Cyberschadeclaims: de unieke uitdagingen van het digitale domein

Azië is de thuisbasis van meer dan de helft van alle internetgebruikers ter wereld. Bedrijven maken gebruik van de onlineactiviteiten van Aziaten om nieuwe en bestaande klanten te bereiken, nieuwe producten te ontwikkelen en processen efficiënter te maken. De voordelen van deze kans gaan gepaard met unieke risico's die niet worden gedekt door traditionele verzekeringen tegen bedrijfsonderbreking (BI). Deze risico's kunnen echter worden beheerd met een BI-dekking uit afzonderlijke cyberpolissen. 

Nu we van de fysieke naar de digitale wereld gaan, brengen cyber-BI-claims unieke uitdagingen met zich mee – sommige zijn bekend, andere zijn anders en weer andere verschillen drastisch van traditionele BI-claims. 

Het bekende

Zoals bij alle verzekeringsclaims moet er een causaal verband tussen het incident en het verlies worden aangetoond. In traditionele BI staat dit bekend als de voorwaarde voor materiële schade. Cyber BI-polissen zijn vergelijkbaar, maar in plaats van schade kan de dekking worden geactiveerd door een daadwerkelijke of vermoedelijke inbreuk op de IT-systemen van de polishouder. Om voor dekking in aanmerking te komen, moeten verliezen voortvloeien uit een verzekerd incident. 

De soorten dekking die zowel traditionele als cyber-BI-polissen bieden, zijn ook vrij gelijkaardig. De dekking kan worden geboden op basis van de bruto-inkomsten of de brutowinst en op basis van de gestegen werkingskosten. Het doel is dus om de verzekeringnemer in dezelfde positie te brengenals zonderhet cyberincident. Deze incidenten kunnen kwaadwillig zijn (bijvoorbeeld een datalek of malware) of anderszins (bijvoorbeeld door onopzettelijke handelingen of nalatigheden). De uitdaging ligt, zoals altijd, in het isoleren van het verlies dat uitsluitend door het incident is veroorzaakt.

Het enigszins andere

Er zijn enkele subtiele verschillen merkbaar bij het beoordelen van verliezen onder een cyberpolis. De schadevergoedingsperiode voor een traditionele BI-polis begint doorgaans wanneer er fysiek verlies optreedt. Bij cyber-bedrijfsonderbrekingsverzekeringen hangt het begin echter sterk af van de bewoordingen van de polis; het kan het geschatte tijdstip zijn waarop een systeem is gecompromitteerd, of het tijdstip waarop een beveiligingsincident wordt gemeld. Hiervoor geldt een bepaalde wachttijd (d.w.z. eigen risico), meestal ongeveer 12 uur. Hoewel dit kort lijkt, kan het voor een online retailer tijdens een grote uitverkoop, zoals op Singles' Day, een kostbare eeuwigheid blijken te zijn. 

Cyber BI-polissen hebben over het algemeen een maximale vergoedingsperiode van ongeveer drie maanden, wat aanzienlijk korter is dan de 12 maanden die we gewoonlijk zien bij traditionele BI-polissen. Dit weerspiegelt het kortere karakter van veel cyberincidenten, die sneller kunnen worden opgelost door bijvoorbeeld een back-up te herstellen. Het kan echter een uitdaging zijn om het punt van de storing in een complex IT-systeem te identificeren en te verhelpen, ondanks de hulp van een speciaal incidentresponsteam. 

De zeer verschillende

Aangezien de onderliggende activa immaterieel van aard zijn, ontstaan er enkele belangrijke verschillen. Hier zijn twee verschillen die het overwegen waard zijn: 

1. Ransomware-aanvallen

Hoewel ransomware-aanvallen niet nieuw zijn, worden ze steeds prominenter en complexer, waardoor de kans groter wordt dat een bedrijf met verstoringen te maken krijgt. Er kan data worden gestolen of de toegang daartoe kan worden geblokkeerd (of een combinatie daarvan), waarbij de afperser dreigt vertrouwelijke data vrij te geven, te vernietigen of de toegang daartoe te blokkeren, tenzij er wordt betaald. Het gemiddelde losgeld in 2023 bedroeg naar verluidt 1,54 miljoen dollar, bijna het dubbele van het bedrag in 2022.

In bepaalde gevallen lijkt het betalen van het losgeld de goedkoopste en meest effectieve optie. Sommige polissen vergoeden een polishouder zelfs voor dergelijke betalingen. De uiteindelijke beslissing om al dan niet te betalen ligt bij het bedrijf, maar moeten ze betalen?

Hoewel het verleidelijk kan zijn om aan de eisen toe te geven in de hoop dat de gegevens snel worden hersteld, wordt dit niet ondersteund door de feiten. Ongeveer een op de vier die betalen, krijgt zijn gegevens nooit terug, en zelfs als sommige gegevens worden hersteld, hebben de meeste organisaties meer dan een week nodig om te herstellen van een ransomware-aanval. Er is ook geen garantie dat de aanval wordt beëindigd of opgelost – een punt dat wordt herhaald door het 48 landen tellende Counter Ransomware Initiative, dat dergelijke betalingen sterk ontmoedigt. Betalingen kunnen ook dienen als financieringsbron voor criminele activiteiten en een extra stimulans vormen om in de toekomst nieuwe aanvallen uit te voeren. 

Bedrijven moeten beslissen of het in hun belang is om te weigeren losgeld te betalen. Als verzekeraars de beslissing om niet te betalen steunen, dekt de verzekering doorgaans de herstelkosten en eventuele inkomstenverliezen die rechtstreeks voortvloeien uit de aanval.

Aangezien ransomware-aanvallen financieel kostbaar kunnen zijn en aanzienlijke downtime kunnen veroorzaken, is het verstandig om u proactief voor te bereiden op een dergelijk incident. Deze maatregelen kunnen het volgende omvatten:

• Ervoor zorgen dat back-ups en redundantie aanwezig en actueel zijn
• Het uitvoeren van regelmatige IT-audits
• Verplichte sterke wachtwoorden en meervoudige authenticatie
• Het geven van regelmatige IT-trainingen en -opleidingen
• Ontwikkeling van incidentresponsplannen die indien nodig snel kunnen worden ingezet 

Dergelijke plannen zijn alleen effectief als de hele organisatie zich ervoor inzet.

• Reputatieschade

Na een cyberaanval kan het imago van het getroffen bedrijf worden aangetast, vooral wanneer gevoelige klantgegevens zijn gecompromitteerd. Klanten kunnen twijfels krijgen over het vermogen van het bedrijf om hun persoonlijke gegevens te beschermen, wat kan leiden tot een verlies van vertrouwen en loyaliteit. Door serviceonderbrekingen kunnen gebruikers ook overstappen naar een concurrent die zijn betrouwbaarheid promoot.

Veel cyber-BI-polissen bieden dekking voor reputatieschade en vergoeden verzekerden voor financiële verliezen die rechtstreeks voortvloeien uit het incident. Er kan ook dekking zijn voor kosten om de reputatie te herstellen, bijvoorbeeld door PR-adviseurs in te huren om de gevolgen van negatieve publiciteit te beperken. Het is lastig om het verlies van huidige en toekomstige klanten als gevolg van het incident te meten en toe te schrijven. Bovendien hebben veel cyberpolissen een korte maximale vergoedingsperiode, waardoor de voortdurende reputatieschade na deze periode niet door de polis wordt gedekt. 

Het is nog niet duidelijk of nieuws over cyberincidenten zo gewoon is geworden dat de reputatie van een bedrijf daadwerkelijk wordt geschaad. Mensen zijn geneigd om bedrijven die een hoge mate van vertrouwen genieten, gevoeliger te vinden voor reputatieschade. Een onlinebank zou bijvoorbeeld gevoeliger zijn voor reputatieschade dan een onlinewinkel. 

Net als bij ransomware kan een proactieve aanpak van reputatieschade effectiever en efficiënter zijn dan een reactieve houding. Naast de hierboven genoemde maatregelen moet de basis worden gevormd door duidelijke en effectieve communicatie met belanghebbenden – essentieel voor het herstellen van vertrouwen en het verdedigen van reputaties. 

Conclusie

Cyber BI-claims hebben een aantal kenmerken gemeen met traditionele BI-claims, maar de digitale wereld roept een aantal unieke vragen op. Wanneer een bedrijf te maken krijgt met een cyber BI-schade, is het van cruciaal belang om een betrouwbare partner in te schakelen die expertise heeft in de nuances van cyber BI-claims, om hen te helpen de verstrekkende gevolgen ervan te beperken.

> Meer informatie — lees meer over Sedgwick's forensische boekhoudkundige diensten en mogelijkheden op het gebied van bedrijfsonderbrekingen in Azië of stuur een e-mail naar [email protected] voor meer informatie.