Restrisico’s blijven altijd

Risico-inventarisatie bepaalt premie voor verzekering tegen cybercrime

Volgens Norea, de beroepsorganisatie van it-auditors, bestaat er behoefte aan een verzekering tegen cybercrime, zoals Marsh die onlangs op de markt bracht. Of zo’n verzekering ook echt interessant is hangt echter af van de voorwaarden en premie.

Norea-voorzitter Hans Donkers: “De meeste organisaties hebben veel energie gestopt in hun informatiebeveiliging. Ze hebben alle maatregelen getroffen die bedrijfseconomisch verantwoord zijn, maar zoeken naar een goede mogelijkheid om de restrisico’s af te dekken.” Die restrisico’s blijven namelijk altijd aanwezig. Volgens internetbeveiliger MessageLabs waren er bijvoorbeeld in juni van dit jaar wereldwijd zes keer zoveel gerichte pogingen om intellectuele eigendommen van organisaties te stelen via aanvallen met ‘Trojaanse paarden’ als een jaar geleden. McAfee registreerde eind juni het tweehonderdduizendste geval van malware (virussen, Trojaanse paarden en dergelijke) in zijn databank en verwacht dat dit aantal binnen twee jaar opnieuw is verdubbeld. Het heeft maar liefst achttien jaar geduurd voordat er honderdduizend malwaregevallen waren opgedoken.

'Dataguard'

Verzekeraar Marsh speelt in op het verlangen naar zekerheid door het aanbieden van de ‘Dataguard’-verzekering tegen cybercrime. Die dekt de onoverzichtelijke kosten door bijvoorbeeld dataverlies, het niet kunnen verwerken van orders en zelfs reputatieschade als gevolg van cybercrime. Onder ‘cybercrime’ vallen in dit geval niet alleen zaken als virussen, sabotage en hacking, maar ook fraude van binnenuit (behalve als die is uitgevoerd door directieleden) en menselijke fouten, of die nu expres of per ongeluk zijn gemaakt.

Premies onduidelijk

Over de prijs die organisaties voor deze paradijselijke bescherming moeten betalen blijft de verzekeraar vaag. De premie wordt namelijk per geval vastgesteld op basis van onder andere een risico-inventarisatie en “de gewenste dekking”. Donkers: “Het addertje onder het gras zou kunnen zijn dat alleen organisaties die het al optimaal voor elkaar hebben zich tegen gunstige voorwaarden kunnen verzekeren.”

Concurrent Aon zegt overigens ook verzekeringen te kunnen bieden tegen de directe en indirecte schade door cybercrime, al heeft de verzekeringsmakelaar en risicoadviseur nog niet echt behoefte daaraan kunnen bespeuren. Woordvoerder Bartjan Willenborg: “Ik zeg niet dat alles te verzekeren is, maar wij kunnen voor de meeste voorkomende kwesties een oplossing adviseren. Die ligt in de sfeer van preventieve maatregelen of bestaat uit een verzekering.”