Er zijn, ook op dit blog, al meerdere artikelen over cyberverzekeringen verschenen. De vraag of het een need to have of een nice to have is oud. Het antwoord op de vraag is over de jaren weinig verandert.
Ook zijn er meer gevallen te vinden waarbij een cyber verzekering niet wordt uitgekeerd, dan dat er wel wordt betaald. In de gevallen waarbij wel is betaald blijkt dan weer dat de vergoeding voornamelijk voor onderzoek en legal zijn.
Rechtszaken
Ransomware heeft niet allee grote impact op bedrijven en instellingen zoals de Universiteit Maastricht. Zodra er een link met een staat kan worden gelegd neigen verzekeraars de directe schade niet te betalen. Dan starten jaren durende rechtszaken (Mondelēz vs Zurich American Insurance Company).
Of het geëiste losgeld in andere gevallen wel is vergoed laat zich lang niet overal achterhalen in informatie die online te raadplegen is. Dat in ieder geval in Canada verzekeraars over gaan tot betaling van het losgeld is inmiddels wel bekend. Dat ze dat doen om de afpersers te kunnen traceren en zo beslag op de rekeningen van deze criminelen te kunnen leggen is onder andere hier terug te lezen.
Toevallig nieuws
Maastricht heeft dus geen verzekering en in het bedrijfsleven is het ook nog geen standaard feature. Het is puur toeval dat gisteren ook in de Britse tech pers wat over het onderwerp cyber verzekeringen verscheen. Gallagher B2B verzekeringen heeft namelijk een blogpost met onderzoek online gezet waarin dieper op die materie wordt ingegaan. De resultaten spreken voor zich.
Slechts 18% van de 1.000 benaderde bedrijven heeft een specifieke (“stand alone”) cyberverzekering. Dat 82% procent niet is verzekerd heeft twee redenen. De eerste is dat een grote groep verwacht dat het “cyber” risico al door de de reguliere verzekeringen is afgedekt. De tweede reden heeft te maken met de volgende cijfers:
- 59% van de grotere bedrijven beschouwt cyber-aanvallen en data lekken als een serieuze bedreiging.
- 19% van de ondervraagde MKB (<50 medewerkers) denkt dat het een gewild doelwit is voor aanvallen.
Er is dus een grote en diverse groep die het risico niet ziet en er daarom weinig aandacht aan besteedt.
Voor Gallagher is dat reden de eigen core business “verzekeringsadvies” weer te promoten. Dat in het persbericht met geen woord gerept is over ransomware valt dan wel erg op. Dit soort onvolledige communicatie helpt niet om cyberverzekeringen als een laatste middel tegen deze vorm van cybercrime te promoten en geaccepteerd te krijgen. Wat Gallagher daarmee onbedoeld heeft laten zien is dat het logisch is dat Britse bedrijven en instellingen niet verzekerd zijn. Omdat in Nederland zelfs dit soort onderzoek ontbreekt is de onverzekerde status van Maastricht meer dan logisch.
