Cyber: wel bewust, niet bekend

Dit artikel verscheen als eerst in SCHADE Magazine.

Cyber is hot. De voorbeelden van cyberincidenten liggen voor het oprapen. Iedereen lijkt te weten dat er risico’s zijn. Hoewel steeds meer ondernemingen een verzekering overwegen, is de dichtheid van cyberverzekeringen in Nederland nog klein. Is het wel duidelijk genoeg welke cyberrisico’s een bedrijf exact loopt en wat de impact is wanneer dit getroffen wordt door een cyberincident? AIG stelt dat je eerst het risico concreet moet maken, voordat je überhaupt een verzekering sluit.

Cyber: wel bewust, niet bekend

“Het cyberrisico wordt slecht begrepen. Vaak wordt gekeken naar IT. Logisch, want onze afhankelijkheid van technologie wordt steeds groter”, zegt Stefan Zwager, Cyber lead Nederland. “Maar cyberrisico’s zijn breder dan alleen IT.” AIG analyseert ieder jaar zijn wereldwijde claimsstatistieken en publiceert de meest voorkomende oorzaken van cyberincidenten. Het 2018-onderzoek wijst uit dat de menselijke factor een steeds grotere rol speelt bij cyberincidenten. Een kwart van de incidenten was te wijten aan Business Email Compromise (BEC), aanzienlijk meer dan 11% in 2017. Bij BEC is er sprake van het inbreken in een zakelijk e-mail account en het vervalsen van de identiteit van een medewerker. Naast Ransomware waren Datalekken door hackers en Datalekken als gevolg van nalatigheid van werknemers belangrijke oorzaken in 2018.

De mate waarin een bedrijf kwetsbaar is voor cyberincidenten is bepalend voor de actiebereidheid van ondernemers. Deze kwetsbaarheid is van veel verschillende factoren afhankelijk. Verschillende bedrijfsactiviteiten leiden tot andere vormen van cyberkwetsbaarheid. Daarnaast beïnvloeden preventieve maatregelen het bedrijfsspecifieke risicoprofiel. “Niet alleen is het belangrijk te weten hoe risicogevoelig de organisatie is, maar ook wat de financiële gevolgen zijn van een cyberincident”, zegt Zico van Rooijen, cyber verzekeringsexpert bij AIG. “Pas met dit samengestelde inzicht zie je dat klanten weloverwogen kunnen kiezen of en hoe ze hun cyberrisico’s verzekeren.”

AIG helpt makelaars en hun klanten cyberrisico’s te concretiseren door de Cyber Impact Scan. Samen met de klant vult de adviseur een intelligent vragenformulier in, op basis waarvan AIG een cyber risicoassessment uitvoert. Dit geeft niet alleen een overzicht van de specifieke cyberrisico’s en de financiële impact ervan op de specifieke organisatie, maar vergelijkt ook de resultaten met die van peerbedrijven. De scan baseert zich op de input van klanten, de omvangrijke database met claims die AIG al jaren heeft en zogeheten threat intelligence: data uit het wereldwijde cyberspeelveld, waarmee het risicoprofiel van klanten continu kan worden bijgesteld.

Schijnveiligheid bestrijden

AIG vindt het belangrijk dat beschikbare data aan bedrijven wordt teruggeven in de vorm van bruikbare inzichten. “Vooral middelgrote organisaties denken vaak dat ze weinig risico lopen omdat ze door hun omvang niet interessant genoeg zouden zijn voor criminelen”, zegt Stefan Zwager. “Ook merken wij dat bedrijven denken dat door de uitbesteding van IT-diensten de cyberrisico’s voor hen wegvallen. Het zijn voor ons schokkende constateringen die laten zien dat er nog veel schijnveiligheid bestaat. Het past bij onze ambitie om bedrijven te helpen op dit gebied, of ze nu wel of niet bij ons verzekerd zijn.”