Cybersecurity voorgeschreven door de verzekeraar – willen we dat?

      Reacties uitgeschakeld voor Cybersecurity voorgeschreven door de verzekeraar – willen we dat?

Cybersecurity verzekeringen worden al enige jaren aangeboden. De vraag naar dit type verzekering is in Nederland nog steeds gering. In Amerika, waar het idee is ontstaan is dat niet veel anders. De ontwikkelingen daar gaan echter wel nu een kant uit die vragen oproept. Willen wij dat hier ook?

Geschiedenis

Het begrip cybersecurity verzekeringen is nog geen tien jaar oud. Oorspronkelijk was het idee dat het Amerikaanse bedrijfsleven zich beter zou wapenen tegen de impact van een lagere fase van offline zijn. Als enige oorzaak van dat offline zijn kende men op dat moment overstromingen, wervelwinden en andere vormen van natuurgeweld. De gewone bedrijfsverzekeringen bleken niet toereikend (lees: te ouderwets) om “digitale” schade te dekken en dus te vergoeden. Vanuit Washington is toen – uiteraard met de lobby van de verzekeringsmaatschappijen – beleid gemaakt dat er voor moet zorgen dat het bedrijfsleven (MKB en groter) zich beter kan verzekeren.

Natuurgeweld heeft de kiem gelegd voor cyberverzekeringen. Verzekeringen die rekening hielden met “digitale schade” bleken een goede basis te zijn voor het verder uitbreiden van het portfolio. De opkomst en groei van cybercrime incidenten in de VS gaven daarbij de productmanagers en marketeers bij de verzekeraars de nodige inspiratie. Zij zagen brood in het ontwikkelen van polissen die we nu kennen als cyberverzekeringen.

Vraag en Aanbod

Tot op heden is de vraag naar dit type verzekering klein. Dat is natuurlijk niet wat de verzekeraars zelf communiceren, maar nationaal en internationaal is er opvallend weinig animo voor deze dienst. Direct vanaf de start was er het idee dat dit alleen voor de enterprises relevant zou zijn. Slechts die kunnen de verwachtte hoge premie betalen.

De eerste cases waarbij een met succes een beroep op de verzekering kon worden gedaan zijn ook geen goede reclame geweest. Door onder andere de security tak van Verizon is ooit in een taart diagram aangegeven wat de verdeling van de uitgekeerde vergoedingen is. Een substantieel deel van het verzekeringsgeld (tot 40%) wordt gebruikt om de advocaten te kunnen betalen. Dat is in de Amerikaanse context wellicht begrijpelijk. In de EU, waar de claimcultuur ontbreekt, worden dat soort bevindingen aangegrepen om te illustreren hoe onnodig een dergelijke verzekering hier is.

AVG

Specifiek voor de EU hebben de verzekeraars afgelopen jaar nog eens de marketing aangepast. Her en der viel te lezen en horen dat de AVG een goede reden kan zijn een cyberverzekering af te sluiten. Diverse partijen zijn ook actief met het bundelen van diensten. Dat is een slimme zet. Stel dat iemand een cyberverzekering afneemt en daarbij een abonnement op een pentest dienst krijgt. Zoiets zal vast bij de beoogde gebruikers positief overkomen.

Dat pentesters weten dat een paar tests, of zelfs 100 in een week tijd, slechts een momentopname zijn en een beperkt deel van de AVG risico’s inzichtelijk kan maken is een punt van kritiek op de bundels dat niet over het hoofd mag worden gezien. Toch kan een dergelijke bundel helpen cybersecurity (wat verder gaat dan de AVG) hoger op de agenda van het bedrijfsleven te krijgen. Daarom is het idee dat een verzekeraar meer aanbiedt dan alleen de polis best wel positief

Marsh

In Amerika gaat men echter een paar stappen verder. Marsh, een grote tussenpersoon heeft een eigen programma in de steigers gezet om cybersecurity hoger op de agenda te krijgen (bron). Bedoeling van “Cyber Catalyst program” is natuurlijk meer polissen verkopen. Om op te vallen heeft Marsh wel een hele bijzonder benadering gekozen. Het bedrijf noemt expliciet diensten en producten die het goed vindt. Bedrijven die hiervan gebruik maken krijgen korting op de cyberverzekering.

Dit plan – het moet in 2020 van start gaan – kan op de nodige kritiek rekenen. Het begint er al mee dat de evaluatie van de producten en diensten die recht op korting geven effectief is uitbesteed aan Microsoft. Daarnaast kan worden afgevraagd het is bugbounty jagers als HackerOne op te nemen. Dat impliceert namelijk dat een andere doelgroep wordt geadresseerd dan zakelijke gebruikers van IT en software. Bij de genoemde hardware kan ook vraagtekens worden gezet. Maar de meeste discussies die over Marsh gaan draaien om de vraag of het gewenst is dat verzekeraars langs deze route de macht krijgen te gaan voorschrijven wanneer van goede security sprake is.

In Amerika roepen de meeste security experts, die niet voor de happy few van de Marsh shortlist werken, dat er de nodige risico’s aan deze actie kleven en dat het selectieproces vooralsnog weinig transparant is. Ze willen uiteraard meer en betere security voor het bedrijfsleven maar niet op deze manier. Dat zal waarschijnlijk ook het oordeel van de Nederlandse security specialisten zijn als ze de Marsh plannen onder ogen krijgen: leuk bedacht, maar willen we hier niet.