lang niet altijd apart te worden verzekerd. Er zijn namelijk veel verschillende risico's die een bedrijf kan afdekken waaraan vaak een digitale component is verbonden, zegt Barry Schütte van verzekeraar Chubb tegen Computable. Schade op digitaal gebied komt bijvoorbeeld niet alleen door criminaliteit, maar ook door bijvoorbeeld nalatig handelen van een werknemer of het niet goed inrichten van processen waardoor bijvoorbeeld back-ups verdwijnen.
Digitale schade kan soms ook onder de aansprakelijkheids-verzekering vallen
Als voorbeeld noemt Schütte schade aan een server doordat een medewerker daar per ongeluk een glas water over omstoot, of als iemand struikelt over een kabel. Dat zijn geen specifieke risico's die worden afgedekt door een cyberverzekering, maar dat is materiële schade die zou kunnen vallen onder de aansprakelijkheidsverzekering die een bedrijf waarschijnlijk al heeft. In veel gevallen is het dus wellicht niet nodig om voor het hele pakket verzekerd te zijn.
Verzekeringen voor consumenten
Cyberverzekeringen zijn er voornamelijk voor bedrijven, maar her en der zijn inmiddels ook voor consumenten verzekeringen te krijgen waarmee ze tegen online criminaliteit zijn beschermd. Univé heeft sinds 2017 bijvoorbeeld de Zorgeloos Online-verzekering. Daarmee kunnen ook particulieren zichzelf tegen cybercrime verdedigen. De polis beschermt tegen schade door malware, al definieert hij niet wat dan precies onder schade wordt verstaan. De polis benoemt alleen 'schade door fraude', maar geeft weinig concrete voorbeelden. Net als bij bedrijfsverzekeringen krijgen klanten naast preventie ook advies bij het beschermen van hun netwerk. Ze krijgen bijvoorbeeld een speciale iot-router in bruikleen. De F-Secure Sense zet een firewall op voor iot-apparaten en heeft ingebouwde antivirus. De markt voor consumentenverzekeringen lijkt echter klein, bleek al een paar jaar geleden.
De inhoud
De meeste verzekeraars stellen bij hun verzekeringen bepaalde eisen. Een bedrijf moet zijn beveiliging bijvoorbeeld goed op orde hebben voordat aanspraak op de verzekering kan worden gemaakt. Om wat voor eisen het dan gaat, verschilt per verzekeraar. De verzekering van Centraal Beheer heeft bijvoorbeeld behoorlijk wat specifieke eisen. Om aanspraak te maken op hulp bij vergoedingen van ransomware, staat er bijvoorbeeld dat 'alle standaardwachtwoorden of standaardtoegangscodes bij het eerste gebruik direct gewijzigd en veilig bewaard' moeten worden. Updates zijn niet alleen verplicht, ze moeten per se automatisch worden doorgevoerd. Back-ups maken wordt niet alleen gestimuleerd, maar Centraal Beheer eist dat die 'apart van uw computersysteem' worden bewaard.
Wat 'redelijke beveiligingseisen' zijn voor bedrijven, is niet altijd even duidelijk
Vergelijk dat met de tekst in de polis van Allianz, die slechts spreekt van 'redelijke voorzorgsmaatregelen': "De verzekerde neemt alle redelijke voorzorgsmaatregelen om haar bedrijfscomputersysteem te beschermen en om het optreden van een cyberaanval of een bedrijfsstoringsgebeurtenis te voorkomen of de gevolgen ervan zoveel mogelijk te beperken." De verzekering van Achmea-dochter Avéro maakt het zo mogelijk nóg iets vager. Bij de clausule over wanneer niet wordt vergoed, staat: "Verzekerde doet te weinig om schade te voorkomen, en het is algemeen bekend dat dat te weinig is, of hij had moeten weten dat de kans op schade groot is."
Kosten van een incident
Het grote probleem bij het uitkeren van een schadevergoeding is dat het heel moeilijk is om te bepalen hoe hoog de schade bij een aanval is. Dat is onder andere waarom veel verzekeraars geen data beschikbaar willen stellen over het onderwerp, maar ook onafhankelijke onderzoeken hebben moeite om de kosten en opbrengsten te berekenen. In Verizons invloedrijke jaarlijkse Data Breach Investigation Report werd in 2016 voor het eerst vergeefs een poging gedaan om de kosten te becijferen. "Aan de ene kant proberen we de kosten te berekenen op basis van hoeveel data er is gestolen, maar dat verschilt erg per bedrijf", schrijven de onderzoekers. "Van veel data-inbreuken weten we niet wat de kosten zijn. Waarom het ene bedrijf X kwijt is en het andere Y, is niet bekend."
Wel wisten de onderzoekers van Verizon uiteen te zetten waar de kosten van een verzekeringsuitkering in gingen zitten. Opvallend genoeg waren dat niet de kosten van het oplossen van het incident of het herstarten van zaken. Meer dan de helft van het uitgekeerde bedrag ging naar juridische bijstand. De een-na-grootste kostenpost was forensisch onderzoek. In veel mindere mate werden ook de notificatiekosten na een datalek meegenomen, maar vergoedingen voor bijvoorbeeld gemiste inkomsten na een incident zijn bijna non-existent.
Vergoeden van AVG-boetes
Sinds mei 2018 hebben bedrijven een nieuwe angst: het overtreden van de privacywetgeving. Al lang voordat de Algemene Verordening Gegevensbescherming officieel van kracht werd, werden bedrijven bang gemaakt voor de mogelijk catastrofale gevolgen als zij zich er niet aan hielden. Onder de Europese wet kan een toezichthouder boetes opleggen. Na een wat mak eerste jaar, waarin de focus nog lag op vooral voorlichting en ondersteuning, beginnen de eerste boetes inmiddels te vallen. De eerste Nederlandse AVG-boete kwam voor rekening van het Haagse Haga Ziekenhuis, dat het logbeleid voor medische dossiers niet op orde had. Het ziekenhuis kreeg daarvoor 460.000 euro boete.
Het is in Nederland mogelijk een verzekering af te sluiten tegen AVG-boetes
Inmiddels zijn boetes en het risico op handhaving een realistisch scenario voor een bedrijf. Verzekeren voor boetes is iets typisch Nederlands. Er zijn maar weinig landen waarin het mogelijk is om een verzekering voor boetes af te sluiten; alleen in een paar landen, zoals Noorwegen en Finland, kan dat ook. Heel vanzelfsprekend is dat niet; de optie lijkt in Nederland vooral door één partij te worden aangeboden. Verzekeraar AON deed vorig jaar samen met een advocatenkantoor onderzoek naar de mogelijkheden om zo'n verzekering aan te bieden. Conclusie: het kan. Wel moet zo'n verzekering aan veel voorwaarden voldoen. Een belangrijke: alleen bestuursrechtelijke boetes kunnen worden verzekerd. Dat zijn boetes die zonder tussenkomst van het OM of een rechter worden opgelegd, zoals boetes van de privacytoezichthouder. Strafrechtelijke boetes zijn niet te verzekeren.
Er zijn een paar verzekeraars in Nederland die verzekeringen tegen boetes aanbieden, zoals de VvAA voor medische professionals. In Nederland zijn er voor zover bekend nog geen voorbeelden geweest waarbij een bedrijf aanspraak maakte op een AVG-boeteverzekering. Dat komt niet in de laatste plaats doordat het aantal AVG-boetes in ons land op een paar handen te tellen is, maar het heeft nog een andere belangrijke reden. Verzekeraars vergoeden die boete alleen als er geen sprake is van grof nalatig handelen.
Geen nalatigheid
De ironie is echter dat boetes onder de AVG eigenlijk vooral worden uitgedeeld als blijkt dat een bedrijf juist grof nalatig is. Zeker van toezichthouders die meer sturend dan corrigerend zijn, zoals de Nederlandse Autoriteit Persoonsgegevens, krijgen bedrijven eerder een waarschuwing, een boze brief, of in het ergste geval een last onder dwangsom. Dat laatste is een voorwaardelijke boete. De toezichthouder grijpt meestal naar die middelen voordat een definitieve boete wordt uitgedeeld. Een bedrijf dat dus daadwerkelijk een boete krijgt opgelegd, moet het dan ook heel bont hebben gemaakt wat beveiliging betreft. Het is dan ook de vraag of de verzekeraar gaat uitkeren. Sommige verzekeraars zijn er niet heel uitgesproken over, waardoor de echte voorwaarden voor uitkering vaag blijven. Zo zegt De Goudse alleen: "Wij vergoeden een boete die als gevolg van een cyberincident is opgelegd door de Autoriteit Persoonsgegevens". De verzekeraar noemt daar ook alleen boetes onder de Wet bescherming persoonsgegevens, de oude privacywet vóór de AVG. Niet erg actueel dus.
Bij AIG staat bijvoorbeeld dat een boete niet wordt vergoed bij het 'opzettelijk veronachtzamen of niet naleven van een uitspraak of aanwijzing van een toezichthouder'. Als een toezichthouder dus eerst een waarschuwing geeft en het bedrijf daarna alsnog niet voldoet aan de wet, valt dat hoogstwaarschijnlijk onder dat 'niet naleven'. Het is dan ook de vraag of het bedrijf in dat geval aanspraak kan maken op een een vergoeding bij de verzekeraar, maar voor zover bekend is dat nog nooit aan de orde geweest.
Ransomwaredekkingen
Een belangrijke oorzaak voor de stijging van het aantal verzekeringen is de grote schade door ransomware, waarvan bedrijven in de afgelopen jaren steeds meer last kregen. Ransomwareverspreiders richten zich sinds kort steeds vaker op het infecteren van bedrijven met het doel in één keer een hoog losgeldbedrag los te peuteren. Ransomware kan desastreus zijn voor bedrijven en veel schade veroorzaken. Verzekeringen die die schade dekken, zijn dus populair. Opvallend is dat deze verzekeringen niet alleen schade dekken zoals de kosten van het herstellen van systemen of de inzet van extra ict'ers, maar ook vaak het losgeld waar criminelen om vragen. Het merendeel van de cyberverzekeringen lijkt dat te doen, al zijn er een paar die dat weigeren of bijvoorbeeld slechts een kwart van het bedrag vergoeden.
Ook bij deze kosten geldt dat de verzekerde eerst met een expert moet praten die door de verzekering wordt aangewezen. Die expert onderzoekt niet alleen wat er gebeurt, maar zoals in het geval van Centraal Beheer is hij ook degene 'die de cyberafpersing beperkt, bijvoorbeeld door getroffen gebruikersaccounts uit te schakelen of door malware te verwijderen'. De verzekeraars die het losgeldbedrag vergoeden, zeggen vrijwel allemaal dat ook specifiek cryptovaluta worden vergoed.
Het vergoeden van losgeld bij ransomware stimuleert volgens experts een criminele economie
Sommige experts zetten vraagtekens bij het betalen van losgeld. De 'ransomware-economie' wordt daardoor niet alleen in stand gehouden, maar ook groter gemaakt, zeggen ze. Uit onderzoek van ProPublica bleek bijvoorbeeld dat hogere verzekeringsuitkeringen bij ransomwareaanvallen juist leidden tot hogere losgeldbedragen bij daaropvolgende aanvallen. Anderzijds is het voor verzekeraars vaak goedkoper om het losgeld te betalen dan om de hele herinrichting van de ict-infrastructuur te financieren. Nadat het losgeld is betaald, moet weliswaar vaak alsnog veel werk worden verricht om systemen te updaten en nieuwe securitysoftware te installeren, maar het is vaak een stuk moeilijker om dat direct toe te schrijven aan een ransomwareaanval.
Geen uitkering bij oorlog
Een clausule die vaak voorkomt in verzekeringen in het algemeen, is die over oorlogvoeringen. Schade die wordt veroorzaakt door een 'gewapend conflict, burgeroorlog, opstand, binnenlandse onlusten, oproer of muiterij' worden doorgaans niet gedekt door verzekeraars. Dat is voor een auto- of brandverzekering doorgaans niet zo'n probleem. Voor cyberverzekeringen kan het echter wel degelijk tot conflict leiden, zeker als er veel geld mee gemoeid is.
Dat was bijvoorbeeld een belangrijke vraag bij de (Not)Petya-aanval op farmaceutisch bedrijf Merck. Het bedrijf leed naar schatting 1,2 miljard euro schade. Die zitten in het repareren van de netwerken en het vervangen van de computers, maar ook in de verloren handel in de tijd dat de aanval duurde. Het bedrijf beriep zich op zijn verzekering, maar die vond niet dat ze hoefde uit te keren. (Not)Petya wordt namelijk door de meeste beveiligingsbedrijven en -experts toegeschreven aan Rusland en specifieker aan de militaire inlichtingendienst GRU. De ransomware was geen criminele daad om geld te verdienen, maar een sabotagedaad, stelden de verzekeraars van Merck, en dat valt onder oorlogvoering. Merck moest naar de rechter om het bedrag te claimen, onder andere van Allianz.
Conclusie
Het aanbod en het aantal cyberverzekeringen stijgt jaar op jaar. Met een dergelijke verzekering denken ondernemers zich in te dekken tegen grote risico's, zoals de schade aan hun computersystemen bij ransomware, maar het is de vraag in hoeverre die verzekeringen effect hebben en hoeveel ze toevoegen. Voor sommige verzekerde onderdelen, zoals AVG-boetes, lijkt het zelfs onmogelijk dat het ooit tot uitkering komt.
:strip_exif()/i/2004806902.jpeg?f=fpa)
/i/2004836960.png?f=fpa)
/i/1248683747.png?f=fpa)
/i/2001462189.png?f=fpa)
:strip_exif()/i/2003261192.jpeg?f=fpa)
:strip_exif()/i/2000609729.jpeg?f=fpa)
:strip_exif()/i/1072706036.jpg?f=fpa)
/i/2002249063.png?f=fpa)
/i/2002161739.png?f=fpa)
/i/1129715850.png?f=fpa)
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/83401/crop5ad5c72b16b1b_cropped.png?f=community){kind=small}
/u/322701/crop6152f078d4887_cropped.png?f=community){kind=small}
/u/241825/Avatar_for_terrorist.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/50173/perp2.jpg?f=community){kind=small}
/u/208606/crop5f91741e39880.png?f=community){kind=small}
:strip_icc():strip_exif()/u/507959/crop56616cf9a306e_cropped.jpeg?f=community){kind=small}
/u/158148/crop5d2f87b2c1740_cropped.png?f=community){kind=small}
/u/484753/crop575a786146ac8.png?f=community){kind=small}
:strip_exif()/u/591794/crop61a251d10f7b3.gif?f=community){kind=small}
:strip_exif()/u/119419/candc-60px.gif?f=community){kind=small}
:strip_exif()/u/677/crop5e62ccc026e5a_cropped.gif?f=community){kind=small}
/u/172597/crop5e1225c8b1011.png?f=community){kind=small}
:strip_icc():strip_exif()/u/52072/crop5de51ebf91960_cropped.jpeg?f=community){kind=small}
/u/368633/crop678615f336e38_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/6753/overlord_avatar-3.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/161314/1285883144966.jpg?f=community){kind=small}
:strip_exif()/u/127195/Naamloos-1.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/345166/korn.jpg?f=community){kind=small}
/u/720/crop5e94afed7fd2b.png?f=community){kind=small}
.
:strip_icc():strip_exif()/u/439769/crop5a510243ea2e3_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/39264/notpingu.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/341611/crop59bdeb03f3805_cropped.jpeg?f=community){kind=small}
/u/649430/crop5f4f80baa9a78_cropped.png?f=community){kind=small}