Cyber Insurance: zinvol of niet?

Hoe zijn de risico's van 'cyber' te kwantificeren?

Cyberrisico’s staan bij elke organisatie steevast op de eerste of tweede plek. Hoe kijkt uw organisatie aan tegen cyberrisico’s en welke maatregelen zijn of worden genomen om zowel de omvang als de impact van dit soort risico’s te beperken?

 

Cyberspecialist Brian Warszona van Willis Towers Watson nam zijn gehoor mee op reis om de risico’s van 'cyber' te kwantificeren aan de hand van praktische voorbeelden.

 

Warszona deed dat in de 'minor' van Willis Towers Watson tijdens het NARIM Congres van 23 mei jl. in Rotterdam. Hij stelde eerst een aantal vragen: heeft een cyber event een grote impact op de balans van uw organisatie? In hoeverre speelt Big Data een belangrijke rol in de besluiten van uw organisatie en overweegt uw organisatie een cyberverzekering af te sluiten als oplossing om cyberrisico’s en hun impact te beperken?

 

De gevolgen van een 'Data Breach'
Dat de gevolgen van een hack of datalek verreikend zijn, is wel gebleken uit de recente voorbeelden rond Maersk (van juni 2017, totale kosten geschat op 300 miljoen dollar), American Airlines (juni 2018, geschatte schade 35 miljoen dollar), Marriott International (november 2018, er loopt een class action van gedupeerden voor een geschatte schadelast van 12,5 miljard dollar) en Norsk Hydro (maart 2019, kosten in het eerste kwartaal geschat op 52 miljoen dollar).

 

NARIM Cyber risks costs

 

Warszona gaf nog een serie voorbeelden van de financiële en operationele impact van business interruption als gevolg van infiltratie door criminelen in de ICT-systemen van organisaties: van farmaceutische bedrijven tot stil gevallen logistieke en operationele processen van bedrijven en organisaties in de gezondheidszorg. Afgemeten in het aantal cyberclaims springt juist de gezondheidszorg er uit, blijkt uit de internationale CLG Proprietary Cyber Claims Data Index.

 

Recente ontwikkelingen op het gebied van Cyber Insurance zijn Physical Damage Coverage, Enhanced Business Interruption Coverage en Cyber Crime Coverage. Bij dit laatste gaat het om diefstal van geld als gevolg van een cyber event en social engineering. Ook zijn er al voorbeelden van polissen die dekking bieden tegen claims bij niet (kunnen) leveren van – bijvoorbeeld – energie conform contract. Bijvoorbeeld omdat netwerken zijn stilgevallen.

 

Inzicht in Big Data
Het inzicht in Big Data en het maken van vergelijkingen zijn een belangrijk instrument voor een goede policy om dekkingen voor cyber risico’s te ontwikkelen. Maar waar vind je die data en hoe kun je uit deze enorme hoeveelheid gegevens de juiste data analyseren?

 

NARIM Cyber risks sources

 

Warszona liet de bronnen zien die Willis Towers Watson gebruikt in zijn analyses: zoals het 2019 Data Breach Investigation Report van Verizon, dat 73 databronnen bevat (waaronder van 66 externe organisaties), waarin meer dan 41.600 security incidents zijn opgenomen en de gegevens van meer dan 2000 datalekken. Een andere belangrijke bron is IBM’s X-Force Threat Intelligence Index 2019 (monitort 70 miljoen security events per dag in 130 landen) en de Ponemon – Cost of a Data Breach Study. Voor dit laatste onderzoek zijn de gegevens van 477 organisaties verwerkt en zijn 2.200 personen geïnterviewd.

 

De gegevens uit deze bronnen zijn belangrijke input voor de methodiek die Willis Towers Watson gebruikt voor de kwantificering van ‘cyberrisks’ en de vertaling naar het rendement dat een op de situatie afgestemde dekking voor cyber kan bieden.

 

Voorbeeld uit de praktijk: een middelgrote luchtvaartmaatschappij

Tijdens de sessie werd een voorbeeld gegeven van hoe dit in zijn werk gaat. De Chief Risk Officer van een middelgrote luchtvaartmaatschappij was geïnteresseerd in de aanschaf van cyber-dekking, maar had behoefte aan onderbouwing van de toegevoegde waarde van zo’n verzekering. Warszona legde uit hoe het eigen model is gebruikt om de luchtvaartmaatschappij hun verliespotentieel te laten zien als gevolg van een inbreuk op de privacygevoelige gegevens van klanten en de uitval van ICT-netwerken.

 

Verwacht rendement op de investering van een cyber insurance

Aangetoond werd dat de premie die zou worden besteed aan een cyberverzekering een positief rendement zou opleveren. De CRO besloot om cyberdekking aan te schaffen en was goed toegerust om de aankoop aan interne stakeholders te kunnen onderbouwen en rechtvaardigen.

 

NARIM petje op, petje af

 

De 'minor' werd afgesloten met een serie vragen over cyberrisico’s naar voorbeeld van het aloude spel ‘petje op, petje af’. Bijvoorbeeld hoe lang het duurt voordat een inbraak in de ICT-systemen van een organisatie wordt ontdekt. Een lastige vraag, zo bleek. Het antwoord: gemiddeld 198 dagen.

 

Door de afhankelijkheid van digitale systemen en hun onderlinge verwevenheid is ‘cyber’ terecht één van de grootste risicofactoren voor een organisatie. Warszona: ‘Het is veelomvattend en vaak ongrijpbaar. Maar toch ook weer niet. Aan de hand van tools is een risico te kwantificeren en is na te gaan of de aanschaf van een cyberpolis zinvol is en welke dekking dan nodig is.’

 

Hoog tijd voor actie
‘Vergeet niet: hoe korter de responsetijd op een incident, hoe lager de kosten. Die wetmatigheid doet ook in dit soort situaties opgeld. Incident Response is de factor met de meeste impact op Cyber Risk Exposure. De gevolgen van een serieus incident zijn enorm: operationeel en financieel.’ Dat hebben de eerder gemelde voorbeelden wel aangetoond. Afwachten is niet langer een optie, aldus Brian Warszona. Zijn advies: kom in actie.


« vorige pagina         meer nieuws »