In de echte wereld hebben verzekeraars hun modellen kunnen industrialiseren om bijna alle risico’s te dekken. In de digitale wereld is het moeilijker… 

Voor verzekeraar Allianz zijn cyberrisico’s nu de grootste zorg van managers. In zijn Barometer 2023 werden ze door 39% van de respondenten in Europa genoemd, samen met bedrijfsschade. Incidenten zoals systeemuitval, ransomware-aanvallen of datalekken zijn wereldwijd voor de tweede keer op rij het belangrijkste risico.

Peter Braem, CEO van Cyber Security Management, omschrijft dit als een “ongekend fenomeen”. Uitgenodigd voor de 19e Decavi Schadeverzekeringstrofeeën op 26 april 2023 in de Docks Dôme in Brussel, sprak hij met professionals uit de sector over de realiteit van dit “onverzekerbare risico”, zoals Mario Greco, het hoofd van Zurich Insurance, een van Europa’s grootste verzekeringsmaatschappijen, het uitdrukte.

In de echte wereld heeft de verzekering haar modellen kunnen industrialiseren om bijna alle risico’s te dekken op een manier die aanvaardbaar is voor de verzekerde en winstgevend voor de verzekeraar. En in de digitale wereld? De specifieke kenmerken van het fluctuerende, ongrijpbare en potentieel verwoestende cyberrisico dagen de sector uit zichzelf opnieuw uit te vinden.

“De specifieke kenmerken van cyberrisico, dat fluctuerend, ongrijpbaar en potentieel verwoestend is, dagen de sector uit om zichzelf opnieuw uit te vinden,” merkt Peter Braem op. “In tegenstelling tot lichamelijk letsel of materiële schade is cyberrisico een olievlek: het tast eerst de IT-systemen aan, waarvan het slecht functioneren vervolgens de bedrijfsvoering beïnvloedt, wat uiteindelijk de reputatie en de omzet van een bedrijf ernstig kan schaden.”

Cyberrisico beoordelen, beperken en beheren

Een eerste vraag is dan ook of cyberrisico’s verzekerd moeten worden buiten de IT-reparatiekosten om. Een andere bijzonderheid is dat slachtoffers de ernst van het cyberincident kunnen beïnvloeden naargelang zij adequate maatregelen nemen – onder deze maatregelen staat het betalen van ransomware niet ter discussie. Ten slotte vereist het beoordelen, beperken en beheren van cyberrisico deskundigheid op het gebied van digitale beveiliging, wat de vraag doet rijzen naar de rol van de verzekeraar – die steeds meer vertrouwt op externe deskundigheid, waaronder ratingbureaus, om het niveau van het gelopen risico te bepalen – en naar de rijpheid en verantwoordelijkheden van de verzekerde.

“Alle maatschappelijke structuren worden getroffen,” vervolgt Peter Braem. “De gezondheidssector is het beste voorbeeld.  In België is het aantal aanvallen op jaarbasis met 78% gestegen, met een gemiddelde van 1.795 inbraakpogingen per week, aldus Check Point. En als je bedenkt dat ongeveer 30% van alle gegevens in de wereld momenteel door de gezondheidszorg wordt gegenereerd, besef je de omvang van het probleem…“

Gezondheidszorg, de sector die de meeste gegevens genereert

Dat cyberbeveiliging in de gezondheidszorg essentieel is, komt omdat een computeraanval rampzalig gevolgen kan hebben voor instellingen: sluiting van het informatiesysteem, risico op verlies of diefstal van patiëntgegevens, deprogrammering of uitstel van chirurgische ingrepen, doorverwijzing van spoedgevallen naar andere ziekenhuizen, enz. Bovendien wordt het imago van de instelling ernstig geschaad, met het risico dat patiënten juridische stappen ondernemen bij frauduleus gebruik van hun gegevens.

Tegen 2025 zal de samengestelde jaarlijkse groei van de verzamelde gegevens voor de gezondheidssector naar verwachting een record van 36% bereiken. Dit betekent dat de gezondheidssector sneller gegevens genereert dan de industrie, entertainment en zelfs financiële diensten.

Afhankelijk of u groot of klein bent…

Verzekeren tegen cybercriminaliteit is prima, maar moet u cyberrisico verzekeren voor alle soorten slachtoffers? Cyberslachtoffers kunnen particulieren, kleine bedrijven of grote ondernemingen zijn. Volgens een Franse studie is 87% van de grote bedrijven verzekerd, tegenover slechts 8% van de kleinere bedrijven. “Het begrip en de beheersing van digitale beveiligingskwesties verschilt aanzienlijk tussen grote organisaties met gestructureerde, gefinancierde en regelmatig gecontroleerde beveiligingsafdelingen en kleinere bedrijven met weinig opleiding in informatietechnologie en beveiligingskwesties,” benadrukt Peter Braem. Hoe kun je daarvoor zorgen?

De vraag is wereldwijd. Het cyberbeveiligingslandschap verandert voortdurend, maar het is duidelijk dat cyberdreigingen steeds ernstiger worden en vaker voorkomen. In zijn toespraak richtte Peter Braem zich opnieuw op de automobielsector, die hij goed kent. “In tegenstelling tot gisteren, toen auto’s een bestuurder en benzine nodig hadden, kunnen nieuwe voertuigen binnenkort volledig autonoom zijn en met anderen communiceren. Hoewel de voordelen onmiskenbaar zijn, opent een dergelijke technologische vooruitgang de deur naar een hele nieuwe generatie kwetsbaarheden en uitdagingen die de auto-industrie zal moeten aanpakken… en de verzekeraars zullen moeten dekken!”

In hun meest elementaire vorm communiceren connected voertuigen met andere voertuigen of met andere apparaten en systemen. Daarbij kunnen cybercriminelen toegang krijgen tot kritieke systemen, zoals remmen, sturen en de motor. Het probleem is dat als een verbonden voertuig eenmaal is gehackt, hackers lateraal door het systeem kunnen bewegen en mogelijk andere verbonden systemen kunnen aanvallen. En aangezien verbonden voertuigen vaak met elkaar communiceren, kan een aanvaller die toegang krijgt tot één voertuig vervolgens andere voertuigen aanvallen.

Elektrische voertuigen, nu al…

Zonder zelfs maar aan autonome voertuigen te denken, kunnen we al rekening houden met het risico van de huidige elektrische voertuigen die elektronische apparaten en netwerksystemen bevatten. Tesla biedt bijvoorbeeld regelmatige software-updates voor zijn voertuigen. Hoewel het prestatievoordeel onmiskenbaar is, zijn de risico’s op kwetsbaarheid ook groot. Of het nu gaat om een accupakket, een oplaadstation met betaalsysteem of externe servers die worden gebruikt om met de voertuigen te communiceren, al deze systemen zijn kwetsbaar …

“Een cybercrimineel die deze systemen aanvalt, kan de levensduur van de batterij van een voertuig verkorten of voorkomen dat het wordt opgeladen bij een openbaar laadstation. Hij kan ook de controle over het hele voertuig overnemen via Wi-Fi. Openbare laadstations zijn een bijzonder kwetsbare aanvalsvector. Ze kunnen worden aangevallen zoals een geldautomaat. Bij het opstellen van een cyberbeveiligingsplan voor de auto-industrie moet over deze subsystemen worden nagedacht. Zoals u ziet moet er nog van alles gebeuren…”

Interview : Alain de Fooz – Photos : Pierre-Olivier Tulkens