Nieuwe generatie cyberrisico’s op komst

Het bedrijfsleven moet zich opmaken voor een nieuwe generatie cyberrisico’s welke in vlot tempo evolueren en overgaan van de bekende gevaren zoals data-inbreuk, privacy zaken en reputatieschade naar operationele schade, bedrijfsonderbreking en zelfs potentiële catastrofale schades. Het cyberrisico is een grote en snelgroeiende bedreiging voor bedrijven, waarbij cybercriminaliteit de wereldeconomie zo’n $445 miljard kost. ’s Werelds tien grootste economieën dragen al voor de helft bij aan dit bedrag.

Dit blijkt uit het rapport ‘A Guide to Cyber Risk: Managing the impact of Increasing Interconnectivity’ waarin verzekeraar Allianz Global Corporate & Specialty (AGCS) de laatste trends op het gebied van cyberrisico’s en opkomende gevaren over de gehele wereld onderzoekt. “Net als vijftien jaar geleden zijn cyberaanvallen in het beginsel typisch het werk van hacktivisten, maar door de groeiende connectiviteit, globalisering en commercialisering van cybercrime is zowel de frequentie als de kracht van cyberaanvallen explosief toegenomen,” zegt AGCS CEO Chris Fischer Hirs. “Cyberverzekering is geen vervanging voor solide IT-beveiliging maar creëert wel een tweede verdedigingslinie om cyberincidenten te voorkomen.”

Strengere regelgeving en nieuwe cybergevaren
Zowel een toenemend bewustzijn van de gevaren van cyberrisico’s als veranderende wetgeving zal de toekomstige vraag naar cyberverzekeringen snel doen groeien, voorspelt AGCS. Aangezien momenteel minder dan 10% van de ondernemingen een specifieke cyberverzekering heeft afgesloten, voorspelt AGCS dat het premievolume van cyberverzekeringen in de komende tien jaar zal groeien van $ 2 miljard naar meer dan $ 20 miljard per jaar, een samengesteld groeicijfer van meer dan 20%.

“In de Verenigde Staten is er al sprake van groei door regelgeving op het gebied van databescherming, terwijl de ontwikkeling in wetgeving en de toenemende aansprakelijkheid in de rest van de wereld nu pas een groei zal laten zien,” zegt Nigel Pearson, wereldwijd verantwoordelijk voor cyberverzekeringen binnen AGCS. “Er is een algemene trend van een strenger wordend beleid met betrekking tot databescherming mede gesteund door de dreiging van aanzienlijke boetes in geval van inbreuk hierop.” Hong Kong, Singapore en Australië behoren tot de landen waar men nieuwe wetten onderzoekt of waar deze reeds van kracht zijn. Ook indien het de Europese Unie niet lukt om het eens te worden over pan-Europese regels voor databescherming kan men alsnog strengere richtlijnen per land verwachten.

Nieuwe generatie cyberrisico’s is complex
In het verleden werd de aandacht grotendeels gevestigd op de dreiging van data-inbreuk bij bedrijven en zorgen om privacy. De nieuwste generatie cyberrisico’s is echter complexer. Toekomstige dreiging komt van diefstal van intellectueel eigendom, cyber afpersing en de impact van bedrijfsonderbreking/-interruptie (BI) als gevolg van een cyberaanval of vanwege een operationeel of technisch mankement; een risico wat vaak wordt onderschat.

“Het bewustzijn van BI risico’s en verzekeringen gerelateerd aan cyber en technologie is groeiende. Binnen vijf tot tien jaar zal BI worden gezien als een sleutelrisico en een belangrijk element in de wereld van cyberverzekeringen,” zegt Georgi Pachov, cyber expert in het globale property underwriting team van AGCS. De BI dekking van cyberverzekeringen kan met het oog op cyber- en IT-risico’s vrij ruim zijn en biedt deze onder andere dekking voor voor bedrijfsmatige IT computer systemen. Het kan echter ook worden uitgebreid naar industriële controle systemen (ICS) die worden gebruikt bij energiebedrijven of robots die worden gebruikt in fabrieken.

Connectiviteit creëert risico
De toenemende onderlinge verbondenheid van alledaagse apparaten en het groeiend vertrouwen op technologie en real-time data in privé- en bedrijfsmatige sfeer, bekend als “Internet of Things”, creëren andere kwetsbaarheden. Sommige schattingen suggereren dat in 2020 een biljoen apparaten met elkaar verbonden kunnen zijn, terwijl naar verwachting het aantal apparaten dat dagelijks gegevens gaat uitwisselen op 50 miljard ligt. Een andere aandachtsgebied is ICS, aangezien een aantal van de nog actieve machines zijn ontworpen vóórdat cyber security een belangrijk agendapunt werd. Een aanval op een ICS kan resulteren in een fysieke schade zoals brand of explosie, maar ook BI.

AGCS waarschuwt dat het vooruitzicht op catastrofale verliezen steeds aannemelijker wordt. Hoewel er zich reeds een aantal zeer forse inbreuken op data heeft voorgedaan, is het nog lastig te voorspellen hoe zoiets eruit zal zien. Voorbeelden zijn een succesvolle aanval op de hoofdstructuur van het internet, een serieuze inbreuk op data of een netwerkstoring voor een cloud service provider. Daarnaast kan een grote cyberaanval bij een energie- of nutsbedrijf resulteren in aanzienlijke storingen, fysieke schade en zelfs het voortbestaan van de onderneming bedreigen.

Stand-alone dekking
Allianz stelt dat de omvang van cyberverzekeringen verder ontwikkeld dient te worden om bredere en verdergaande dekking te bieden, bedrijfsonderbreking te adresseren en het hiaat tussen traditionele dekkingen en cyberverzekeringen te dichten. Nu cyber-uitsluitingen in brand- en aansprakelijkheidsverzekeringen steeds meer gemeengoed worden zullen stand-alone cyberverzekeringen zich verder moeten ontwikkelen om deugdelijke dekking te bieden. Bedrijven actief in de telecommunicatie, retail, energie, nutsbedrijven en transport, maar ook van financiële instellingen zouden hier een groeiende interesse in tonen.

Scholing, zowel op het gebied van kennis van zaken en risico’s als underwriting kennis, moet daarnaast verbeterd worden als verzekeraars willen voldoen aan de groeiende vraag. In aanvulling hierop en in lijn met andere opkomende risico’s ervaren verzekeraars ondertussen uitdagingen rondom pricing, niet-geteste polisvoorwaarden, risicomodellering en -accumulatie.

Reageren op cyberrisico
Het AGCS rapport beschrijft de stappen die bedrijven kunnen nemen om het cyberrisico te adresseren. Verzekeren is volgens de verzekeraar slechts onderdeel van de oplossing, terwijl een begrijpelijke risicomanagement benadering wat de basis is voor cyberverdediging. “Als je eenmaal een cyberverzekering hebt afgesloten kun je IT beveiliging niet negeren. De technologische, operationele en verzekeringstechnische aspecten van het risicomanagement gaan hand in hand,’ legt Jens Krickhan uit, expert cyber & fidelity bij AGCS Centraal- en Oost-Europa.

Cyberrisicomanagement is té complex om slechts voorbehouden te zijn aan een enkel individu of afdeling. AGCS adviseert dan ook een zogeheten “denktank” benadering om risico’s aan te pakken waarbij verschillende belanghebbenden uit het hele bedrijf samenwerken om kennis te delen. Op deze wijze kunnen verschillende invalshoeken worden belicht en alternatieve scenario’s in acht genomen. Het kan hierbij onder andere gaan om het risico wat zich bijvoorbeeld voordoet bij bedrijfsontwikkelingen zoals fusies en overnames of het gebruik van de cloud of andere uitbestede activiteiten. Tot slot is de betrokkenheid van het gehéle bedrijf volgens AGCS essentieel om de belangrijkste risico lopende bedrijfsmiddelen te identificeren en een deugdelijk crisis responseplan te ontwikkelen en te testen.