De cyberbeveiliging van bedrijven staat onder hoogspanning. Een aanhoudende storm van aanvallen drijft de kosten steeds verder op. Heeft dat ook een invloed op cyberverzekeringen?
“Cyberaanvallen zijn stilaan onverzekerbaar”. Met deze opvallende kop pakte De Tijd uit op 27 december. De krant citeerde Mario Greco, CEO van de Zwitserse verzekeraar Zurich Insurance Group, die in een interview met Financial Times aankaart dat cyberaanvallen zo frequent en disruptief zijn geworden dat ze haast niet meer te verzekeren zijn. Hij labelt cybercriminaliteit als een ‘systemisch risico’: termen die in het verzekeringsjargon normaal worden vrijgehouden voor grote natuurrampen en terroristische aanslagen.
In de onheilspellende woorden van Greco schuilt een waarheid. De actualiteit liegt er niet om: cyberaanvallen zijn dagelijkse kost. In België alleen al bereikte het totale aantal cyberaanvallen vermoedelijk een record van meer dan 100.000 incidenten in 2022, volgens cijfers van de federale politie. En hoe ernstig een cyberaanval je IT-systemen kan verstoren, moet je maar eens aan het stadsbestuur van Antwerpen vragen.
Hackers dringen steeds vaker binnen bij bedrijven en het kostenplaatje van een cyberaanval neemt bovendien ook jaar op jaar toe. Acronis voorspelt dat de gemiddelde kost van een beveiligingsincident de kaap van vijf miljoen euro zal overstijgen dit jaar. Cyberverzekeringen bieden een vangnet om (een deel van) de kosten van een aanval te recupereren, maar is dat net nog voldoende groot?
Wat dekt een cyberverzekering (niet)?
Heel wat organisaties dekken zich vandaag de dag tegen de hoge kosten van een cyberaanval door een cyberverzekering af te sluiten. Overweegt jouw bedrijf ook om er een te nemen, dan is het belangrijk om te weten wat een cyberverzekering precies voor zijn rekening neemt, en wat niet.
In het algemeen biedt een cyberverzekering biedt extra bescherming tegen de gevolgen van een cyberaanval. We leggen de nadruk op het woord ‘gevolgen’ omdat een cyberverzekering dus geen preventieve bescherming is.
lees ook
Cyberverzekeringen: meteen aanschaffen of niet?
Met een cyberverzekering kan je financiële en juridische bijstand krijgen als een beveiligingsincident plaatsvond. De verzekeraar komt tussen in de directe herstelkosten van getroffen systemen (tot een op voorhand vastgelegde limiet), schade die voortvloeit uit burgerlijke aansprakelijkheid en kosten om ‘reputatieschade’ te herstellen. Wat meestal niet inbegrepen zit, zijn kosten die je maakt om je beveiliging te verbeteren en eventuele betaalde sommen losgeld om gegevens weer vrij te geven.
De prijs die de klant betaalt om van die bescherming te genieten verschilt van organisatie tot organisatie, legt Serge Jacobs, woordvoerder van verzekeraar Ethias, ons uit. “Eerst maken we een uitgebreide analyse van het risico van de organisatie. Hoe meer beveiligingsmiddelen de klant al ter beschikking heeft, hoe lager het risico en dus ook de premie. Op die manier willen we ondernemingen aanmoedigen om proactief te investeren in hun cyberbeveiliging.”
Risico’s blijven beheersbaar
Door het stijgende aantal ondernemingen dat te maken krijgt met beveiligingsincidenten, moeten ook de cyberverzekeraars op de tippen van hun tenen lopen. Dat horen we van Martijn Van Samang, expert in cyberverzekeringen bij KBC Verzekeringen. “De cyberwereld evolueert snel. Als verzekeraar moeten ook wij constant mee evolueren om actueel te blijven en te kunnen inspelen op de behoeften van onze klanten.”
Doembeelden zoals die van de heer Greco zal je bij de Belgische verzekeraars nog niet onmiddellijk horen. “Voorlopig zijn de kosten van een cyberaanval voor ons goed beheersbaar. Dat heeft ook wel te maken met onze doelgroep van kmo’s, waarbij het totale kostenplaatje zelden tot in de miljoenen euro’s uitvalt zoals bij grote bedrijven. Tot heden hebben wij nog geen enkel geval voorgehad waar het verzekerde bedrag volledig werd uitgeput”, aldus de expert van KBC.
Nood aan sensibilisering
Recente grote incidenten in ons land moeten bedrijven stilaan wel wakker schudden van de ernst van cybersecurity. Dat kan meer bedrijven naar een verzekering doen grijpen. “Het bewustzijn bij Belgische ondernemingen is, zeker in vergelijking met buurlanden, nog zeer laag”, zegt Van Samang. “Te veel ondernemers denken nog dat ze geen interessant doelwit zijn. Door de recente gebeurtenissen die uitdrukkelijk in de media aan bod kwamen, zullen ondernemers stilaan wel beseffen dat het dichterbij komt dan ze dachten.”
Of het tot een stormloop op cyberverzekeringen zal komen, betwijfelt Jacobs. “De recente cyberaanvallen zorgen zeker voor meer sensibilisering rond het risico, en dat kan de vraag doen toenemen. Maar in eerste instantie zullen bedrijven toch eerder aandacht besteden aan het beveiligen van hun eigen systemen en daarna pas aan een verzekering denken.”
Recente cyberaanvallen in België zullen ondernemers doen inzien dat het risico dichterbij komt dan ze dachten.
Martijn Van Samang, KBC Verzekeringen