Verzeker je niet tegen de oorzaken, maar tegen de gevolgen van cyberrisico’s

De term ‘cyberrisico’s’ roept associaties op met datalekken, hackers en virussen. Verzekeraars en ondernemingen zijn geneigd zich hierop te concentreren. De gevolgen, zoals systeemuitval, krijgen minder aandacht. Dat is op zichzelf een vreemde benadering, want het uitvallen van een IT-systeem kan direct de bedrijfscontinuïteit in gevaar brengen.

Vanuit verzekeringsperspectief zou het daarom beter zijn te kijken naar de gevolgen van cyberrisico’s in plaats van alleen naar de verzekerbaarheid van de oorzaken ervan. 

Het kan natuurlijk dat een IT-systeem uitvalt door een hack of een virus. Toch is de kans dat de oorzaak bij intern menselijk handelen ligt veel groter, zo blijkt uit ons jaarlijkse claims report. Ook systeemupdates, verkeerde instellingen en zelfs stroomtuitval kunnen leiden tot systeemuitval. De meeste cyberverzekeringen beperken zich echter tot de vaak benoemde oorzaken, zoals virussen of hacks. Organisaties die hun IT-systemen uitbesteden aan gespecialiseerde IT bedrijven lopen eveneens risico. Want ook die systemen kunnen uitvallen – tegemoetkoming voor eventuele bedrijfsschade wordt contractueel vaak afgedekt, waardoor er beperkt schade is te verhalen. De meeste cyberverzekeringen blijken kortom te beperkt in hun reikwijdte.

Verzeker je tegen cyberrisico zoals tegen brand
Voor ‘zichtbare’ risico’s als brand, wordt een verzekering als ‘normaal’ gezien. Dit begrijp ik goed, aangezien een brand zeer impactvol kan zijn voor een onderneming. Kijkend naar de risico’s en de gevolgen van systeemuitval - wat ook een enorme impact op een onderneming heeft – vraag ik mij vaak af waarom een verzekering hiervoor niet zo vanzelfsprekend is. IT systemen zijn bij sommige organisaties immers minstens zo belangrijk en onmisbaar als fysieke gebouwen; langdurig uitval ervan kan ernstige gevolgen hebben. De afhankelijkheid van IT-systemen is enorm. Uitval ervan beïnvloedt niet alleen de medewerkers en het werkproces van de organisatie, het kan ook negatieve invloed hebben op klanten en de reputatie. Maar ook uitval bij leveranciers, andere dan IT dienstverleners, kan grote gevolgen hebben. Producenten en winkels zijn bijvoorbeeld sterk afhankelijk van hun toeleveringen. Wanneer een IT-systeem uitvalt bij een leverancier, lopen ook zij omzet mis.

Een nieuw startpunt voor cyberverzekeringen
Verzekeraars en ondernemingen zijn vaak geneigd om specifieke vormen van cyberrisico’s te verzekeren, waardoor de focus op de oorzaak van systeemuitval ligt en het achterhalen van de bewijslast bij de onderneming blijft. Wanneer je het aan mij vraagt, is dit niet de manier om naar de verzekerbaarheid van cyberrisico’s te kijken.

Niet een focus op de oorzaak, maar juist de gevolgen zoals het uitvallen van de systemen moet gebruikt worden als startpunt voor de verzekering – zoals dat ook geldt voor veel brandverzekeringen. Om deze reden heeft AIG het voor ondernemingen mogelijk gemaakt om zich te verzekeren tegen systeemuitval in het algemeen, ongeacht de oorzaak van het falen. Ook het verzekeren van cyberrisico’s voor andere toeleveranciers dan IT dienstverleners is hierbij mogelijk – een belangrijk punt voor organisaties die hier sterk van afhankelijk zijn. Dat maakt een cyberverzekering omvattender en inclusief, in plaats van beperkt en exclusief.

Stefan Zwager, Cyber Product Lead en risico expert voor AIG in Nederland.


 
Geplaatst op 30-10-2018


Share on: