Verzekeraar waarschuwt: cybersecurity straks moeilijker te verzekeren dan klimaatschade


Zurich Door de toename van cyberaanvallen wordt het risico voor verzekeraars in de toekomst te groot, aldus topman Mario Greco.

Controlekamer van Oekraïense energiemaatschappij Ukrenergo. Oekraïne is geregeld doelwit van cyberaanvallen.
Controlekamer van Oekraïense energiemaatschappij Ukrenergo. Oekraïne is geregeld doelwit van cyberaanvallen.

Foto Valentyn Ogirenko/Reuters

Niet de schade van klimaatverandering, maar het risico van cyberaanvallen zou wel eens onverzekerbaar kunnen worden in de nabije toekomst. Deze waarschuwing deed bestuursvoorzitter Mario Greco van Zurich, een van Europa’s grootste verzekeringsmaatschappijen, in gesprek met zakenkrant The Financial Times. Hoewel verzekeraars voor het tweede jaar op rij meer dan 100 miljard dollar (93 miljard euro) moesten uitkeren om schade door natuurgeweld te vergoeden, is cybersecurity volgens Greco straks niet meer te dekken.

Volgens de Zurich-topman wordt bij cybercriminaliteit vaak vooral gedacht aan het buitmaken van privacygevoelige informatie, en niet aan wat er kan gebeuren als iemand de controle neemt over vitale delen van de infrastructuur. „Deze mensen kunnen ons leven ernstig ontregelen.”

Zurich-topman: publiek- private samenwerking nodig voor het verzekeren van systeemrisico’s

Cyberaanvallen op kritieke infrastructuur als die in Kiev, waar in 2015 en 2016 grote delen van de bevolking zonder stroom zaten als gevolg van een computerhack. Of de ransomware-aanval die vorig jaar een cruciale Amerikaanse oliepijplijn stillegde, en in sommige staten voor brandstoftekorten zorgde. Bij zo’n aanval ‘gijzelen’ hackers de data van bedrijven of overheidsdiensten, om ze te dwingen losgeld te betalen. Intussen kan de maatschappelijke ontwrichting een veelvoud ervan kosten. De herkomst van de groepen is niet altijd bekend, hoewel wordt aangenomen dat er vaak hackerscollectieven actief zijn die banden met de Russische, Chinese of Noord-Koreaanse overheid hebben.


Lees ookNCTV: Nederland legt het af tegen cyberdreiging

Twee weken uit de lucht

Niet alleen bedrijven zijn het doelwit, zo bleek deze maand in Antwerpen. Op 6 december werd duidelijk dat een hackerscollectief was binnengedrongen in de IT-systemen van de stad. Toen er alarm werd geslagen, waren hackers al dertien dagen ‘binnen’ – en eisten zij losgeld. Als de stad niet 2 miljoen euro zou overmaken, zouden de hackers een grote hoeveelheid privacygevoelige data vrijgeven. Kort voor de hack was er nog een campagne gestart om het bewustzijn over cyberaanvallen te vergroten bij inwoners en bedrijven. „Misschien enigszins ironisch”, glimlachte de Antwerpse burgemeester Bart De Wever wat krampachtig tijdens een persconferentie begin vorig week.

Om erger te voorkomen, werd de stekker uit alle IT-systemen getrokken. Bijna twee weken lang waren verschillende diensten in de stad offline. De hackers trokken hun eisen uiteindelijk in, mogelijk uit angst om geïdentificeerd te worden. Wat de cyberinbraak de stad uiteindelijk heeft gekost is niet bekend – in ieder geval is er volgens De Wever geen losgeld betaald. Ook zou de stad niet verzekerd zijn voor cyberaanvallen. Immers, welk bedrag je er ook tegenaan gooit, „honderd procent veiligheid bestaat niet”, zo zei De Wever.

En dat is precies het probleem van verzekeraars. Het aantal cyberaanvallen neemt al jaren toe, en daarmee ook de schade. De claims zorgen ervoor dat verzekeraars hun polisvoorwaarden opschroeven; gemeten over april en mei van dit jaar waren de premies voor cyberveiligheid volgens onderzoek van de Britse verzekeraar AON met 27 procent gestegen ten opzichte van een jaar geleden. Ook moeten steeds meer klanten voldoen aan hoge beveiligingseisen – de Amerikaanse verzekeraar AIG laat klanten een lijst met 25 vragen invullen over hun beveiligingsmaatregelen. Wie ruim onvoldoende scoort, krijgt geen polis.

Volgens Zurich-topman Greco zijn er grenzen aan de risico’s die de private sector kan dragen. Overheden zouden volgens de Zurich-topman een „privaat-publieke samenwerking” moeten opzetten om de systeemrisico’s te verzekeren die cyberaanvallen vormen – risico’s die over het algemeen moeilijk in getallen te vatten zijn.

Europese richtlijn moet strenger

Verzekeraars kijken ook uit naar een herziening van de EU-richtlijn voor cyberbeveiliging. De huidige richtlijn (2016) geldt voor bedrijven met een ‘essentiële functie’ zoals in de telecom- en energiesector. In Brussel buigen beleidsmakers zich over herziening waardoor meer sectoren onder de strengere regels vallen en ook het aantal maatregelen zal toenemen.

Dankzij de nieuwe richtlijn moeten ‘onverzekerbare’ bedrijven veiliger worden, waardoor het risico afneemt en de kosten van cyberverzekeringen weer enigszins teruggebracht kunnen worden. Wanneer de herziening er is, is nog niet duidelijk. Tot die tijd geldt: niet op verdachte links klikken en op z’n tijd de IT-beveiliging updaten.