Falende verzekeraars en cybersecurity

Eind 2018 schreef ISP Today over een geschil in Amerika tussen een verzekeringsmaatschappij en een verzekerde. Daarbij gaat om de vraag of Zürich American Insurance Company gelijk heeft met de weigering de schade die Mondelēz heeft opgelopen door Notpetya te vergoeden.

Notpetya heeft veel slachtoffers gemaakt. Er is een hele rij van multinationals die hier door getroffen zijn. In alle gevallen bleken ze zaken te doen met, of vestigingen te hebben in Oekraïne. Daardoor is de stap naar Rusland als (mede-) schuldige aanwijzen voor de hand liggend. Dat gebeurde en gebeurt nog steeds. Het kwam onder andere ter sprake op een thema avond bij de PvIB over cyberoorlogsvoering. De verschillende sprekers van Instituut Clingendael en het Ministerie van Defensie legden de achtergronden uit en cases. Een aantal van die cases was bedoeld om aan te geven dat het best lastig kan zijn om de grens te trekken tussen cybersabotage, cyberspionage en cyberoorlogsvoering. De grens tussen de zelfde handelingen trekken, maar dan in de fysieke wereld is een stuk eenvoudiger.

Tijdens de bijeenkomst is door de zaal de vraag gesteld hoe of die onduidelijkheid ook consequenties heeft voor de manier waarop het bedrijfsleven zich op de impact van “cyberoverlast” kan voorbereiden. Een van de concrete punten die door de vraagsteller werd genoemd was waarde van cyberverzekeringen en daarbij verwees hij naar de bovengenoemde zaak in Amerika.

Die vraag leidde tot een bijzondere leerzame reactie door iemand anders uit de zaal. De persoon maakte zich kenbaar als vertegenwoordiger van de verzekeringsbranche, maar hij was niet werkzaam voor Zürich. Zijn verklaring was als volgt. Cyberverzekeringen zijn (ten opzichte van gewone inboedel- en aansprakelijkheidspolissen) redelijk nieuw voor de sector. Bedrijven zijn er mee begonnen en hebben daarbij een aantal fouten gemaakt. De belangrijkste daarvan is dat ze het aantal claims en claimsituaties totaal onderschat hebben.

Dat punt moet je echt even op je in laten werken. Cyberverzekeringen zijn er gekomen zonder al het minutieuze voorwerk dat we van de sector verwachten en gewend zijn. Dat beeld wordt concreter als je teruggaat in de tijd en ziet wanneer de term voor het eerst is toegepast. De Amerikaanse orkaanschades plus de politieke druk verwoordt als “dat nooit meer” hebben de sector er toe gebracht feitelijk halsoverkop met polissen te komen. Tussen de eerste polissen die betrekking hadden op digitale schade veroorzaakt door hoog water en omvergewaaide gebouwen en het heden zitten meerdere jaren. In die periode is malware en cryptoware gegroeid tot de plaag die het inmiddels is. De polissen zijn daar niet of niet voldoende op aangepast.

Het falen van de verzekeringssector is volgens de persoon die de uitleg gaf de hoofdreden waarom Zürich en Mondelēz tegenover elkaar staan. De eerste wil dat de bepaling “act of war” ook van toepassing wordt verklaard op cyberoverlast als Notpetya. Als de rechter dat niet toestaat dan zal het aantal claims hand over hand toenemen en dan is dit type verzekering een te groot risico voor Zürich en de gehele sector.

En dan komt het de uitleg werd afgesloten met de waarschuwende woorden: wat er ook gebeurt de bestaande polissen gaan op de schop en nieuwe zullen er anders moeten uitzien. De aannames waarop cyberverzekeringen zijn gebaseerd kloppen niet. Drie maal raden wie voor dat falen van de verzekeraars mag opdraaien?

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.