Nederlandse huishoudens en bedrijven zijn slecht verzekerd tegen nieuwe en veranderende risico’s, zoals cyberaanvallen. Dat komt omdat we ons onvoldoende bewust zijn van de gevaren en mogelijke financiële schade. Het is de taak van de overheid en verzekeraars om het risicobewustzijn te vergroten.
Dat stelt De Nederlandsche Bank (DNB) in het rapport ‘Verzekeraars in een veranderende wereld’ (pdf) (1).
De digitalisering voltrekt zich in hoog tempo. Dat brengt vele voordelen met zich mee, maar heeft onze samenleving ook kwetsbaar gemaakt. Geopolitieke spanningen zoals de oorlog in Oekraïne en landen die een offensieve cyberstrategie tegen ons land voeren, maken de cyberdreiging nog groter.
Het gevolg is dat cyberincidenten -zowel met criminele als niet-criminele oorsprong- veelvuldig voorkomen bij Nederlandse huishoudens en bedrijven. Het Centraal Bureau voor de Statistiek (CBS) concludeerde in de laatste editie van de Cybersecuritymonitor dat er afgelopen jaar meer slachtoffers waren te betreuren door cybercrime. Dan moet je denken aan ongeautoriseerde toegang tot data, ransomware-aanvallen, diefstal van privacygevoelige gegevens en andere beveiligingsincidenten.
Ook particulieren waren vaker de dupe van cybercriminelen: anderhalf miljoen Nederlanders kregen afgelopen jaar te maken met online oplichting en fraude. Twee op de drie Nederlanders zei vorig jaar tenminste één keer een phishingbericht te hebben ontvangen. Meer dan honderdduizend mensen trapten hier ook daadwerkelijk in. In meerdere gevallen bedroeg de schade duizenden euro’s.
En dat is hoogstwaarschijnlijk slechts het topje van de ijsberg. Uit angst voor reputatieschade melden bedrijven lang niet altijd als ze zijn aangevallen door hackers. Veel Nederlanders doen geen aangifte, enerzijds uit schaamte, anderzijds omdat ze denken dat de politie niets kan betekenen.
Toch is het belangrijk om cyberaanvallen serieus te nemen. Cyberincidenten kunnen uitgroeien tot een systeemcrisis, zo benadrukt de DNB. Als voorbeeld noemt de financiële toezichthouder de WannyCry- en NetPetya-aanval, en cyberaanvallen op de Amerikaanse aardoliemaatschappij Colonial Pipeline en het Braziliaanse vleesverwerkingsbedrijf JBS.
Toch is de markt voor cybersecurityverzekeringen beperkt in omvang. Dat heeft volgens de DNB verschillende oorzaken. Om te beginnen is er een gebrek aan historische data, waardoor data over incidenten en de daaruit vloeiende schade beperkt zijn. Ten tweede kan de financiële schade als gevolg van een cyberaanval het risicodragend vermogen van een verzekeraar overstijgen. Verzekeraars zijn daarom terughoudend met het verzekeren van cyberrisico’s. Tot slot zijn veel bedrijven en huishoudens zich niet bewust van de potentiële schade die cyberrisico’s met zich kunnen meebrengen.
Cyberrisico’s nemen verschillende vormen aan, zo vertelt Maurice Doll, econoom bij de DNB. “Naast hackaanvallen en afpersingen met ransomware, kunnen cyberrisico’s ook ontstaan door technische defecten aan hardware of menselijke fouten. Daardoor wordt onbedoeld vertrouwelijke informatie openbaar gemaakt. De toegenomen digitalisering van de samenleving maakt huishoudens en bedrijven steeds kwetsbaarder voor deze verschillende cyberrisico’s.”
Simone Mattheussens, senior Policy Advisor Banking Supervision bij de DNB, denkt dat we onszelf beter kunnen beschermen tegen hackers als verzekeraars openstaan om ons tegen deze risico’s te beschermen. Zij stelt dat de markt voor cyberverzekeringen in ons land in de kinderschoenen staat in vergelijking met de Verenigde Staten. “Een verder ontwikkelde cyberverzekeringsmarkt kan helpen om de samenleving weerbaarder te maken tegen cyberincidenten. Maar natuurlijk is het ook belangrijk dat huishoudens en bedrijven hun eigen cyberveiligheid op orde hebben.”
De DNB vindt dat de overheid en verzekeraars gezamenlijk moeten optrekken om betere verzekeringen op het gebied van cybersecurity in het leven te roepen. De overheid moet open en eerlijk zijn over de schade die ze wel en niet zal vergoeden als een bedrijf door een cyberaanval wordt getroffen. Verder moeten data over cyberincidenten toegankelijker worden voor verzekeraars. “De overheid kan datadeling tussen marktpartijen bevorderen, maar ook data die ze zelf bijhoudt over cyberincidenten delen, waarbij de privacy en veiligheid uiteraard gewaarborgd dienen te worden” aldus de DNB.
De toezichthouder waarschuwt voor uitsluiting. “Het risico bestaat dat concurrentiedruk of toetreding van nieuwe partijen tot de Nederlandse markt met vergaande risicoselectie gepaard gaat, waarbij verzekeraars trachten om vooral winstgevende klanten aan zich te binden. Dit pakt niet alleen nadelig uit voor verzekeraars die, om bijvoorbeeld ethische redenen, in mindere mate op risico’s selecteren, maar zet ook de financiële inclusie onder druk doordat groepen met een verhoogd risicoprofiel van dekking worden uitgesloten.”
Tot slot benadrukt de DNB dat het behoud van onderlinge solidariteit en een brede toegankelijkheid van verzekerden belangrijke aandachtspunten zijn voor beleidsmakers en toezichthouders.
https://www.dnb.nl/media/elrpseou/dnb-verzekeraars-in-een-veranderende-wereld.pdf
