Geschiedenis
Het begrip cybersecurity verzekeringen is nog geen tien jaar oud. Oorspronkelijk was het idee dat het Amerikaanse bedrijfsleven zich beter zou wapenen tegen de impact van een lagere fase van offline zijn. Als enige oorzaak van dat offline zijn kende men op dat moment overstromingen, wervelwinden en andere vormen van natuurgeweld. De gewone bedrijfsverzekeringen bleken niet toereikend (lees: te ouderwets) om “digitale” schade te dekken en dus te vergoeden. Vanuit Washington is toen – uiteraard met de lobby van de verzekeringsmaatschappijen – beleid gemaakt dat er voor moet zorgen dat het bedrijfsleven (MKB en groter) zich beter kan verzekeren.
Natuurgeweld heeft de kiem gelegd voor cyberverzekeringen. Verzekeringen die rekening hielden met “digitale schade” bleken een goede basis te zijn voor het verder uitbreiden van het portfolio. De opkomst en groei van cybercrime incidenten in de VS gaven daarbij de productmanagers en marketeers bij de verzekeraars de nodige inspiratie. Zij zagen brood in het ontwikkelen van polissen die we nu kennen als cyberverzekeringen.
Vraag en Aanbod
Tot op heden is de vraag naar dit type verzekering klein. Dat is natuurlijk niet wat de verzekeraars zelf communiceren, Nationaal en internationaal is er opvallend weinig animo voor deze dienst. Direct vanaf de start was er het idee dat dit alleen voor de enterprises relevant zou zijn. Slechts die kunnen de verwachtte hoge premie betalen.
De eerste cases waarbij een met succes een beroep op de verzekering kon worden gedaan zijn ook geen goede reclame geweest. Door onder andere de security tak van Verizon is ooit in een taart diagram aangegeven wat de verdeling van de uitgekeerde vergoedingen is. Een substantieel deel van het verzekeringsgeld (tot 40%) wordt gebruikt om de advocaten te kunnen betalen. Dat is in de Amerikaanse context wellicht begrijpelijk. In de EU, waar de claimcultuur ontbreekt, worden dat soort bevindingen aangegrepen om te illustreren hoe onnodig een dergelijke verzekering hier is.
AVG
Specifiek voor de EU hebben de verzekeraars afgelopen jaar nog eens de marketing aangepast. Her en der viel te lezen en horen dat de AVG een goede reden kan zijn een cyberverzekering af te sluiten. Diverse partijen zijn ook actief met het bundelen van diensten. Dat is een slimme zet. Stel dat iemand een cyberverzekering afneemt en daarbij een abonnement op een pentest dienst krijgt. Zoiets zal vast bij de beoogde gebruikers positief overkomen.
Dat pentesters weten dat een paar tests, of zelfs 100 in een week tijd, slechts een momentopname zijn en een beperkt deel van de AVG risico’s inzichtelijk kan maken is een punt van kritiek op de bundels dat niet over het hoofd mag worden gezien. Toch kan een dergelijke bundel helpen cybersecurity (wat verder gaat dan de AVG) hoger op de agenda van het bedrijfsleven te krijgen. Daarom is het idee dat een verzekeraar meer aanbiedt dan alleen de polis best wel positief
Marsh
In Amerika gaat men echter een paar stappen verder. Marsh, een grote tussenpersoon heeft een eigen programma in de steigers gezet om cybersecurity hoger op de agenda te krijgen (bron). Bedoeling van “Cyber Catalyst program” is natuurlijk meer polissen verkopen. Om op te vallen heeft Marsh wel een hele bijzonder benadering gekozen. Het bedrijf noemt expliciet diensten en producten die het goed vindt. Bedrijven die hiervan gebruik maken krijgen korting op de cyberverzekering.
In Amerika roepen de meeste security experts, die niet voor de happy few van de Marsh shortlist werken, dat er de nodige risico’s aan deze actie kleven. Het selectieproces is vooralsnog ook erg weinig transparant. Ze willen uiteraard meer en betere security voor het bedrijfsleven maar niet op deze manier. Dat zal waarschijnlijk ook het oordeel van de Nederlandse security specialisten zijn als ze de Marsh plannen onder ogen krijgen. Leuk bedacht, maar willen we hier niet.
