Recent schreef ITchannelPRO dat het steeds moeilijker wordt cyberverzekeringen af te sluiten omdat de premies zo hoog zijn. Sinds gisteren weten we dat er nog meer gaat gebeuren. Dit soort verzekeringen vergoeden niets meer als de aanvallen die tot schade leiden te linken zijn aan “niet vriendelijke staten.”
De beslissing per volgend jaar de dekking van dit soort verzekeringen nog verder te beperken is woensdag bekend gemaakt door Lloyds. Als de grootste (her) verzekeraar ter wereld hier over communiceert naar de achterban dan is het effect daarvan ook wereldwijd. Verzekeringen bestaan immers uit een stelsel van maatschappijen en instellingen die bij elkaar polissen afsluiten en op andere manieren samenwerken.
Dat Lloyds hiermee komt is niet als een bom ingeslagen. Het nieuws hing namelijk al geruime tijd boven de markt. Elk rapport over de impact van cybercrime en de staat van de cyberverzekeringen is zo duidelijk als een klontje. De schade is te verkleinen of zelf voorkomen als men de zaakjes goed voor elkaar heeft. Zelfs de aanvallen uit Noord Korea en andere “schurkenstaten” zouden minder grote gevolgen hoeven hebben.
Naast dat signaal speelt sinds NotPetya al de vraag of een verzekeraar mag weigeren te betalen als een staat de opdracht tot een cyberaanval geeft. Tot op dit moment lopen daarover rechtszaken. Dat Lloyds nu deze stap neemt kan ook gezien worden als een manier dit soort lange dure rechtszaken in de toekomst te voorkomen.
De vraag is natuurlijk of de stap van Lloyds goed of slecht nieuws is en voor die precies. Als men zich ergens niet meer voor kan verzekeren lijkt dat per definitie een slechte ontwikkeling. Verzekeraars moeten het aanbod (de polis) aanpassen en lopen de kans dat de instroom van nieuwe klanten geringer is dat bestaande klanten niet meer verlengen.
Het bedrijfsleven dat de verzekeringen niet meer kan of wil afsluiten zou je ook als een verliezer kunnen bestempelen. Dat idee is echter niet juist. De stelling die ITchannelPRO hier poneert is dat het minder aantrekkelijk maken van cyberverzekeringen een goede ontwikkeling is. Het dwingt namelijk het bedrijfsleven cybersecurity eindelijk eens serieus te nemen. Nu de kans op vergoeding door een verzekering geringer wordt, moet men wel meer werk maken van het dichttimmeren van de netwerken en het aanpassen van de werkprocessen.
Bedrijven moeten nu echt vaker aankloppen bij de IT dienstverleners om dat wat ze tot nu toe met een cyberverzekeringen hebben omzeild voor elkaar te krijgen. Dat is goed nieuws. De vraag is nog wel wanneer we de impact van dat Lloyds besluit gaan merken in de markt. Wie opmerkt dat het toch alleen om het schrappen van de dekking gaat in het geval van “schurkenstaten” heeft gelijk. Maar alles wijst erop dat het hier niet bij zal blijven.