Slechts 6% ondernemers heeft cyberverzekering

Dat ‘cyber’ een van de belangrijke zo niet het belangrijkste risico zal zijn in de toekomst, daar zijn verzekeraars het wel over eens. Veel ondernemers in het midden- en kleinbedrijf ondervonden inmiddels cybercrime aan den lijve, maar desondanks blijken de ondernemers zich nog onvoldoende bewust te zijn van het cyberrisico dat zij lopen en van het belang om dit risico te verzekeren.

Dat is niet alleen een gevoel dat bij mkb-verzekeraar De Goudse Verzekeringen leeft, maar dat blijkt nu ook uit de eerste resultaten van het tweede onderzoek dat in opdracht van de  verzekeraar werd gehouden onder ondernemers in het mkb. 

Een jaar na de introductie van de cyberverzekering van De Goudse, zijn we in gesprek met Stephanie Schimmel, senior propositiemarketeer bij De Goudse, met in haar portefeuille de verantwoordelijkheid voor de ontwikkeling van de cyberverzekering. Met het oog op die ontwikkeling werd in 2016 voor de eerste keer door Kantar TNS onderzoek gedaan onder het mkb naar hun ervaringen met cybercrime en de behoefte aan een cyberproduct (zijnde preventie en/of een verzekering). In mei en juni werd het onderzoek voor de tweede maal gehouden, zodat ook iets gezegd kan worden over de ontwikkeling in de tijd.. In beide onderzoeken zijn ondernemers ondervraagd in de kerndoelgroepen van de verzekeraar, te weten bouw, horeca, zakelijke dienstverlening, persoonlijke dienstverlening, detailhandel en groothandel.

6% mkb heeft cyberpolis
Op de vraag ‘Overweegt u een cyberverzekering?’ antwoordde in 2016 maar liefst 81% ‘nee’, maar ook in het recente onderzoek is het percentage nee-zeggers nog steeds opmerkelijk hoog: 69%. Was in 2016 slechts 1% duidelijk van plan om zo’n verzekering te sluiten, in het laatste onderzoek is het aantal mkb-ondernemers dat hier ‘ja’ antwoordt nog immer schrikbarend laag: 2%. ‘Misschien’ zo luidde in 2016 het antwoord van 16%. De misschien-zeggers groeiden tot 21%. In 2016 gaf slechts 1% aan reeds een cyberverzekering te hebben gesloten, nu zegt 6% een verzekering te hebben. Stephanie Schimmel: “Cyber is dus een alles behalve verzadigde markt, je kunt zeggen een markt die - ondanks alle media-aandacht die cyber krijgt - nog in de kinderschoenen staat. Voor adviseurs is cyber een uitgelezen mogelijkheid om advies te geven aan bestaande klanten in zijn portefeuille, maar zeker ook om binnen te komen bij nieuwe klanten. De adviseur zal dan op dit complexe risicogebied bijzonder goed beslagen ten ijs moeten komen om de ondernemer duidelijk te maken dat een cyberverzekering noodzakelijk is, temeer ook omdat de ondernemer op dit gebied nogal ‘hangt’ aan wat zijn IT-adviseur ‘ervan vindt’. Uit verschillende gesprekken met adviseurs komt naar voren dat een IT-adviseur meent dat de beveiliging van zijn klant dermate goed op orde is, dat hem op cybergebied niets kan overkomen. Waarom zou je dus een verzekering sluiten? Een IT-adviseur is echter geen cybersecurity-specialist”, betoogt Schimmel, “dat is echt een heel apart specialisme, dat je niet alleen nodig hebt om ervoor te zorgen dat je je preventie op orde hebt, maar vooral ook achteraf als zich onverhoopt toch een cyberincident voordoet.”

Multidisciplinaire aanpak
Een cybersecurity-specialist is ervaren in recherche-onderzoek naar cybercrime. Als een ondernemer bijvoorbeeld te maken krijgt met een datalek, moet hij dit melden bij de Autoriteit Persoonsgegevens. De overheid wil dan weten waar, wanneer en hoe het lek is ontstaan. En worden de gegevens te koop aangeboden? Dit vraagt om recherchewerk. Dit wordt allemaal gedaan door die specialist. “Een ondernemer denkt wellicht nog te veel aan verzekeringen in de klassieke zin van het woord: het betalen van een financiële vergoeding na schade. Maar de nadruk bij de cyberverzekering ligt in de voorfase: op het voorkomen van schade. En als het dan fout mocht gaan: op het herstel. Voor dit herstel heb je, echte specialisten nodig, en die zijn doorgaans schaars en bepaald niet goedkoop. Naast een cybersecurity-specialist heeft een ondernemer waarschijnlijk ook nog juridische en communicatieve ondersteuning nodig. Bovendien gaat het bij herstel niet alleen om geld, maar ook om ontzorgen van de getroffen ondernemer. Professionele bijstand kan de ondernemer heel veel tijd en zorgen schelen. Dat het niet fout zou kunnen gaan bij een ondernemer die - volgens zijn IT-adviseur -  adequate beveiligingsmaatregelen heeft getroffen – firewalls, antivirusscanners, het maken van dagelijkse back-ups en zo meer -  is een foutieve en gevaarlijke onderschatting van het risico. Zo is en blijft de menselijke factor een zwakke schakel in de beveiliging. Ondanks dat je je medewerkers waarschuwt voor het niet klikken op een link in verdacht uitziende mails, gebeurt het toch. Ook via ‘social hacking’ weten cybercriminelen – bijvoorbeeld door te bellen met medewerkers en hun vertrouwelijke informatie te ontfutselen – in de systemen binnen te dringen.”
 
Adviseur bagage geven
De Goudse wil de adviseurs waarmee wordt samengewerkt voldoende bagage geven om in deze voor hen nieuwe en complexe materie een goede gesprekspartner te zijn, niet alleen voor de ondernemers maar dus ook voor diens andere adviseurs. “Net als bij brandschades moet je puinruimen, maar in dat geval is de ‘rotzooi’ goed zichtbaar. Bij een cyberincident moet dit ook gebeuren, alleen is het puin  minder goed zichtbaar en dus veel ingewikkelder. De adviseur zal de ondernemer moeten laten zien dat het bij een cyberverzekering niet alleen om een eventuele vergoeding gaat, in tegendeel dus. Voorop staat het voorkomen van schade, en als het zich dan toch voordoet, het herstellen ervan, we kunnen het niet vaak genoeg zeggen”, zo benadrukt Stephanie Schimmel.

Cyberrisk via Erkend MKB-adviseur
Cyberrisk vraagt volgens De Goudse om een bedrijfsbrede risico-inventarisatie, omdat cybercrime alle aspecten van een bedrijf raakt. Alleen zo kan een adviseur het juiste advies geven om dit risico te voorkomen, te beperken of af te dekken. Daarom werkt de Goudse samen met Erkend MKB-adviseurs. Dit zijn adviseurs die een risicomanagementopleiding hebben gevolgd en die gebruikmaken van Boris, de risico-inventarisatietool van De Goudse. De EMA-adviseurs krijgen regelmatig trainingen, waarin kennis kan worden opgedaan op het gebied van cyber en de snelle ontwikkelingen op dit terrein. Zo staat er binnenkort een bijeenkomst op het programma, waarin Vest Informatiebeveiliging de adviseurs een training geeft op het gebied van cyberveiligheid. Ook worden verspreid over het land ‘vragenuurtjes’ georganiseerd, waar de adviseurs hun vragen over cyber kunnen stellen aan Vest.

Cybertoolkit
Vest is het bedrijf dat voor De Goudse zelf al jarenlang de informatiebeveiliging verzorgt. Dit bedrijf wordt ook voor de cyberpolis ingezet, zowel in de preventiefase als in de herstelfase mocht zich een schade voordoen. In de cybertoolkit die De Goudse de EMA-adviseurs biedt, is ook een incident response plan opgenomen. Los van het al dan niet sluiten van een cyberverzekering kan dat plan de adviseur helpen om zijn relaties bewust te maken van de risico’s en om vooraf na te denken over welke stappen er gezet moeten worden mocht er zich onverhoopt een cyberincident voordoen. In de cybertoolkit vindt de adviseur ook een door De Goudse opgestelde concurrentie-analyse. In dit overzicht vergelijkt de verzekeraar de voorwaarden van zeven verzekeringsmaatschappijen (inclusief De Goudse) die aan de bedrijven in Nederland een cyberverzekering aanbieden. “Het is gebruikelijk dat je dergelijke vergelijkingen als verzekeraar voor interne marketingdoeleinden maakt. Wij zijn als verzekeraar transparant en vinden dat we onze adviseurs van adequate marktinformatie moeten voorzien. Daarom vinden wij het een goede zaak om deze analyse ook aan de adviseurs ter beschikking te stellen. Elke verzekeraar heeft namelijk zijn eigen aanpak en specifieke doelgroepen waarin hij goed is.”

Concurrentie-overzicht
Dat overzicht voorziet duidelijk in een behoefte. Cyberverzekeringen zijn namelijk niet eenvoudig te vergelijken. Dit blijkt onder andere uit een enquête onder bezoekers aan het VNAB Event Cyber. Slechts 15% gaf aan dat de dekkingen die op de Nederlandse markt verkrijgbaar zijn goed te vergelijken zijn. De Goudse is de eerste Nederlandse verzekeraar met een cyberverzekering. Veel polisvoorwaarden van andere cyberverzekeringen zijn in feite vertalingen van de voorwaarden van de cyberverzekeringen die hun moederbedrijven op de Amerikaanse markt aanbieden. Het is niet voor niets dat een commissie van de VNAB studeert op de mogelijkheden om te komen tot een modelbeurspolis.

Zestien Spelregels
De Goudse voert zoals hiervoor gezegd een geheel eigen koers voor wat betreft de voorwaarden van de cyberverzekering. De mkb-verzekeraar heeft geen pagina’s lange voorwaarden geschreven, maar is erin geslaagd de voorwaarden in zestien punten op één a4-tje te zetten. “Wij noemen dit ook geen voorwaarden, maar spelregels. Zestien spelregels. Daarin ligt de nadruk op preventie en herstel. Een risico-inventarisatie via de Boris-tool is nodig, net als het opvolgen van de verbeterpunten die uit de inventarisatie naar voren komen en een periodieke actualisatie van de risico-inventarisatie. Relaties krijgen kosteloos beveiligingssoftware van Sophos. Die moet op alle computers van het bedrijf worden geïnstalleerd; eventueel naast de reeds in gebruik zijnde beveiligingssoftware. Zo weten we zeker dat relaties de meest recente beveiligingsupdates hebben geïnstalleerd. We hebben een 24/7 bereikbare cyberrisk-helpdesk. Bij (vermeende) cybercrime, direct bellen, dan kunnen we meteen aan de slag. Snelheid is van groot belang. Onder een cyberincident verstaan we een incident als gevolg van cybercriminaliteit met ICT als middel en als doelwit. Wij helpen met het voorkomen, beperken en herstellen van schade als gevolg van zo’n cyberincident. Is herstel niet mogelijk, dan vergoeden wij de schade tot aan het verzekerd bedrag, zoals bijvoorbeeld bedrijfsschade en aansprakelijkheidsclaims. Daarin kan ook een bedrag begrepen zijn voor een boete aan de AP. Is een bedrijf de dupe van ransomware ofwel zijn er data of delen van een systeem platgelegd door ‘gijzeling’ dan helpen wij wel met het herstel, maar wij betalen géén losgeld. Met het betalen van losgeld houd je namelijk deze manier van criminaliteit in stand, vinden wij. Bovendien geloven wij niet dat het betalen van criminelen een garantie is voor een oplossing.
 
Nog geen schade
De Cyberrisk-verzekering van De Goudse is nu een jaar op de markt. Het is niet zo dat inmiddels honderden polissen zijn gesloten. “Dit is een goed tempo voor ons, want het is een compleet nieuw risico, waarmee we ervaring op willen doen. We hebben nog geen schade gehad. Helaas – het klinkt wellicht vreemd uit de mond van een verzekeraar –, want ook die zijn nodig om ervaring op te doen en om actuariële statistieken op te bouwen. Gelukkig kunnen we wel gebruikmaken van de ervaring  van onze herverzekeraar Gen Re.”
 
Echte vernieuwing
Het feit dat De Goudse op basis van één A4-tje met Spelregels een zo complexe verzekering in de markt heeft gezet, heeft in de schadeverzekeringswereld – het is geenszins overdreven om dit te stellen – veel opzien gebaard, bijvoorbeeld bij de bekende verzekeringsjuriste prof. Mop van Tiggele. In een column in de VNAB-visie schreef zij over de polis van De Goudse: “Ik heb er van zitten staren…” en na allerlei vragen die zij zich stelt over de polis, besluit zij: “In een wereld, waarin de belangen en (cyber)risico’s zo groot zijn, kan je het risico van onduidelijkheid op polisniveau er niet bij hebben”. Laten we wel zijn, ook polisvoorwaarden leveren veel juridische conflicten op. Je kunt wat De Goudse heeft gedaan met zijn Cyberrisk-product ook zien als echte vernieuwing van schadeverzekeren door een middelgrote verzekeraar die in vele decennia een uitstekende reputatie heeft opgebouwd als een betrouwbare maatschappij. Wat dat betreft zijn ook de regels 15 en 16 in de Spelregels van belang. Die luiden: “Wij helpen u verder. Bent u niet tevreden over de afwikkeling van uw schade, dan gaan wij met u in gesprek.” “Als we er samen niet uitkomen, kunt u uw probleem voorleggen aan de ‘Raad van Ondernemers’. Deze bestaat uit een voorzitter en drie ondernemers. Zij beoordelen de situatie en geven onafhankelijk advies aan De Goudse. Het besluit van de Raad van Ondernemers is bindend voor De Goudse.” Kortom, bij een klacht ligt het eindoordeel bij een door de verzekeraar ingesteld orgaan, waaraan door de verzekeraar een onafhankelijke positie is gegeven.
 
Besef ondernemers van afhankelijkheid ICT groeit
Dat de cyberverzekeringsmarkt ook in het mkb op gang gaat komen, laat zich niet moeilijk voorspellen, al blijkt zoals hiervoor al gezegd naar aanleiding van het door De Goudse uitgevoerde onderzoek dat slechts 6% van de mkb-ondernemers nu een cyberverzekering heeft gesloten en dat de rest nog niet staat te popelen om dat wel te gaan doen. Maar achterliggend blijkt de voedingsbodem daarvoor wel vruchtbaarder te worden. In 2016 gaf nog 21% van het mkb aan dat de bedrijfsactiviteiten niet afhankelijk zijn van ICT; inmiddels is nog slechts 7% van het mkb dat zich in het geheel niet afhankelijk ziet van ICT.

Steeds meer ondernemers ervaren cybercrime
Ook werd in de enquête die in opdracht van De Goudse door Kantar TNS is uitgevoerd gevraagd met welke vormen van cybercrime een bedrijf te maken heeft gehad. 10% antwoordt met diefstal van laptop of USB te maken te hebben gehad (in 2016 was dit 1%). Identiteitsfraude groeide aanzienlijk. 15% van de responderende bedrijven zegt hiermee te maken gehad te hebben (2016 1%). Betalingsfraude komt zelfs nog een procentpunt hoger uit: 16% (2016 1%). 20% antwoordt dat er een cyberaanval op het bedrijf heeft plaatsgevonden (2016 4%) en van hacking heeft zelfs 28% last gehad (2016 3%). Het aantal bedrijven dat geconfronteerd werd met ransomware steeg van 3% naar 33%. Van malware of virussen had in 2016 reeds 22% van de bedrijven last en dit nam nog verder toe tot liefst 47%. Phishing spant de kroon, met in 2016 reeds 29% van de bedrijven die ermee te maken hebben gehad, terwijl dit in 2018 is toegenomen naar 55%. Een belangrijke conclusie van dit onderzoek is toch wel dat het intermediair het mkb bewust moet maken van de verschillende cyberrisico’s. Het zijn stuk voor stuk reële bedreigingen waar de bedrijven steeds veelvuldiger mee geconfronteerd blijken te worden. Risicomanagement en een verzekering met preventie en – als het toch fout gaat – herstel, kunnen de ondernemer helpen overeind te blijven in alle cybergeweld, dat alleen nog maar verder zal gaan escaleren.

Aan het begin van de marktontwikkeling
“We staan – zeker voor wat betreft het mkb-segment - pas aan het begin van de ontwikkeling van de cyberverzekeringsmarkt. Er liggen heel veel kansen, maar er ligt nog een flinke uitdaging om de ondernemers bewust te maken van de risico’s en het belang van verzekeren. Ook bij de meerderheid van de adviseurs moet het bewustzijn van het cyberrisico en de kennis hierover omhoog”, zo besluit Stephanie Schimmel.


 
Jan Schrijver
Geplaatst op 02-11-2018