Cyberverzekeringen zijn recent meermaals in de pers genoemd. Dit vooral die dienst wordt gelinkt aan ransomware en vergelijkbare zaken. Daarbij is het nadrukkelijk niet zo dat met elke cyberverzekering enige schade die te linken is aan ransomware is gedekt. Maar ook zonder die nuance is er wat aan de hand met dit soort verzekeringen.
Cyberverzekeringen sinds Katrina
Het is al eerder genoemd, wat we nu cyberverzekering noemen komt voort uit de grote schade die in het zuiden van de VS is geleden door natuurgeweld. Vooral de storm Katrina in 2005 heeft er voor gezorgd dat de politiek een punt is gaan maken van verzekeringen om de digitale bedrijfsvoering overeind te houden bij stormen, overstromen en dergelijke.
Dat de politiek daarbij heel erg goed naar de verzekeraars heeft geluisterd is bekend. Die lobby was uitermate succesvol. Op staatsniveau en landelijk niveau is de druk op ondernemers hoog vooral zo’n verzekering af te sluiten. Het idee is daarbij – los van de lobby – verdedigbaar. Aangezien alles en iedereen afhankelijk is van de digitale snelweg (“cyber”) is het logisch daar meer aandacht aan te besteden. Dat moet op twee manieren. Nadenken over de manier waarop men van het digitale gebruikt maakt en zorgen dat dat veilig gebeurt.
Als de digitale snelweg vergeleken wordt met een gewone snelweg is het plaatje duidelijk. Met een goede auto de weg op en zorgen dat die verzekerd is. Dat is in de digitale versie: zorgen voor een veilige computer of bedrijfsnetwerk en dat moet dan verzekerd zijn tegen uitval.
Amerikaanse verzekeringen – Europese markt
Katrina vond 15 jaar geleden plaats. Sindsdien is het aanbod van cyberverzekeringen toegenomen. De Amerikaanse verzekeraars zijn de oceaan overgestoken in de hoop dat Europa het nut ervan zou inzien. Die actie was tot ongeveer 2018 geen noemenswaardig succes. De AVG heeft dat iets veranderd, maar nog steeds is de animo voor dit soort verzekeringen in de EU niet overweldigend groot.
Oordeel Rekenkamer
Recent heeft de Amerikaanse Rekenkamer nog eens naar dit type verzekeringen gekeken. De conclusie liegt er niet om. Het onafhankelijke controleorgaan stelt vast dat de aanbieders te weinig kennis hebben om tot goede polissen te komen.
Bijzonder aan dat oordeel is dat men daarvoor alleen naar de Amerikaanse markt heeft gekeken, waar het uitbetalen van de schade veroorzaakt door ransomware deel kan uitmaken van de polis. Die optie is het laatste jaar duurder geworden en inmiddels zijn er verzekeraars die complete sectoren deze optie niet meer bieden.
Inmiddels weten we ook dat twee grote verzekeraars op de Amerikaanse markt voor alle klanten het losgeld voor het opheffen van ransomware besmettingen niet meer vergoeden. Dat is een teken aan de want dat er iets gaat veranderen bij cyberverzekeringen. Sinds een week is ook bekend dat de federale overheid en toezichthouders een verbod op het betalen van losgeld voor bedrijven in de kritieke sectoren wil opleggen.
Businesscase versus risico
Al die recente ontwikkelingen worden voor het gemak in een adem genoemd met cyberverzekeringen. Strikt genomen gaat het echter nog steeds om twee zaken. De eerste is dat de businesscase van dit soort verzekeringen nog steeds vragen oproept. Ander punt is dat ransomware schijnbaar een te groot risico is voor “algemene” cyberverzekeringen.
Vanwege dat laatste neemt nu ook de druk van Washington toe om bedrijven weerbaarder te krijgen. Men waarschuwt ook de criminelen en facilitators voor een andere benadering van het probleem.
