Cyberrisico’s dreigen onverzekerbaar te worden

De hoge digitaliseringsgraad in combinatie met het massale thuiswerken maakt Nederland een geliefd doelwit voor cybercriminelen. Verzekeraars kijken als gevolg van de toegenomen schadelast kritischer naar het cyberrisicoprofiel van organisaties. Cyberverzekeringen worden dan ook duurder voor organisaties, zowel in het mkb als voor grote multinationals. Wie de cybersecurity niet op orde heeft, zou in de toekomst wel eens helemaal geen verzekering meer kunnen krijgen.

Volgens Marie-Louise de Smit, Cyber Broking Director bij Aon’s Cyber Solutions, moet cybersecurity binnen organisaties fors verbeterd worden, willen de verzekeringen betaalbaar blijven. “Een lekkend dak is ook niet verzekerbaar.”

 “De vraag is niet of je getroffen wordt door een aanval, maar wanneer. De cybersecurity moet simpelweg verbeterd worden. Het onderwerp behoort op de agenda van de directie te staan en niet ‘uitbesteed’ te worden aan de IT-afdeling. Het besef dat bij bijvoorbeeld een ransomwareaanval de volledige bedrijfsvoering stilvalt, reputatieschade veroorzaakt en het voortbestaan van het bedrijf in gevaar komt, is nog te weinig aanwezig.”

De Smit voorziet twee mogelijke scenario’s voor de toekomst van de verzekeringsmarkt. “Of we verbeteren massaal onze cybersecurity, over de gehele breedte van het bedrijfsleven. Verzekeraars blijven dan hoogstwaarschijnlijk geneigd om het restrisico te verzekeren, omdat er dan ook een brede basis is aan maatregelen waardoor de schade beperkter wordt. “Wat echter ook kan, maar niet wenselijk is, is dat cyberverzekeringen enorm duur worden en alleen voor hele grote bedrijven nog betaalbaar zijn. De voorwaarde zal dan overigens nog steeds zijn dat zij hun beveiliging tegen cyberincidenten heel goed op orde hebben. Vergelijk het met een lekkend dak: als je daar niets of te weinig aan doet, blijf je er last van houden, leidt het tot meer schade en kan een verzekeraar ook zeggen dat ze je niet verzekeren.”

De Smit benadrukt dat de focus niet alleen op preventie moet liggen: “Belangrijker is misschien nog wel detectie: weet wanneer iemand in de systemen zit, hoe ver iemand erin zit, enzovoort. Word je geraakt, weet dan wat je moet doen om zo snel en veilig mogelijk weer productie te kunnen draaien. Niets doen is in elk geval geen optie meer”.