Bedrijven verzekeren zich tegen brand, diefstal, aansprakelijkheid en veel meer. Het wordt ook steeds normaler om een verzekering af te sluiten tegen digitale schade. Er is in het afgelopen jaar een explosie ontstaan van 'cyberverzekeringen'. Die dekken niet alleen datadiefstal en -verlies, maar soms ook de losgeldkosten bij ransomware en zelfs AVG-boetes. Althans, dat is de bedoeling.

Weinig bedrijven zijn ooit zo hard getroffen door ransomware als Norsk Hydro in 2018. De Noorse aluminiumproducent werd in maart dit jaar getroffen door LockerGoga, agressieve en geavanceerde ransomware die ook in Nederland toesloeg. LockerGoga is berucht omdat het wekenlang verborgen kan blijven in de systemen van vooral industriële bedrijven. Daar wacht de malware op het juiste moment om toe te slaan, om vervolgens miljoenen euro's aan losgeld te vragen. Al tientallen bedrijven werden slachtoffer van LockerGoga. Norsk Hydro besloot de ransomware niet te betalen. Of dat de juiste keus was, is de vraag. Financieel gezien was het een flinke slag die Norsk Hydro naar schatting 53 miljoen euro heeft gekost, en dat is waarschijnlijk een conservatieve schatting. Het duurde maanden voordat het bedrijf weer volledig operationeel was en alle duizenden computers weer werkten, maanden waarin het bedrijf niet op volle kracht kon draaien. Het bedrijf was weliswaar voor die schade verzekerd, maar moest een flinke deceptie verwerken toen bleek dat de verzekeraar slechts een fractie van de schade wilde vergoeden.

Eerder dit jaar werden verschillende Amerikaanse steden getroffen door gijzelsoftware waarbij de computersystemen onbruikbaar werden gemaakt. Het losgeld kwam meestal neer op miljoenen euro's. Dat werd in diverse gevallen betaald, maar niet door de gemeenten zelf. De steden wendden zich tot hun verzekeraars en lieten hen voor een groot deel opdraaien voor de kosten. Dat wordt steeds normaler. Niet alleen de schade en zelfs het losgeld bij ransomware, maar ook schade door datadiefstal, en de kosten van het vervangen van computers en het terugzetten van back-ups zijn nu bij de meeste Nederlandse verzekeraars net zo gemakkelijk te verzekeren als brandschade. Er zit wel verschil tussen de polissen en of bedrijven ook echt alle schade vergoed krijgen, is de vraag.

Wat is er te verzekeren?

Vier cyberverzekeringen heten simpelweg 'Cyberverzekering' Inmiddels hebben vrijwel alle grote Nederlandse verzekeraars een zogeheten cyberverzekering. Dat is doorgaans ook enigszins inspiratieloos de naam van de polis. Bij Allianz, Centraal Beheer, Nationale-Nederlanden en Achmea-tak Avéro heet de cyberverzekering simpelweg 'Cyberverzekering'. De Goudse heeft een verzekering die Cyberrisk heet, en er zijn wat kleinere partijen die eigen verzekeringen uitbrengen, zoals Cybercare van Turien & Co. Het gaat meestal om losstaande verzekeringen die specifiek op dit soort digitale risico's zijn gericht. Dat is wel anders dan een paar jaar geleden, toen bijvoorbeeld Nationale-Nederlanden met de mogelijkheid kwam voor webshops om cybercrime in hun algemene verzekeringspakket op te nemen. Die polis werd echter uitgefaseerd wegens gebrek aan animo.

Voor en na

De meest voorkomende onderdelen in een cyberverzekering zijn schade bij afpersing, zoals schade door ransomware of een ddos-aanval, of digitale diefstal van geld. In de meeste gevallen wordt schade aan computersystemen ook vergoed, net als het inhuren van experts. Opvallend is dat een paar jaar geleden vooral nog online schade zoals datadiefstal werd gedekt, maar dat daar inmiddels steeds meer schade bij is gekomen, zoals reputatieschade en schade aan apparatuur. Veel verzekeraars vergoeden ook bijkomende kosten bij een aanval, zoals de extra belkosten die een bedrijf maakt bij een storing van het telefoonsysteem.

Meestal volgen de verzekeringen eenzelfde patroon. Tijdens een aanval wordt eerst naar de directe schade gekeken: wat kost het om de aanval af te slaan, bijvoorbeeld in losgeld of aan extra ict-inzet. Daarna volgt een periode waarin met forensische analyse moet worden aangetoond wat er gebeurde, en wie verantwoordelijk en aansprakelijk is. Ook dat onderzoek kost geld waartegen een bedrijf zich kan verzekeren. Na het onderzoek begint de opbouw; nieuwe ict-systemen installeren, klanten informeren en zelfs pr-advies inwinnen. Dit is vaak een van de omvangrijkere en duurdere aspecten van een cyberverzekering, al is het lang niet altijd de kostenpost die het best wordt vergoed. Na afloop van een aanval kan een verzekering ook nog de nasleep vergoeden, zoals eventuele boetes die worden opgelegd door toezichthouders of extra controle op fraude bij klanten.