En waarom cyberverzekeringen misschien toch zo gek niet zijn

Wie het artikel over het nut van cyberverzekeringen heeft gelezen kan hebben gemerkt dat het onderwerp op een andere manier eerder dit jaar al ter sprake is gekomen. Toen was de directe aanleiding een onderzoek van de grote herverzekeraar Lloyds (pdf). De conclusie van dat eerste artikel was dat het best lastig is voor verzekeraars de cloud sector te begrijpen.

Lloyds merkte in het document op dat het lastig was voor verzekeraars de business van cloud aanbieders goed in kaart te brengen. Het verschil tussen SaaS en IaaS is voor een aanbieder zeer duidelijk. Voor een verzekeraar die naar hele andere factoren en afhankelijkheden kijkt is dat een ander verhaal. De complexiteit was een van de redenen die Lloyds zelf aanvoerde om de geringe vraag naar cyberverzekeringen te verklaren, omdat de verzekeringen zelf (nog?) heel erg complex zijn. Daarbij noemde het (voor de verzekeraars) wel enkele lichtpuntjes. De GDPR zag het als een mogelijke aanjager. Dat het daarbij geen melding maakte van verzekeringen die niet uitkeren en dat daarom de vraag ook niet lekker snel toeneemt is een detail.

In het onderzoek staat een case die niet in het artikel over het nut van cyberverzekeringen wordt genoemd, maar wel bekend en relevant is. Lloyds is dieper ingegaan op de black-out van DNS provider Dyn. Toen die enkele jaren terug offline ging was dat op het eerste gezicht een vervelende, maar overkomelijke zaak. Slechts 4% van de Amerikaanse ondernemers maakt namelijk gebruik van de dienstverlening, dus direct aantoonbare schade leek gering. Lloyds heeft echter vastgesteld dat die 4% wel goed was voor meer dan 20% van het internet volume en dat afgeleid nog eens een veel grotere groep ondernemers is geschaad.

De schade die de Dyn affaire heeft gekost is ook nu nog steeds heel moeilijk te becijferen. Er zijn hele lange en ook complexe ketens geraakt omdat bij slechts een bedrijf iets fout ging. Nu zijn kettingreacties – want daar gaat hier om – niets nieuws. Als een datacenter plat gaat, kan een webshop die via een MSP wordt gehost geen bestellingen aannemen en ook de logistiek van verzendingen gaat dan plat. Ook dat is een kettingreactie, maar de keten is nog redelijk overzichtelijk. We weten allemaal dat juist bij cloud de keten heel lang kan zijn en dat er vooral ook onderlinge afhankelijkheden zijn.

Wat Lloyd heeft gedaan is de Dyn kennis verwerkt in een model om de afhankelijkheden van cloudaanbieders in kaart te brengen. Het heeft daarbij gekozen voor modellen die uitgaan van een storing bij een van de top 3 cloud aanbieders in de Amerikaanse markt en ook voor aanbieders net buiten de top 10.

Dat bij een serieus incident met een top 3 aanbieder de schade heel groot kan zijn voorziet iedereen. Of dat opgaat voor een verstoring van de dienstverlener van een cloud aanbieder buiten de top 10 is nog maar de vraag. Het is wel wat Lloyds in januari van dit jaar al heeft aangetoond en dat is best belangrijk, ook voor Nederlandse IT aanbieders. Juist ook bij kleinere aanbieders is sprake van ketenafhankelijkheden die voor schades kunnen zorgen die in de optiek van Lloyds verzekerd moeten worden. Wat voor kleinere cloud aanbieders geldt gaat natuurlijk ook op voor de reguliere MSP en hosters. De meesten kunnen eenvoudigweg niet weten doe lang de keten is waar ze zelf deel van uitmaken. Misschien is het daarom toch wel beter nog eens naar het verschijnsel cyberverzekeringen te kijken, maar dan vooral omdat je in je voorwaarden en contracten de aansprakelijkheid nooit helemaal kun afserveren. Waarschijnlijk heb je niet eens in de gaten dat je klant in geval van een incident jou aansprakelijk moet stellen omdat zijn eigen klanten, of daar weer de klanten van, bij hem een claim indienen.