Het besef dringt ook op strategisch niveau binnen
Organisaties hebben vier uitdagende jaren achter de rug die werden gekenmerkt door een toename van het aantal en de ernst van cyberdreigingen en ransomware-aanvallen. Deze werden gevolgd door een verzekeringsmarkt met stijgende premies en retenties en een aanzienlijke controle op acceptatie. In onze samenwerking met klanten zagen we dat de C-suite zich realiseerde dat cyberaanvallen een impact kunnen hebben op alle bedrijfsonderdelen. Als gevolg daarvan is het bereiken van cyberveerkracht een terugkerend thema in discussies in de directiekamer en wordt de dreiging eindelijk vanuit een holistisch risicoperspectief bekeken.
Tussen 2020 en 2022 hebben verzekeringsmaatschappijen gereageerd op de enorme omvang van cyberrisico’s en de noodzaak om winstgevendheid te garanderen.
In de cyber- en E&O-markt werd een strenger acceptatiebeleid ingevoerd, wat resulteerde in een grondiger onderzoek naar beveiligingscontroles, strengere richtlijnen en een algemene herbeoordeling van cyberrisico’s.1 Gebaseerd op door klanten gerapporteerde gegevens aan Aon, hebben organisaties gereageerd op deze strengere regels. Ze zijn ze zich meer gaan richten op het verbeteren van de risicovolwassenheid in beheersmaatregelen die door verzekeringsmaatschappijen als kritiek of ‘red flags’ zijn aangemerkt.
Het rapport van dit jaar is een leidraad voor leidinggevenden om de risicovolwassenheid van hun organisatie te vergelijken met die van overeenkomende organisaties en om betere beslissingen te kunnen nemen over het beheer van cyberrisico’s op zes specifieke risicothema’s: cyber, operationeel, toeleveringsketen, ingewijde, reputatie en systematisch. Dit rapport is gebaseerd op gegevens die wereldwijd zijn verzameld bij meer dan 2.000 klanten van Aon in verschillende regio’s, bedrijfstakken en omzetcategorieën vanuit Aon’s Cyber Quotient (CyQu), een wereldwijd eSubmission- en risicobeoordelingsplatform. Deze CyQu-gegevens zijn aangevuld met input van Aon’s Ransomware Supplemental Application en Operational Technology Supplemental, die meer inzicht verschaffen in de beveiligingsmaatregelen waaraan verzekeringsmaatschappijen prioriteit geven.2 Deze input van klanten is vervolgens aangevuld met marktinformatie over cyberclaims en verrijkt met commentaar van Aon’s Cyber Advisory en Digital Forensic Incident Response teams. Hierdoor kunnen we in dit rapport een uitgebreid onderzoek bieden naar cyberveerkracht en -risico’s. De gegevens van CyQu verduidelijken dat de verzekeringsmarkt een cruciale drijvende kracht is achter de geaccepteerde beheersmaatregelen die de volwassenheid in cyberbeveiliging stimuleren. Klanten meldden dat de cybervolwassenheid en -gereedheid verbeterde tussen 2020 en 2022, waarbij een wereldwijde gemiddelde verschuiving plaatsvond van “basis” naar “beheerde” cybervolwassenheid. Organisaties hebben over het algemeen maatregelen genomen om de beveiligingsdomeinen en -controles te versterken die door verzekeringsmaatschappijen als kritiek worden beschouwd, waaronder meer aandacht voor toegangsbeheer en multifactorauthenticatie (MFA)-strategieën. Hiermee samenhangend zagen we ransomware-claims met 32 procent dalen, en de algehele frequentie van cyberverzekeringsclaims in 2022 met 14 procent.3
Op basis van de gegevens worstelden organisaties in alle sectoren daarentegen met het beheer van risico’s voor derden, waarvoor geen enkele sector een “beheerd” profiel rapporteerde. Hoewel dit resultaat niet verrassend is, lijkt het een groeiend thema binnen de cyberindustrie te bevestigen, namelijk dat de risico’s die worden geïntroduceerd in de toeleveringsketen van een organisatie complex zijn. En dat de toenemende onderlinge verbinding tussen verschillende technologieën het risico voor derden exponentieel verhoogt. Als gevolg van dit verhoogde risico, dat onlangs nog werd geïllustreerd door een datalek bij een leveringsplatform, verwachten we dat veel verzekeringsmaatschappijen zich dit jaar meer zullen richten op de blootstelling aan systematische en gecorreleerde risico’s en de impact daarvan.
Deze voorlopige gegevens vormen het topje van het inzicht in dit rapport. Dit rapport bestaat uit afzonderlijke artikelen. Sectoranalyses worden geleverd voor de financiële en verzekeringssector, de gezondheidszorg en de verwerkende industrie, Regionale overzichten zullen worden gepubliceerd voor Noord-Amerika, EMEA, het Verenigd Koninkrijk, Latijns-Amerika en Pacifisch-Azië.
De weg naar cyber- en uiteindelijk ook bedrijfsveerkracht is een belangrijke uitdaging voor elke organisatie. Veerkracht is essentieel om risico’s vanuit financieel, operationeel en reputatieperspectief te minimaliseren. Het vraagt om een holistische visie die proactief risicomanagement, responsvoorbereiding en risico-overdracht met elkaar verbindt. Risico-overdracht is een fundamenteel onderdeel van veerkracht en is niet alleen beperkt tot traditionele verzekeringen. Captives en alternatieve financiering zijn haalbare opties om te overwegen voor de bescherming van de balans. Ik hoop dat dit rapport een bron en hulpmiddel is om u te helpen bij uw besluitvorming voor 2023 en daarna, of u nu een Fortune 100-bedrijf leidt of een kleine tot middelgrote organisatie die soortgelijke risico’s loopt, maar zich niet bediend voelt door de markt. Cyberweerbaarheid is een reis die het best kan worden afgelegd in partnerschap en door teamwork.
Christian E. Hoffman
Aon Global Cyber Leader
References
1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com)
2 Zie het artikel ‘ Methodologie‘ in het Cyber Resilience Report 2023 van Aon/p>
3 Bron: Risk Based Security, analyse door Aon. Gegevens per 1/3/2023
