Menu  

Silent cyber en de risico's

Online studiebijeenkomst over 'silent cyber' van NARIM Kenniscentrum Cyber

In hoeverre is schade die verband houdt met cyber gedekt op de brand- en aansprakelijkheidspolissen? Verzekeraars sluiten 'silent cyber' vaak uit en in bestaande polissen zijn bepalingen soms dubbelzinnig of tegenstrijdig. In de loop van 2020 zijn er 'stilletjes' diverse cyberclausules op polissen geplaatst met potentieel ingrijpende wijzigingen in de dekkingen. 

 

Het Kenniscentrum Cyber van NARIM organiseerde onlangs een online bijeenkomst over 'silent cyber'. Wat is er aan de hand, waar komt dit fenomeen vandaan en hoe kun je er als klant samen met je makelaar mee omgaan?

 

Erik van der Velde, Broking Specialist Cyber van Marsh JLT Specialty, praatte de NARIM-leden online bij over het onderwerp. In 1995 stelde Erik zijn eerste cyberrisk polis samen, sinds 2002 houdt hij zich intensief bezig met het onderwerp en de laatste vijf jaar doet hij dat fulltime, vertelde hij.

 

Wat is het eigenlijk, 'silent cyber'?

De risico’s van ‘silent cyber’ kunnen verstopt zitten in traditionele polissen die betrekking hebben op Property & Damage, D&O en tal van andere polissen. Die polissen zijn niet ontworpen om cyberrisico’s af te dekken. Cyberrisico’s kunnen niet impliciet worden opgenomen of uitgesloten. Deze dubbelzinnigheid in de dekking kan leiden tot ‘silent cyber’ risico’s, waarbij verzekeraars moeten opdraaien voor het uitbetalen van schades voor verliezen op een polis die niet voor dat doel is ontworpen.

 

Silent cyber insurance portfolio

 

Silent cyber is in feite overal waar technologie wordt ingezet

In feite kunnen de risico’s van 'silent cyber' overal opduiken waar technologie wordt ingezet. En dat is vandaag de dag nogal wat in een wereld waarin alles via technologie steeds meer met elkaar is verbonden en daardoor potentieel kwetsbaar.

 

Daarnaast zijn steeds meer cyberaanvallen er op ingericht bedrijfsprocessen en hele toeleveringsketens te ontwrichten. En dat betekent dat bedrijven ook nevenschade kunnen lijden, zelfs als de cyberaanval niet op hen is gericht.

 

Ook datalekken worden zwaarder bestraft op basis van regelgeving als GDPR en CCPA, bijvoorbeeld ook voor pots van werknemers op sociale media.

 

Kortom: traditionele verzekeraars zien meer claims op zich afkomen die voortkomen uit cybergebeurtenissen die ze niet in hun polissen hadden opgenomen en waarvoor geen premie is betaald. Dat leidt op zijn beurt weer tot bezorgdheid over de regelgeving.

Bovendien zijn de in veel polissen gebruikte formuleringen dubbelzinnig of tegenstrijdig.

In feite is het ‘The hidden iceberg of non-affirmative exposure’, verduidelijkte Van der Velde.

 

Silent cyber Iceberg

 

Waar komt ‘silent cyber’ vandaan?

In 2019 verplichtte Lloyd’s dat alle polissen duidelijk moesten zijn of er dekking wordt geboden voor verliezen die worden veroorzaakt door een cybergebeurtenis. Die duidelijkheid moest worden gegeven door blootstelling aan cyberrisico’s uit te sluiten of door een duidelijke bevestiging voor dekking op te nemen.

 

Uitsluitingen om alles bij voorbaat uit te sluiten

De reactie van het overgrote deel van de verzekeraars was om alles zoveel mogelijk uit te sluiten. 'Veel uitsluitingen om daarmee alles uit te sluiten,' aldus Van der Velde. Dat gaat ver, meent hij. ‘Ook schade die kan ontstaan bij externe partijen waarmee je als organisatie samenwerkt. Denk eens aan het verlies van data die je bij een externe hostingpartij hebt ondergebracht. Of bepaalde processen die aan een externe leverancier zijn uitbesteed. Situaties die vandaag de dag eigenlijk bijna overal voorkomen.’


Wees je bewust van de risico's van silent cyber

Het effect is dat er veel onduidelijk is en dat is iets waar ook het hoogste management in organisaties zich bewust van moet zijn. ‘Technologie is vandaag de dag een integraal onderdeel van allerlei bedrijfsactiviteiten: in alle sectoren. Daaraan wordt in veel van de huidige polissen voorbij gegaan.’ De aantekeningen over cyber in de polissen moeten zorgvuldig worden opgesteld om dubbelzinnige uitleg en hiaten in de dekking te voorkomen, vindt Van der Velde. ‘Het allerbelangrijkste voor een Risk & Insurance Manager is om de (potentiële) impact van eventuele wijzigingen in de polisomschrijvingen volledig te begrijpen.’

 

Wat kun je doen?

Van der Velde beschreef een voorbeeld van een Assessment framework. Met daarin een aantal stappen: bepaal allereerst je risk appetite en de risicostrategie, definieer de exposure van cyberrisks en definieer samen met de business cybergerelateerde scenario’s met geschatte maximale verliezen. Onderwerp de bestaande polissen en dekkingen vervolgens aan een coverage review en stel vast waar zich gaps bevinden. Als laatste is dan vast te stellen welke gaps gedicht moeten worden en op zoek te gaan naar risicomitigatie en risk transfer (dekking en limieten).

 

Silent cyber gaps

 

Wat gaat de toekomst brengen?

De behoefte aan duidelijkheid en eenduidigheid in branchebreed geaccepteerde polisbeschrijvingen is groot, maar Van der Velde verwacht niet dat die duidelijkheid er op korte termijn komt. ‘Veel verzekeraars zijn nog altijd gefocust op fysieke schades. Neem een brandschade: de fysieke schade is gedekt en de bewijslast voor de omvang van de schade ligt bij de verzekeraar. Maar wat als er vermoeden bestaat dat die brand het gevolg is van een cybergebeurtenis? Dan is de bewijslast omgekeerd en moet je als verzekerde aantonen dat de brand niet het gevolg is van een cybergebeurtenis. Dat maakt schades veel lastiger om uit te pluizen. Bovendien is het belangrijk wat er precies in de polis is vermeld en of dit wel duidelijk is.’

 

Een ander aspect is dat bedrijven lang niet altijd met alle details naar buiten willen komen uit het oog van concurrentie en reputatie. ‘Vertrouwelijke gegevens die je niet zomaar met derden wil delen.’

 

En er is nog meer, rondde Van der Velde zijn inleiding af. Denk aan:

  • Data & Big Data: zijn uw gegevens gedekt op de PD/BI-polis of geldt de dekking alleen voor tastbare eigendommen? Wat is de waarde van data? Komt 'data' op de balans te staan?
  • Blockchain-technologie: wat zijn de risico’s, zijn deze bekend en vallen deze risico’s onder de dekking?
  • Zelflerende machines, robots en algoritmen: wat zijn de risico’s en zijn deze gedekt?
  • Going to the cloud: hoe wordt het uitvallen van IT Outsourced Service Providers gedekt door uw PD/BI-polis?


Veel gebruikte clausules onder de loep
Aansluitend werd door de NARIM-leden in kleinere groepen ingezoomd op veel gebruikte clausules en werden aan de hand van een voorbeeld de gevolgen besproken. Daarna werd opnieuw in kleinere groepen bekeken waar de reguliere cyberpolis wel of geen oplossing biedt.

 

De presentatie van Erik van der Velde is te downloaden via het ledendeel van de NARIM-site.


« vorige pagina         meer nieuws »