Ransomware is al een aantal jaren het grootste cyberrisico. Waarom hebben cybercriminelen hiermee zoveel succes?
“Een jaar of vijf, zes geleden is het omslagpunt gekomen. Voor die tijd had je als crimineel echt nog technische kennis nodig om ransomware uit te zetten; dan moest je het zelf ontwikkelen. Tegenwoordig kun je de software gratis krijgen. Dat betekent dat de crimineel die de ransomware uitzet 80 procent van de inkomsten krijgt en de ontwikkelaar 20 procent. Dat businessmodel is echt gaan vliegen. De georganiseerde misdaad houdt zich ermee bezig, waardoor je ziet dat steeds meer en geavanceerdere methodes worden ontwikkeld; het verdienmodel wordt steeds beter voor ze.”
De perceptie is soms dat het betalen van losgeld een soort magic bullet is; de integriteit van het systeem is echter nog steeds in het geding”
Wordt daadwerkelijk losgeld betaald wanneer bedrijven getroffen worden?
“Gelukkig valt dat bij ons mee. De perceptie is soms dat het betalen van losgeld een soort magic bullet is. Wat wij zien in de claims bij ransomware is dat zelfs als losgeld wordt betaald dat dit maar 23, 24 procent van de totale schade is. De rest van de schade betreft bedrijfsstilstand en extra kosten die je moet maken als gevolg van het incident. Het is ook niet zo dat na het betalen van losgeld je systeem meteen helemaal vrij is en dat je weer kunt doen wat je daarvoor deed. De integriteit van het systeem is vaak steeds in het geding. We zien daar heel hoge kosten aan voorbij komen. En dan heb je nog het forensisch onderzoek dat je wilt doen en wellicht dat je nog juridische expertise wilt inschakelen.”
Hoe vaak wordt geclaimd op de cyberverzekering?
“Bij ons gaat het om een handjevol per jaar; onze portefeuille is relatief schoon. Wij hopen dat dat ligt aan ons risicomanagement. Wij hebben riskconsultants die bedrijven helpen om verzekerbaar te blijven of te worden. Maar als ik kijk naar de reden waarom de premies omhoog gaan dan komt dat wel door de claims. We zien namelijk wel heel veel claims; we vernemen ook van de verzekeraars dat die er echt veel zijn, ook in Nederland.”
Je geeft aan dat er niet vaak losgeld wordt uitbetaald. Hoe verklaar je dat ?
“Dat er relatief niet vaak losgeld wordt betaald op een cyberverzekering heeft ermee te maken dat op de verzekering een panel zit dat je bijstaat voor de first response, het crisismanagement. Dat je niet meteen met de rug tegen de muur staat, zoals bij bedrijven die geen cyberverzekering hebben. De organisaties die wij verzekeren moeten bepaalde zaken al in place hebben, maar als het dan toch fout gaat, kunnen ze terugvallen op de incident response in combinatie met hun eigen business continuity plan en disaster recovery plan.”
Wat houdt dat in?
“Heel simpel gezegd: iedereen die een verzekering afsluit heeft 24/7 een noodnummer ter beschikking, soms ook een app. Die sla je op in je telefoon, maar ook hard copy in de portemonnee. Als het hele systeem platligt, kun je dat nummer bellen. Een panel bepaalt vervolgens wat voor team samengesteld moet worden. Meestal is die first response zonder eigen risico, omdat verzekeraars niet willen dat je eerst zelf gaat pionieren. Pas als het probleem niet binnen de eerste 48 of 72 uur is opgelost, wordt gekeken welke andere expertise erbij gehaald moet worden. Dan gaan je eigen risico en limiet wel gelden, maar heb je al wel de eerste stappen kunnen zetten.”
Criminelen maken helemaal geen gebruik van allerlei geavanceerde zaken; het zij geen geniën die kijken hoe ze mensen gaan hacken”
Ransomware is nu de goudmijn voor cybercriminelen. Die zitten natuurlijk ook niet stil en bedenken vast al weer iets nieuws. De verzekeringswereld moet criminelen altijd een stap voor blijven. Hoe doe je dat?
“Het is een kat-en-muisspel; de vraag is wie de kat is en wie de muis. Criminelen maken helemaal geen gebruik van allerlei geavanceerde zaken; het zij geen geniën die kijken hoe ze mensen gaan hacken. Het meest voorkomende is het versturen van phishing mail, omdat dat gewoon werkt. Als je kijkt naar de toekomst dan zie je dat verzekeraars steeds hogere eisen stellen. Zo is multi-factor authentication een must om verzekerbaar te zijn. Waar wij als verzekeringsmarkt – verzekeraars en makelaars – nu naar kijken, zijn de wijdverbreide incidenten. Denk aan het incident met Log4j, software die veel wordt gebruikt en waarvan men dacht dat criminelen op grote schaal gebruik konden maken van een kwetsbaarheid in die software. Uiteindelijk heeft het niet tot heel veel claims op verzekeringen geleid en hebben we nog niet veel incidenten gezien, maar het had ook heel groot kunnen worden. We kijken ook naar wat gebeurt wanneer Amazon of Microsoft plat komt te liggen. Dat zou een ongelooflijk groot effect hebben op alle organisaties wereldwijd. Dat zijn thema’s waarvan je ziet dat daar discussies over komen op welke manier dat nog te verzekeren is en wat je gaat uitsluiten.”
Hoe is het eigenlijk gesteld met de kennis binnen het Nederlandse bedrijfsleven van cyberrisk?
“Tien jaar geleden wilde niemand praten over een cyberverzekering, nu is daar te weinig tijd voor. Je ziet dat de bewustwording echt is toegenomen. Maar wat veel organisaties nog steeds doen is de Middeleeuwse methode van een stadsmuur. Ze maken een muur – denk aan een firewall – zo hoog en zo breed mogelijk. Maar dan vraag ik altijd: ‘maar wat als die crimineel al in de stad is; wat kun je dan doen?’ Daar is nog veel verbetering mogelijk. Wat ga je doen als iemand al daadwerkelijk in je systeem zit?”
Ligt het niet gewoon aan de mensen in de organisatie als het fout loopt?
“Ja en dan vooral aan het hoger management. Pas als die het snappen, zie je dat echt geïnvesteerd wordt. En dan niet alleen in een firewall of andere technische maatregelen, maar dat veel breder wordt gekeken naar cyberrisicomanagement. Dat betekent dat je met alle stakeholders gedeeld daarvoor verantwoordelijk bent en dat het niet iets is wat je alleen bij IT belegt.
Een cyberverzekering is alleen maar een goed en bewezen onderdeel van cyberrisicomanagement”
Is de cyberverzekering populair in het bedrijfsleven?
“Voor mij hoeft niet iedereen een cyberverzekering. Het belangrijkste is dat je erover hebt gepraat en dat op papier staat dat er beleid is. Een cyberverzekering is alleen maar een goed en bewezen onderdeel van cyberrisicomanagement. Ik denk dat de meeste grote organisaties wel een cyberverzekering hebben of - en dat is ook prima - een weloverwogen beslissing hebben genomen die niet uit te nemen. Bij het mkb moet deze discussie nog veel meer en beter gevoerd te worden; daar zie je ook dat een stuk minder bedrijven een cyberverzekering hebben uitgenomen. Vaak is het daar nog een IT-aangelegenheid is. Daar zeggen klanten nog wel eens dat ze geen cyberverzekering hoeven, omdat IT dat zegt. Maar je vraagt toch ook niet aan de onderhoudsmonteur of een property- of brandverzekering nodig is? Het is de rol van IT om de frequentie van incidenten omlaag te halen, maar de risk transfer, dus het waarborgen van de continuïteit van de organisatie, moet liggen bij de cfo en de riskmanager. Dat bewustzijn zie je minder bij het midden- en kleinbedrijf, maar wel veel meer dan drie jaar geleden.”
Hoe (on)verzekerbaar zijn cyberrisico’s?
“We zitten nu voor het tweede, derde jaar van de harde markt. Voor die tijd kon iedereen eigenlijk wel een cyberverzekering krijgen. Verzekeraars wilden zoveel mogelijk van de mkb-markt pakken – het is immers new business en niet zoals bij property waar je elkaar vliegen af probeert te vangen – maar zien nu dat het mkb ook heel hard geraakt wordt door met name ransomware-aanvallen. Daar is sprake van veel hogere schades dan wat ze überhaupt gedacht hadden; daarom hebben ze heel snel hun portefeuilles herijkt. Premies en eigen risico zijn omhoog gegaan om te laten zien dat het een calamiteitendekking is. Ook de eisen zijn zwaarder; afhankelijk van hoe je vragen beantwoordt, krijg je wel of niet volledige dekking op ransomwaregebied.”
Zijn er al bedrijven die niet meer verzekerbaar zijn?
“Nee, maar waar we wel moeite mee hebben zijn scholen en gemeenten. Voor gemeenten is er eigenlijk maar één concrete speler op dit moment. Dat heeft er mee te maken dat verzekeraars dat risico als slecht percipiëren. Bij gemeenten speelt dat er vaak geen cyberriskmanagement is. Ze kunnen niet failliet en de gedachte bij verzekeraars is dat ze niet voldoende investeren in cyberriskmanagement.
We zitten bijna in het prolongatieseizoen. Wat verwachten je dat de premies gaan doen?
“We zeiden jaren geleden al dat de premies omhoog moeten, maar ze gingen omlaag omdat verzekeraars een zo groot mogelijk marktaandeel wilden. Nu komen ze er achter dat er toch echt veel schades uitbetaald moeten worden. Dat is natuurlijk positief; het betekent dat het product werkt. Je moet alleen wel de premies duurzaam houden. Gemiddeld zijn die dit jaar 60 tot 70 procent omhoog gegaan. Wij zeggen natuurlijk tegen verzekeraars dat ze op de nullijn moeten gaan zitten. Dat gebeurt niet, maar ze stijgen niet meer zo hard als afgelopen jaar, verwacht ik. Overigens liggen de premies in Europa nog steeds relatief laag in vergelijking met de Angelsaksische landen, waar de premies altijd al veel hoger lagen.”
Wij zijn veel meer tijd kwijt met het plaatsen van cyber”
Wat betekent dit alles voor de rol van de broker?
“Wij zijn veel meer tijd kwijt met het plaatsen van cyber. Ten eerste is het veel technischer geworden; wij moeten dus veel meer investeren in onze technische kennis; dat we überhaupt de vragen kunnen snappen. Maar met name ook uitleggen aan de klant waarom bepaalde vragen worden gesteld en wat ermee bedoeld wordt. Wij moeten ook nog eens goed controleren of de vragen juist zijn beantwoord en/of als een vraag met nee wordt beantwoord waar we het risico op een andere manier kunnen mitigeren.”
Een laatste vraag: hoe heb je privé je cyberrisico’s afgedekt?
“Laat ik stellen dat ik veel discussies thuis heb met mijn kinderen en met name met mijn vriendin. Die worden wel eens een beetje gek van mij. Wij zijn niet optimaal beveiligd, maar ze zijn wel doordrongen van het risico. Maar heel eerlijk: ik kreeg pas een phishing mail. Dan word je ’s ochtend wakker en zie je het bericht dat je Twitter-account is gehackt. Je duim gaat al automatisch naar die link…”
