Hoe een wereld zonder cyberverzekering in 5 jaar tijd ondenkbaar werd

In 2013 was de cyberverzekering nog een gloednieuw product op de Belgische markt. Slechts een verwaarloosbare minderheid achtte toen deze polis zinvol. Maar intussen is het aantal online processen in de bedrijfswereld almaar toegenomen en staan de risico’s niet langer ter discussie. Bovendien zet ook Europa met de nieuwe privacywetgeving (GDPR) cyberveiligheid hoog op de agenda.

Hoe een wereld zonder cyberverzekering in 5 jaar tijd ondenkbaar werd

Zowel de bedrijfswereld als de cybercriminelen zijn veranderd

Het toegenomen belang van de cyberpolis is een rechtstreeks gevolg van een metamorfose die zich de voorbije jaren voltrok op twee terreinen. Allereerst is de bedrijfswereld in verregaande mate gedigitaliseerd. Niet alleen in het productieproces, maar ook in facturatie en finance is een grote sprong gemaakt. Daarbij is ook de B2C-markt sterk gedigitaliseerd: zowat alles is vandaag online bestelbaar.

Ten tweede is er de voorbije jaren ook een enorme professionalisering geweest van de cybercriminelen zelf. Vroeger vormden individuen op dit terrein de grootste bedreiging. Zij verkenden de grenzen van wat mogelijk was en trachtten bedrijven in het nauw te drijven. Die eerste vorm van cybercriminaliteit heeft nu plaatsgemaakt voor een professionalisering die ieders verbeelding tart. Zo bestaan er vandaag bendes die gebruik maken van een heel leger aan hackers en bijhorend callcenter om zo vlot mogelijk losgeld te eisen.

Een cyberpolis op maat van deze nieuwe realiteit

Een cyberverzekering dekt de schade die een bedrijf heeft opgelopen na een cyberincident. Dat kan een blootstelling aan malware, virussen of hackers zijn, maar ook een menselijke fout van een medewerker kan aan de basis liggen. De gevolgen zijn vaak groot: van het verlies van inkomsten door bedrijfsonderbreking, overuren van IT’ers en extra professionals tot forse schadeclaims van klanten of leveranciers van wie de gegevens lekten.

De cyberverzekering is vandaag een bijzonder uitgebreide polis die zich – onder impuls van de verzekeringswereld – heeft aangepast aan de gewijzigde context. Aanvankelijk bestonden er twee afzonderlijke polissen: de ene dekte de aansprakelijkheid van de verzekerde – van boetes en meldingskosten tot claims van bedrijven die schade leden door een databreach of virus via de servers van de verzekerde. Een tweede polis ging de eigen schade van de verzekerde vergoeden, bijvoorbeeld na een bedrijfsstilstand. Vandaag zijn beide luiken ondergebracht in één cyberverzekering.

De polis werd de voorbije jaren verder uitgebreid met nieuwe waarborgen, zoals een dekking tegen cyberdiefstal of telefoonhacking. Ook werden de triggers van deze polis ruimer. Bij een breuk in de beveiliging, maar ook na een menselijke fout of een natuurlijke oorzaak zoals blikseminslag, kan de huidige cyberverzekering de financiële gevolgen afdekken.

Bovendien werden aan deze polis een heleboel extra services toegevoegd. Zo kunnen de verzekerden nu terecht op hulplijnen voor juridische assistentie, crisismanagement en zowel IT- als PR-hulp. Ook worden gratis scans aangeboden die een inkijk geven in de kwetsbaarheid van een bedrijf voor cyberaanvallen en hackers.

Het aantal polissen maar ook de opgelopen schade neemt exponentieel toe

In 2016 brak de cyberverzekering definitief door. Maar ook het voorbije jaar constateren we bij Vanbreda, in vergelijking met 2016, opnieuw een verdubbeling van het aantal afgesloten cyberpolissen.

Het is voornamelijk de Belgische kmo-markt die zich recent is gaan verzekeren tegen cybercriminaliteit en beveiligingsrisico’s. Daarbij vormt de nieuwe Europese privacyregulering (GDPR) beslist een stimulans: voor zij die niet in regel zijn dreigen immers fikse boetes. Deze administratieve boetes, maar ook alle kosten in het kader van de meldingsplicht, zijn vandaag verzekerbaar in een cyberpolis.

Helaas werden ook heel wat bedrijven recent geconfronteerd met (een poging tot) cybercriminaliteit. Ook dat heeft hen wakker geschud.

De schadecijfers van Vanbreda én van enkele grote cyberverzekeraars liegen er niet om: één op de dertien verzekerden kende in de voorbije vijf jaar een schadegeval.

Uit onze eigen cijfers (zie grafiek) blijkt dat dit in 43% van de gevallen ging om cryptolockers. Een databreach lag slechts bij 5% van de schadeclaims aan de basis, al zal dat aantal in 2018 ongetwijfeld stijgen. Vanaf 25 mei 2018 geldt met de GDPR-wetgeving immers een meldingsplicht voor datalekken.

grafiek schade cyber

Wat type schade betreft, zien we twee categorieën. Enerzijds zijn er de cryptolockers. Die komen vandaag vaak voor, maar de schade blijft gelukkig beperkt tot een bedrag tot 10.000 euro. Anderzijds zien we ook steeds grotere schades: cyberdiefstallen waarbij er een miljoen euro verdwijnt of bedrijfsstilstanden die dagen tot weken kunnen duren. De financiële impact hiervan is enorm. Er zijn in ons land voorbeelden bekend van cyberschades die opliepen tot in de miljoenen.

Wat brengt de toekomst?

Vast staat dat deze grafieken er helemaal anders gaan uitzien. Door de meldingsplicht bij datalekken zal dit type schadegevallen deel gaan uitmaken van de top drie. Daarnaast legt Europa boetes op bij datalekken na het niet-naleven van de GDPR-regulering, die kunnen oplopen tot 4% van de wereldwijde omzet. In het volume van de uitgekeerde schadebedragen zal ook dat zichtbaar worden.

Het is duidelijk dat de wetgeving verscherpt en onwetendheid niet langer wordt aanvaard. De overheid noch de bedrijfswereld twijfelt aan de huidige risico’s. Kortom, het nut van de cyberpolis staat niet langer ter discussie.

Tom Van Britsom
Schrijf u in op onze nieuwsbrief.