Nederlands | Français Belgium

Zullen cyberrisico’s de bedrijven tot een sectoriële mutualisatie dwingen?

Aon enquête toont aan dat slechts 25% van de bedrijven overtuigd is te voldoen aan de internationale normen voor informatiebeveiliging

Brussel, 17 mei 2016 - Uit de internationale bevraging van verzekeringsmakelaar en risicoadviseur Aon blijkt dat de onderbreking van de bedrijfsvoering het meest gevreesde risico is voor bedrijven. De studie toont ook aan dat slechts 25% van de bedrijven ervan overtuigd is te voldoen aan de “internationale beste praktijken en normen voor informatiebeveiliging” ondanks de toenemende en ingrijpender cyberbedreigingen. Verrassend weinig bedrijven (59%) blijken een cyberrisicoanalyse te laten uitvoeren voorafgaand aan hun beslissing om al dan niet een cyberrisicoverzekering af te sluiten. De helft geeft nochtans toe dat een onafhankelijk uitgevoerde risicoanalyse waardevol zou zijn.

Opzet van de survey
Deze eerste cyberstudie werd uitgevoerd door Aon om een beter begrip en inzicht te verwerven over de huidige houding van bedrijven ten opzichte van cyberbedreigingen, risicoanalyses, verzekeringen en schaderegelingen. Door de snel veranderende aard van cyberdreigingen lopen de technische beveiligingsmechanismen vaak een stap achter. Bovendien beperken cyberaanvallen zich niet meer tot netwerken en privacygegevens, maar hebben ook effect op elektriciteitsnetten, assemblagelijnen, transportmiddelen, enz. Dit alles wordt nog eens in de hand gewerkt door ‘the Internet of Things’ (IOT).

Belangrijkste vaststellingen
Onderbreking van de bedrijfsvoering door een cyberincident blijkt de hoofdbezorgdheid nummer 1 voor de bedrijfswereld. De afhankelijkheid van het IT-gebeuren die bedrijfsstromen sturen is daar niet vreemd aan. Waar een onderbreking vroeger voornamelijk een fysische oorzaak had (natuurramp, elektriciteitspanne,…), zijn dergelijke onderbrekingen vaker het gevolg van cyberincidenten met bijhorend omzet- en winstverlies en zelfs reputatieschade.

Desondanks amper 40% van de grote bedrijven een cyberrisicoverzekering af. De situatie is beter bij de kleinere bedrijven (55%) maar dit wordt waarschijnlijk beïnvloed door het feit dat zij over minder IT-beveiliging beschikken. Een uitzondering vormen de bedrijven die over kritische data beschikken (zoals de financiële en de gezondheidssector) waar ruim 70% wel een verzekering neemt. Zij waren dan ook de laatste jaren een veelvuldig doelwit van cyberaanvallen. Van de bedrijven die wel een cyberverzekering afsluiten doet 68% dit om de verliezen voortvloeiend uit een onderbreking van de bedrijfsvoering in te dekken. Op de tweede plaats (58%) doet men het om de bestuurders- en managementaansprakelijkheid veilig te stellen.

Herman Kerremans, Chief Broking Officer & Managing Director Specialties Aon Belgium, voegt hier aan toe: “We stellen vast dat er bij bedrijven een grote discrepantie bestaat tussen enerzijds het besef van de toename en de impact van cyberrisico’s en anderzijds het identificeren van de eigen risico’s alsook het koppelen aan de vereiste verzekeringspolissen.”

Cyberrisicoverzekering is nog geen volgroeid product
Cyberrisicoverzekeringen bestaan slechts sinds een 15-tal jaar. Doordat deze polissen in de regel geen schade aan tastbare goederen dekken, maar eerder tot doel hebben dataverlies, bedrijfsstilstand, claims, enz. te dekken, is het voorwerp van deze polissen veel abstracter en moeilijker vatbaar dan een klassieke brand- of aansprakelijkheidspolis. Waarbij dan weer snel de vraag rijst of deze polissen de schade, veroorzaakt door cyberincidenten, wel effectief zullen vergoeden. Veel traditionele verzekeringsexperts geven toe dat de huidige tendens in cyberrisico’s hen overvleugelt. Anderzijds vraagt 95% van de bedrijven om duidelijkere polisvoorwaarden. Deze vraag is van vitaal belang voor de verzekeraars die een toename van dekkingsgeschillen en cyberrisicovorderingen verwacht. Het is cruciaal dat de verzekeringssector het voortouw neemt om, in samenwerking met makelaars en schade-experts, een beter begrip te krijgen van de toekomstige verzekeringsbehoeften om aldus duidelijke polisvoorwaarden te kunnen formuleren.

Verzekering sectoriële mutualisatie een mogelijk antwoord?
Uit het Aon onderzoek blijkt dat 94% van de bedrijven bereid zijn risico’s te delen met hun sectorgenoten en zich m.a.w. kunnen vinden in een sectorgebonden oplossing via een mutuele verzekeraar of captive (een ‘captive’ is een verzekeringsmaatschappij of een herverzekeringsmaatschappij die zich als werkmaatschappij van een bedrijf, of een groepering van bedrijven, primair bezighoudt met de acceptatie van risico's van die bedrijven zelf). Op die wijze zouden de bedrijven toch meer zicht kunnen verwerven op de dekkingsgraad, de mogelijke vorderingen en kunnen ze eveneens beste praktijken en normen voor informatiebeveiliging met elkaar delen.

Over de 2016 Aon Captive Cyber Survey
De Aon 2016 Captive Cyber Survey biedt een analyse aan over de belangrijkste bekommernissen rond cyberrisico’s, mogelijke risicoanalyseaanpak van organisaties t.a.v. cyberverzekeringen, alsook de dekking en de structuur van de polissen. Het onderzoek, dat voor het eerst uitgevoerd werd in de herfst van 2015, verzamelde de input hierover bij risicomanagers en bestuurders van meer dan 125 captive insurance companies.

Door deze bevindingen zullen organisaties een beter inzicht verwerven over de toenemende dreiging van cyberrisico’s, hun eigen risicomanagement kunnen toetsen aan de courante praktijk en een aanpak identificeren die hun paraatheid verhoogt ingeval van cyberincident.