Universiteit Maastricht geen Cyberverzekering – dat is logisch

      Reacties uitgeschakeld voor Universiteit Maastricht geen Cyberverzekering – dat is logisch

Woensdag hield de Universiteit Maastricht een mini symposium over de gelaagde besmetting met Clop-ransomware. Daarbij werd ook duidelijk dat de universiteit geen cyberverzekering had en heeft. Dat punt kwam kort voorbij en leidde niet tot bijzondere vragen. Het wijst wel op het al langer bestaande probleem dat de cyber verzekeringen weinig worden afgesloten.

Er zijn, ook op dit blog, al meerdere artikelen over cyberverzekeringen verschenen. De vraag of het een need to have of een nice to have is oud. Het antwoord op de vraag is over de jaren weinig verandert. Er zijn meer gevallen bekend geworden in de pers waarbij een cyber verzekering niet wordt uitgekeerd, dan dat er wel wordt betaald. In de gevallen waarbij wel wordt betaald blijkt dan weer dat de vergoeding voornamelijk voor onderzoek en legal zijn.

Ransomware heeft niet allee grote impact op bedrijven en instellingen zoals de Universiteit Maastricht. Zodra er een link met een staat kan worden gelegd neigen verzekeraars de directe schade niet te betalen en starten jaren durende rechtszaken (Mondelēz vs Zurich American Insurance Company).

Of het geëiste losgeld in andere gevallen wel wordt vergoed is lang niet overal duidelijk te achterhalen in informatie die online te raadplegen is. Dat in ieder geval in Canada verzekeraars over gaan tot betaling van het losgeld is inmiddels wel bekend. Dat ze dat doen om de afpersers te kunnen traceren en zo beslag op de rekeningen van deze criminelen te kunnen leggen is onder andere hier terug te lezen.

Maastricht heeft dus geen verzekering en in het bedrijfsleven is het ook nog geen standaard feature. Het is puur toeval dat gisteren ook in de Britse tech pers wat over het onderwerp cyber verzekeringen verscheen. Gallagher B2B verzekeringen heeft namelijk een blogpost met onderzoek online gezet waarin dieper op die materie wordt ingegaan. De resultaten spreken voor zich.

Slechts 18% van de 1.000 benaderde bedrijven heeft een specifieke (“stand alone”) cyberverzekering. Dat 82% procent niet is verzekerd heeft twee redenen. De eerste is dat een grote groep verwacht dat het “cyber” risico al door de de reguliere verzekeringen is afgedekt. De tweede reden heeft te maken met de volgende cijfers:

  • 59% van de grotere bedrijven beschouwt cyber-aanvallen en data lekken als een serieuze bedreiging.
  • 19% van de ondervraagde MKB (<50 medewerkers) denkt dat het een gewild doelwit is voor aanvallen.

Er is dus een grote en diverse groep die het risico niet ziet en er daarom weinig aandacht aan besteedt.

Voor Gallagher is dat reden de eigen core business “verzekeringsadvies” weer te promoten. Dat in het persbericht met geen woord gerept wordt over ransomware valt dan wel erg op. Dit soort onvolledige communicatie helpt niet om cyberverzekeringen als een laatste middel tegen deze vorm van cybercrime te promoten en geaccepteerd te krijgen. Wat Gallagher daarmee onbedoeld heeft laten zien is dat het logisch is dat Britse bedrijven en instellingen niet verzekerd zijn. Omdat in Nederland zelfs dit soort onderzoek ontbreekt is de onverzekerde status van Maastricht meer dan logisch.

Share: