Moeten bedrijven een verzekering afsluiten tegen cyberrisico’s en wat mogen ze daar dan van verwachten? En: wat kost dat eigenlijk? In het Computable Café kwamen Koen Druyts (van makelaar Cybercontract), Door Cooreman (van makelaar ADD), Thomas Christiaens (van verzekeraar AIG) en Lars Putteneers (van beveiliger Sophos) hierover van gedachten wisselen.
Dat meer en meer bedrijven geïnteresseerd zijn in zo’n verzekering bewijzen de cijfers die de verzekeraars hadden meegebracht. ‘Het cyberproduct van AIG werd in 2012 gelanceerd, in 2017 hadden we vierhonderd polissen in portefeuille, een jaar later waren dat er achthonderd’, zegt Thomas Christiaens. ‘Sinds 2015 is er elk jaar ongeveer een verdubbeling. Vooral kmo’s maken er gebruik van, wat niet verwonderlijk is, want België is een typisch kmo-land. In het soort kmo’s is wel geen lijn te trekken, dat gaat heel breed.’
‘In 2015 stonden we bij wijze van spreken te roepen in de woestijn’, zegt Cooreman, ‘maar vanaf 2017 is het aantal aanvragen systematisch aan het stijgen. Bij ADD krijgen we ongeveer vier aanvragen per week. Daaruit vloeit ongeveer één contract per week.’
‘Wij zijn er mee gestart rond 2015’, zegt Druyts van Cybercontract. ‘Het eerste jaar hadden we dertig polissen, nu zijn dat er zo’n driehonderd. Voor 2020 mikken we op zeshonderd. Dat blijven wel zeer bescheiden cijfers. In België hebben we ongeveer een miljoen bedrijven, we zitten dus nog niet aan 1 procent van de markt.’
Wat zijn de grootste risico’s die jullie kunnen verzekeren?
‘Cybercrime is nu heel ruim’, zegt Putteneers, ‘Iedereen heeft een laptop en een gsm, iedereen wil van overal werken en iedereen heeft Office 365. Je moet dus je data beveiligen, je netwerk beveiligen….een product dat alles doet, kan niet. Er zijn verschillende zwakheden.’
‘Diefstal via hacking is voor ons niet het hoofddoel’, aldus Christiaens. ‘Vooral de haperende bedrijfscontinuïteit is belangrijk. Die financiële schade is onze hoofdbekommernis. In dat opzicht kun je een cyberverzekering als een soort anti-faillissements-verzekering bekijken. Je business valt stil, dat is ruimer dan hacking. Ook de fouten van je eigen personeel mag je niet vergeten.’
‘Veel bedrijven zien cyber en crime als één pot nat’, zegt Cooreman. ‘Verzekeraars niet. Wij willen differentiëren: welke polis is best geschikt voor welk bedrijf en welk type risico. Dat is maatwerk en moet afgestemd worden op de organisatie van het bedrijf.’
‘Ik weet niet of het maatwerk is, het is vooral afhankelijk van de grootte van het bedrijf’, zegt Christiaens. ‘Hoe kleiner het bedrijf, hoe minder maatwerk eraan te pas komt.’
‘Ik denk dat er drie elementen meespelen’, zegt Druyts. ‘Criminaliteit, pure systeem failures en menselijke fouten. Voor productiebedrijven is een bedrijfsstilstand de zwaarste calamiteit, voor dienstenbedrijven zijn dat claims van derden en inbreuken tegen GDPR. Wij doen trouwens ook niet de facto-maatwerk, we proberen kmo’s een zo volledig mogelijk product aan te bieden. Maatwerk is er pas vanaf pakweg tweehonderd werknemers. Wat claims betreft: vandaag gaat ongeveer 60 procent over ransomware. Het is ons tot nu altijd gelukt om niet te betalen. Maar we zouden het doen als het nodig blijkt.’
Geeft een cyberverzekering geen vals gevoel van veiligheid en wat vereisen jullie qua preventie?
‘Harde garanties in security kan je niet geven’, zegt Putteneers. ‘Wij detecteren vierhonderdduizend nieuwe bedreigingen per dag. Het is een voortdurend kat-en-muis-spel.’
‘Verzekering en beveiliging zijn ook een en-en-verhaal’, geeft Christiaens aan. ‘Zonder deftige beveiliging krijg je geen verzekering. Honderd procent veilig kan inderdaad niet, daar ben ik het wel mee eens. Maar het is wel een goed idee om een kosten-baten-analyse te doen. Wij polsen voor het afsluiten van de polis ook naar hoe de klant beveiligd is, welke procedures hij heeft en ook hoe de mindset binnen het bedrijf is, dus hoe ze er tegenover staan. Voor de schadebepaling werken we met it-experts samen. Elke zaak moet afgewogen worden. Als er een geval van ransomware is, is er bijvoorbeeld geen enkele garantie dat klanten een encryptiesleutel krijgen nadat ze de criminelen betalen. In zo’n geval mag je dus enkel betalen als het echt niet anders kan.’
‘Het hangt ook van de maatschappij af’, aldus Cooreman. ‘Sommige maatschappijen betalen nooit bij ransomware, uit ethische overwegingen. Wat de preventie betreft: soms gaan de vragen nog niet diep genoeg. Men vraagt wel of er een firewall is, maar niet welk type dat dan wel is of hoe oud hij is. Ik denk ook wel dat de acceptatiepolitiek zal verstrengen als het aantal uitbetalingen gaat stijgen.’
‘Het is nu nog een zaak van soft acceptatie om zoveel mogelijk klanten aan te trekken’, zegt Druyts. ‘Maar bepaalde sectoren zijn wel moeilijker te verzekeren dan andere. Soms kunnen certificaten ook helpen. Als bijvoorbeeld een webshop een bepaald veiligheidscertificaat haalt, laten we de voorafgaande screening vallen en krijgen ze korting op de premie. Maar we veranderen verder de polis niet als ze het certificaat niet bezitten. Je kunt een cyberverzekering eigenlijk vergelijken met een autoverzekering. Dat is ook geen vrijgeleide om met 200 kilometer per uur te rijden.’
Hoe bepalen jullie de schade die een klant heeft geleden?
‘Heel vaak is dat een professionele kost’, zegt Christiaens. ‘Van advocaten bijvoorbeeld. Dan is hun rekening de schadepost die wij vergoeden. Wat aansprakelijkheid betreft, hebben we al veel ervaring in andere verzekeringstakken. Voor het bepalen van winstderving werken we samen met bedrijfsrevisoren. Het is ook vaak nog allemaal nieuw terrein.’
‘Veel is gebaseerd op facturen’, legt Druyts uit. ‘Bij bedrijfsonderbrekingen gaat dat bijvoorbeeld over werk dat niet geproduceerd is of werknemers die moeten doorbetaald worden. Bij bijvoorbeeld reputatieschade gaan we niet de schade op zich vergoeden, maar de acties om die schade te herstellen, bijvoorbeeld een marketingcampagne.’
‘Een cyberpolis is ook iets atypisch’, zegt Cooreman. ‘Het is meer dan een schadevergoeding, maar heeft ook een bijstandskarakter.’
Hoe zien jullie de toekomst?
‘Ik denk dat resellers van it en verzekeringsmaatschappijen meer en meer naar mekaar gaan toegroeien’, zegt Putteneers. ‘Op die manier kunnen we een volledig pakket van diensten onder een paraplu aanbieden, met 99,99 procent zekerheid.’
‘Er zullen zeker meer en meer verzekeraars in deze markt actief worden’, meent Christiaens. ‘Ik denk dat dit in de toekomst een commodity-product zal worden. Traditionele verzekeraars zullen ofwel mee in de markt stappen of wel dit soort risico’s expliciet gaan uitsluiten.’
‘Ik denk dat het premie-incasso binnen deze markt binnen een jaar of zeven tien keer zo groot als vandaag’, verwacht Cooreman. ‘Die tendens naar partnerships zien we nu al. It-security is daarbij de basis, met de verzekering als sluitstuk.’
Om af te sluiten: hoeveel kost zo’n verzekering eigenlijk?
Blijft er natuurlijk nog een belangrijke vraag: hoeveel kost zo’n cyberverzekering eigenlijk? ‘Dat vormt een zeer brede vork’, aldus Cooreman, ‘het hangt af van de omzet, van het aantal personeelsleden en van de vragenlijst die werd ingevuld.’
‘Voor een kmo gaat die vork inderdaad breed, maar ‘duur’ kan je zo’n verzekering nog absoluut niet noemen’, reageert Druyts. ‘Reken in grootteorde op de prijs van een of een paar autoverzekeringen.’