De opmars van cyberverzekeringen | KPMG | NL

De opmars van cyberverzekeringen

De opmars van cyberverzekeringen

Het risico op een cyberincident is voor veel organisaties een toenemende zorg.

1000

Contact

Gerelateerde content

Recente aanvallen van bijvoorbeeld WannaCry- en Petrwrap/Petya-ransomware onderstrepen dit. In de markt zien we dat deze zorg resulteert in een toenemende vraag naar cyberverzekeringen. In de praktijk blijkt het echter complex om passende verzekeringen te verstrekken omdat de frequentie, grootte en impact van incidenten nauwelijks te kwantificeren zijn. Ted van der Aalst en Marjolijn Honcoop hebben hierover een artikel geschreven in De Actuaris. Zij herkennen drie redenen waarom het voor verzekeraars lastig is om cyberverzekeringen te verstrekken:

  1. Cyberincidenten zijn sterk met elkaar gecorreleerd: wanneer een incident zich voordoet aan de ene kant van de wereld, is het in no-time ook een probleem aan de andere kant van de wereld. Anders dan met traditionele verzekeringen tegen bijvoorbeeld diefstal, kan een cyberaanval onvoorspelbaar overspringen naar personen en organisaties met dezelfde kwetsbaarheden.
  2. Als organisatie ben je afhankelijk van de digitale kwetsbaarheden van je partners: als één van je partners zijn beveiliging niet op orde heeft en gecompromitteerd wordt, is de kans groot dat de aanval zich ook bij jouw organisatie aandient. Een moeilijke vraag voor de verzekeraar is dan ook: waar trek je de grens, wanneer is een incident resultaat van de beveiligingsmanco’s van de organisatie en wanneer van een derde partij? En hoe moet hiermee worden omgegaan?
  3. Er zijn weinig data beschikbaar die een helder beeld scheppen van de frequentie en impact van cyberincidenten. Daarnaast is de impact van cyberincidenten slecht te bepalen, omdat het van toepassing is op niet makkelijk kwantificeerbare gebeurtenissen, zoals informatielekken en reputatieschade.

Gezien de potentie van de cyberverzekeringsmarkt, hebben verzekeraars behoefte aan een plan dat duidelijkheid schept over bovenstaande problematiek. Afdoende data om inzicht te verschaffen is daarbij een must, maar kan pas op lange termijn verwezenlijkt worden. Van belang is dat er onderscheid wordt gemaakt in de mate van volwassenheid wat betreft het beveiligingsniveau van organisaties. Daarbij is de verzekeringspremie afhankelijk van de kwantiteit en kwaliteit van maatregelen die organisaties treffen om de kans op en de impact van een incident te reduceren. Om deze premiedifferentiatie mogelijk te maken, zal de verzekeraar grondige kennis moeten inwinnen over deze maatregelen en assessments van deze maatregelen. Hieronder vallen cyberrisico-assessments, assessments van erkende derde partijen en certificeringen zoals ISO 27001/2. Om een goed fundament te leggen voor cyberverzekeringen zullen verzekeraars moeten samenwerken met cybersecurity-experts en IT-risicomanagers.

Een verzekering gebaseerd op het beveiligingsniveau kan een goede aanvulling zijn op beveiligingsmaatregelen van een organisatie en aansluiten bij de risico’s die een organisatie wenselijk acht. KPMG helpt cyberverzekeraars om cyberverzekeringen vorm te geven, om premiedifferentiatie mogelijk te maken en om risicoassessments uit te voeren. Wij helpen cyberverzekeraars niet alleen door samen te werken, maar juist ook door kennis over te dragen.

Cyber blogs

Cyber blogs

Onze visie op diverse cyber challenges leest u in deze blogs.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig