Bedrijven met gebrekkige cybersecurity komen mogelijk niet langer in aanmerking voor een verzekering tegen de gevolgen van onder andere ransomware. Daarvoor waarschuwt Marie-Louise de Smit, cyber broking director bij Aon’s Cyber Solutions.

Een ransomwareaanval op een gemeente of universiteit, het stilleggen van de Rotterdamse haven of een bedrijf dat losgeld betaalt aan cybercriminelen om weer in de eigen systemen te kunnen. Het zijn slechts enkele voorbeelden van recente incidenten. De hevigheid neemt toe en de schades blijven oplopen. Kunnen bedrijven en organisaties zich hier in de nabije toekomst nog wel voor verzekeren? Volgens Marie-Louise de Smit van Aon moet cybersecurity binnen organisaties fors verbeterd worden, willen de verzekeringen betaalbaar blijven.

Cyberrisicoprofiel van organisaties
De hoge digitaliseringsgraad in combinatie met het massale thuiswerken maakt Nederland een geliefd doelwit voor cybercriminelen. Verzekeraars kijken als gevolg van de toegenomen schadelast kritischer naar het cyberrisicoprofiel van organisaties. Cyberverzekeringen worden dan ook duurder voor organisaties, zowel in het mkb als voor grote multinationals. Wie de cybersecurity niet op orde heeft, zou in de toekomst wel eens helemaal geen verzekering meer kunnen krijgen.

Continuïteit garanderen
De Smit: “De vraag is niet of je getroffen wordt door een aanval, maar wanneer. De cybersecurity moet simpelweg verbeterd worden. Het onderwerp behoort op de agenda van de directie te staan en niet ‘uitbesteed’ te worden aan de IT-afdeling. Het besef dat bij bijvoorbeeld een ransomwareaanval de volledige bedrijfsvoering stilvalt, reputatieschade veroorzaakt en het voortbestaan van het bedrijf in gevaar komt, is nog te weinig aanwezig.”

Scenario’s
De Smit voorziet twee mogelijke scenario’s voor de toekomst van de verzekeringsmarkt. “Of we verbeteren massaal, over de gehele breedte van het bedrijfsleven, onze cybersecurity. Verzekeraars blijven dan hoogstwaarschijnlijk geneigd om het restrisico te verzekeren, omdat er dan ook een brede basis is aan maatregelen waardoor de schade beperkter wordt. Wat echter ook kan, maar niet wenselijk is, is dat cyberverzekeringen enorm duur worden en alleen voor hele grote bedrijven nog betaalbaar zijn. De voorwaarde zal dan overigens nog steeds zijn dat zij hun beveiliging tegen cyberincidenten heel goed op orde hebben. Vergelijk het met een lekkend dak: als je daar niets of te weinig aan doet, blijf je er last van houden, leidt het tot meer schade en kan een verzekeraar ook zeggen dat ze je niet verzekeren.”

Niets doen is geen optie
De Smit benadrukt dat de focus niet alleen op preventie moet liggen: “Belangrijker is misschien nog wel detectie: weet wanneer iemand in de systemen zit, hoe ver iemand erin zit, etc. Ook weerbaarheid is belangrijk. Zorg dat als je geraakt wordt, je weet wat je moet doen om zo snel en veilig mogelijk weer productie te kunnen draaien. Niets doen is in elk geval geen optie meer.”