Het Franse AXA, de een na grootste verzekeraar ter wereld past de cyberverzekeringen aan voor de schade van ransomware. Het bedrijf stopt voor de Europese markt het met vergoeden van het losgeld. Dat bericht is in Europa anders ontvangen dan in Amerika, waar vooralsnog niets veranderd. Er zijn voor- en tegenstanders van dit besluit aan beide kanten van de oceaan.
Beperkt aanbod
Het aantal verzekeraars dat een B2B cyberverzekering aanbiedt is beperkt. Het is namelijk lastig een standaard product te ontwikkelen voor een markt die zo verschillend is. Ook is het niet eenvoudig de te verwachte schade over een langere periode te voorspellen. Dat is nodig om de kostendekkende premie te kunnen berekenen.
Amerikaanse markt
Dat er toch verzekeraars zijn gevonden die een cyberverzekering aanbieder is dan ook vooral te danken aan de Amerikaanse markt. Daar zijn deze verzekeringen vaak onderdeel van een breed pakket dat beschermt tegen de overlast en schade van rampen. Dat type verzekering is door Washington gepushed naar de natuurrampen van begin deze eeuw.
Maar zelfs in Amerika is het aanbod gering. Los van de wederverkopers lijkt het te gaan om nog geen twee dozijn aanbieders. Een aantal daarvan is het dit aanbod de oceaan over gestoken. Ze hadden daarvoor twee redenen. De eerste is dat ze ook de Amerikaanse bedrijven in de EU wilde bedienen. Andere reden was dat veel verzekeraars anticipeerden op een grotere vraag naar verzekeringen om de AVG risico’s te kunnen afdekken.
Opkomst van ransomware
De komst van ransomware heeft de verzekeraars verrast. Het idee was dat hierdoor de vraag naar cyberverzekeringen, als losse verzekeringen of als deel van een totaal pakket, zou toenemen. Dat lijkt in de EU maar mondjesmaat te lukken. Uit recente cijfers van Hiscox bleek immers dat nergens in de EU serieus meer dan een derde van de ondernemers een dergelijke verzekering heeft afgesloten.
Impact AXA besluit
Het bijzondere aan het besluit van AXA de ransomware vergoeding uit de verzekeringen te slopen is dat daarvoor twee tegengestelde verklaringen voor worden gegeven. De eerste is dat in Europa de vraag naar dit soort verzekeringen te laag is. Haaks daarop staan de meldingen uit Frankrijk en daarbuiten dat dit soort verzekeringen juist de criminelen aanmoedigt met de aanvallen door te gaan. Zij richten de aanvallen op bedrijven waarvan bekend is dat ze verzekerd zijn. Die kunnen en zullen namelijk altijd bereid zijn losgeld te betalen.
Dat het AXA besluit alleen de Europese markt betreft is mogelijk een eerste stap. De concurrentie zal moeten reageren. Als zij wel doorgaan zal dat niet leiden tot een tsunami van nieuwe klanten, daarvoor is de belangstelling al jaren te gering.
IT dienstverleners
De impact van het Franse besluit zal ook te merken zijn bij twee andere groepen. De wederverkopers van de AXA cyberverzekeringen is een groep. De andere groep betreft specialistische IT dienstverleners. Bedrijven die pentests uitvoeren en andere security diensten bieden, kunnen dat doen omdat een cyberverzekering dat voorschrijft. Er zijn ook combinaties van periodieke pentests en cyberverzekeringen. Die groep zal niet blij zijn met het besluit van AXA.