De polisvoorwaarden van cyberverzekeringen lopen te ver achter op de actualiteit waarbij hackers steeds vaker uit zijn op data. Dat zegt de CEO van Computest Security, Dennis de Hoog. Hij was afgelopen week op de Schademiddag van het Verbond van Verzekeraars om aanwezigen op deze kloof te wijzen.
Verschuiving van doelwitten
“Acceptatiecriteria die vanuit verzekeraars worden gehanteerd voor de cyberpolis, lopen achter ten opzichte van de modus operandi van cybercriminelen. Veel criteria gaan nog over het versleutelen van back-ups om te voorkomen dat de bedrijfscontinuïteit bij een cyberaanval in gevaar komt”, aldus De Hoog. Dat komt uit de tijd dat cybercriminelen zo snel mogelijk zo’n back-up probeerden te versleutelen om bedrijven daarmee af te persen.
De werkwijze op het gebied van cyberaanvallen is de afgelopen periode echter veranderd, vertelt hij. Als voorbeeld noemt De Hoog de hack bij Ticketmaster, waarbij de hackers claimden dat ze de persoonlijke gegevens van 560 miljoen klanten hadden bemachtigd. Het doel is nu om zo snel mogelijk zoveel mogelijk data te stelen en daar steeds delen van te publiceren op het dark web, stelt hij.
Experimenten met detectie
“Dat is het afpersingsmechanisme dat ze gebruiken. Met het openbaar maken van privacygevoelige gegevens, worden getroffen organisaties in verlegenheid gebracht en wordt duidelijk dat een succesvolle hack heeft geresulteerd in een datalek. Dat moet gemeld worden bij de autoriteiten en aan de betrokken consumenten. Op het moment dat er een nog groter datalek dreigt, neemt de bereidheid tot het betalen van losgeld daarom toe.”
De Hoog laat weten dat een aantal verzekeraars al wel experimenteert met maatregelen hiertegen. Bijvoorbeeld door middel van detectie. “Hier komt de laatste jaren steeds meer aandacht voor. Als je niet weet dat je aangevallen wordt, ben je namelijk automatisch te laat en kun je de schade niet beperken.”
Oorzaken achterstand
De kloof tussen de werkwijze van cybercriminelen en de voorwaarden die verzekeraars hanteren, heeft volgens De Hoog een paar oorzaken. “Een klassiek brand- of diefstalrisico is statischer. Digitale risico’s zijn veel meer in beweging. Het is in die zin ook spannend voor verzekeraars om daarop in te spelen.”
De Hoog is bekend met de financiële dienstverlening. In de begindagen van de cyberverzekering was hij risico-adviseur bij Aon. Hij ziet dan ook weinig evolutie in de manier waarop de cyberpolis is opgebouwd. “Deze was tien jaar geleden vrijwel hetzelfde. Het is een soort digitale EHBO-kit, waar een onder meer juridisch expert, een forensisch specialist en crisiscommunicatiedeskundige in zit. Ondertussen heeft de wereld niet stilgestaan, dus veel (potentiële) klanten hebben op deze gebieden al iets geregeld.”
Alle verzekeraars en verzekeringsmakelaars willen dat grote marktaandeel veroveren, maar het gebeurt al tien jaar niet
Dennis de Hoog, CEO bij Computest Security
Daarnaast moeten bedrijven in toenemende mate aantonen dat hun digitale beveiliging op orde is, benoemt De Hoog. “Dit laat je zien door onder andere een cyberverzekering te hebben, maar op de een of andere manier resoneert dit niet. Alle verzekeraars en verzekeringsmakelaars willen dat grote marktaandeel veroveren, maar het gebeurt al tien jaar niet.”
'Niet meer interessant'
Hoewel De Hoog inziet dat verzekeraars een risico-afweging moeten maken, is hij kritisch op de markt van de afgelopen jaren. “Aan de ene kant werd het duurder om een polis af te sluiten en daarnaast kwamen er allerlei uitsluitingen. Die dekkingen kon je dan weer tegen betaling aan de polis toevoegen. Voor veel potentiële verzekerden werd het niet meer interessant, ook omdat ze zich afvroegen wat ze hiervoor terugkregen.”
Het afgelopen jaar wist Computest Security oud Aon-CEO Marc van Nuland aan zich te binden als strategisch adviseur. Met hem heeft De Hoog het regelmatig over de verzekerbaarheid van cyberrisico’s. Samen proberen ze onder meer te achterhalen waarom die enorme vraag naar cyberverzekeringen uitblijft. “Is het te weinig bekend? Sluit het onvoldoende op de behoefte aan?”, vraagt De Hoog zich hardop af.
Laat zien dat je niet alleen op die EHBO-kit focust bij een incident, maar zet de stap naar voren in de keten van beveiliging door te beginnen bij preventie en te werken aan detectie
Dennis de Hoog, CEO bij Computest Security
Nieuwe cyberverzekeringen
“Daarom zijn we in gesprek gegaan met verzekeraars en makelaars. Dit leidde tot veel positieve respons”, vertelt De Hoog. Hierbij wordt gekeken naar geïntegreerde oplossingen die ervoor zorgen dat verzekerden zich gedurende de hele looptijd van de verzekering gesterkt voelen.
Daarnaast moet de hulp van Computest Security ervoor zorgen dat het risico op een incident met bijvoorbeeld preventieve maatregelen wordt verlaagd. Er lopen momenteel al een aantal trajecten waarbij het bedrijf samen met de verzekeraar nieuwe (varianten van) cyberverzekeringen ontwikkelt.
“Laat zien dat je niet alleen op die EHBO-kit focust bij een incident, maar zet de stap naar voren in de keten van beveiliging door te beginnen bij preventie en te werken aan detectie. Dat kan heel erg helpen, want dan bied je niet langer een puntoplossing voor wanneer het misgaat, maar zorg je ook dat de kans kleiner wordt dat het misgaat”, aldus De Hoog.
