Wetenschappers Michel van Eeten (TU Delft) en Bernold Nieuwesteeg (Erasmus Universiteit): “Ga experimenteren met cyberverzekeringen”
Hoogleraar cybersecurity Michel van Eeten neemt namens de TU Delft deel aan Cybeco, een Europees project om cyberverzekeringen grootschalig(er) van de grond te krijgen. Bernold Nieuwesteeg onderzocht aan de Erasmus Universiteit de Nederlandse mkb-markt voor cybersecurity. Hun advies aan verzekeraars? “Ga experimenteren met cyberverzekeringen.”
“Cyberrisico’s zijn zeer moeilijk te voorspellen”, stelt Bernold Nieuwesteeg. “De internet-ontwikkelingen gaan zo snel, dat schades in het verleden relatief weinig zeggen over die in de toekomst. Terwijl verzekeraars juist graag vertrouwen op actuariële data en statistieken. De uitkeringen van cyberverzekeringen zijn vaak gemaximeerd, omdat verzekeraars bang zijn voor grote financiële claims. Bovendien zijn de premies relatief hoog.” “Het gevolg is dat weinig bedrijven zich een cyberverzekering kunnen en/of willen veroorloven”, vult Michel van Eeten aan. “Er komt dus weinig data beschikbaar over geleden schades. Die vicieuze cirkel moet worden doorbroken om aantrekkelijke cyberverzekeringen in de markt te zetten. Verzekeraars moeten daarom gaan experimenteren met cyberpolissen.”
Cybeco
Van Eeten maakt namens de TU Delft deel uit van het internationale project Cybeco. In dit door de Europese Commissie geïnitieerde project wordt onderzocht waarom het (nog) niet lukt om cyberverzekeringen grootschalig van de grond te krijgen. “Onze opdracht is om te ontdekken wat verzekeraars nodig hebben om cyberpolissen te verkopen. We hebben onderzocht wat voor soort polissen er al zijn, waarom mkb’ers verzekeringen afsluiten, op welke manier ze die inkopen en welke prikkels je ze kunt geven om een verzekering aan te schaffen. Een Britse onderzoeksgroep, die deel uitmaakt van Cybeco, voert nu een experiment uit welke polissen door mkb’ers wel en niet aantrekkelijk worden gevonden. Ook wordt onderzocht hoe zij de informatie tot zich nemen, hoe hen in begrijpelijke taal kan worden uitgelegd wat de polis precies betekent en hoe ze vervolgens de juiste keuzes kunnen maken.”
Voorspellende waarde
Nieuwesteeg promoveert binnenkort als rechtseconoom cybersecurity aan de Rotterdamse Erasmus Universiteit. Hij deed onderzoek naar hoe binnen het Nederlandse midden- en kleinbedrijf de markt voor cyberverzekeringen kan worden vergroot en verbeterd. “In principe sluiten particulieren, bedrijven en instellingen vooral verzekeringen af voor schades die ze zelf niet kunnen dragen. Voor inboedel-, opstal- en autoverzekeringen geldt, dat je op basis van het verleden toekomstige schades goed kunt prognotiseren, maar op het gebied van cyberrisico’s ontbreekt het aan uitgebreide actuariële data. Het is bovendien de vraag of die data enige voorspellende waarde heeft voor de toekomst. Dat maakt het lastig om de risico’s in te schatten.” Nieuwesteeg onderzocht en vergeleek zeven cyberverzekeringen die in Nederland in omloop zijn. “Het kostte mij enorm veel moeite om alle verschillende dekkingen en voorwaarden uit te pluizen. Ook de aanvraagprocedure was in de meeste gevallen zeer omslachtig.” Dat cyberverzekeringen nog niet massaal worden afgesloten, is volgens Nieuwesteeg ook om andere redenen te verklaren: “Voor bijvoorbeeld onroerend goed en auto’s zijn verzekeringen verplicht. Een verzekering tegen cyberrisico’s is dat niet, bovendien is het veel minder zichtbaar. Schade als gevolg van een cyberaanval komt relatief weinig voor en leeft dus veel minder. Als mkb’ers vaker zouden worden aangevallen, dan wordt de vraag naar cyberverzekeringen vanzelf groter.”
Phishing mails
Van Eeten verwacht dat de vraag naar cyberverzekeringen de komende jaren toeneemt. “Uit een eerder gehouden Europees onderzoek in zeven landen blijkt, dat de schade die consumenten lijden als hun account gehackt is in 90% van de gevallen vergoed wordt door de bank of bijvoorbeeld de webshop waar op jouw naam spullen zijn besteld. Het levert de consument vaak wel een hoop gedoe en stress op, maar de financiële schade valt in de meeste gevallen dus mee.” Bedrijven krijgen de schade echter niet vergoed en daarom is het volgens Van Eeten wenselijk dat zij zich verzekeren tegen de gevolgen van een cyberaanval. “Er is een duidelijke trend gaande van gerichte aanvallen op het mkb-segment. Ze ontvangen zeer betrouwbaar ogende phishing mails met het verzoek om bedragen over te maken. Ook zijn er gevallen bekend waarbij de payrolldata wordt gemanipuleerd, waardoor salarissen op het banknummer van de criminelen worden gestort in plaats van die van de werknemers. Onlangs werden de rekeningen van een aardappelteler gehackt, waardoor hij € 200.000 kwijt was. Lang niet ieder bedrijf kan die schade zelf dragen, dus bij een betaalbare premie zal een verzekeringsproduct zeker zijn waarde bewijzen.” Cyberspecialisten Van Eeten constateert dat veel verzekeraars conservatieve en klassieke cyberverzekeringen aanbieden. “Omdat er weinig informatie bekend is over risico’s en schades, bieden ze een breed pakket aan, waarin alle onzekerheid in de premiestelling verwerkt is. De premies zijn daardoor hoog, terwijl uitkeringen gemaximeerd zijn tot bijvoorbeeld twee miljoen euro. De premie is voor de gemiddelde mkb’er echter niet eenvoudig op te hoesten en bedrijven die de premie wél kunnen betalen, kunnen een eventuele schade vaak zelf dragen.” Hij pleit ervoor dat verzekeraars cyberspecialisten in dienst nemen, die producten ontwikkelen die ingericht zijn op specifieke risico’s en schades. “Verzekeringen waar mkb’ers écht wat aan hebben. Worden die polissen gesloten, dan krijgen verzekeraars automatisch meer claims. Ze kunnen daarmee niet alleen hun product verbeteren, ze kunnen de informatie ook gebruiken om gerichter advies te geven over de beveiliging tegen cybercriminaliteit. Ze zien tenslotte wat partijen die schade claimen anders doen dan partijen die geen schade lijden. Zo kunnen ze een bijdrage leveren aan het verkleinen van de risico’s. Die feedbackloop is er nu niet, omdat weinig bedrijven een cyberverzekering hebben. Die impasse moeten we doorbreken.”
Aanvraagprocedure
Nieuwesteeg opteert voor een basisverzekering met aanvullende modules. “Ook de aanvraagprocedure moet veel eenvoudiger. Online een paar basale vragen beantwoorden moet voor een mkb’er voldoende zijn om een cyberverzekering af te sluiten. En je zou cyberverzekeringen kunnen verkopen via de verschillende brancheorganisaties. Mkb’ers denken vaak: als deze polis wordt aangeboden via mijn brancheorganisatie, dan zal het wel een goede verzekering zijn.” Ook denkt hij aan alternatieven voor verzekeren. “Bedrijven die in dezelfde branche werkzaam zijn, kunnen het risico onderling poolen en zich vooral richten op kennisdeling om daarmee risico’s te verkleinen. En verzekeraars doen er verstandig aan om alle claimdata met elkaar te delen, zodat ze daar in hun productontwikkeling rekening mee kunnen houden.” Van Eeten: “Banken hebben veel geïnvesteerd in hun beveiliging, maar blijken nog steeds getroffen te kunnen worden door een DDoS-aanval. Niet alleen door cybercriminelen, maar ook door een 18-jarige jongen, die op zijn kamer een beetje zit te ‘klooien’. Als dát het landschap is, dan is het als verzekeraar lastig om risico’s in te schatten. Toch moeten ze juist dáárom gaan experimenteren met cyberpolissen.”