Verschillende bedrijven onvoldoende verzekerd tegen toenemende cyberdreigingen
Onvoldoende Verzekering Tegen Cyberaanvallen in Nederland
Ondanks het toenemende aantal cyberaanvallen en de oplopende schade, is slechts een klein percentage van de bedrijven in Nederland adequaat verzekerd tegen dergelijke bedreigingen, zo stellen verzekeraars en cybersecurity-experts. In 2023 genereerde de Nederlandse cyberverzekeringsmarkt 101 miljoen euro aan bruto premies, een fractie van de 16,5 miljard euro aan totale premies voor alle schadeverzekeringen, volgens het Verbond van Verzekeraars. Hoewel de markt voor cyberverzekering vorig jaar met bijna 50 procent groeide, blijft deze onderontwikkeld, zegt Bert Hubert, een voormalig AIVD-toezichthouder en technologieondernemer. “Cyberverzekering staat nog in de kinderschoenen,” aldus Hubert.
Hackers kunnen kwetsbaarheden in veelgebruikte systemen misbruiken, wat leidt tot grootschalige schade. Dit maakt het voor verzekeraars uitdagend om risico’s te beheersen, waarbij sommigen de markt volledig verlaten vanwege de snelle innovaties in cybercriminaliteit. Hiscox, een marktleider in cyberverzekering, accepteert alleen cliënten met een jaarlijkse omzet van minder dan 250 miljoen euro om de blootstelling te beperken. “Bedrijven moeten voldoen aan een bepaalde basis van cybersecurity-hygiëne,” zegt Yasin Chalabi, directeur van Hiscox verantwoordelijk voor cyberrisico’s. Cliënten zijn bijvoorbeeld verplicht om back-ups van kritieke bestanden te onderhouden.
Chalabi merkt op dat cyberclaims zijn toegenomen, maar bedrijven hun beveiligingspraktijken verbeteren in vergelijking met enkele jaren geleden. Veel ondernemers onderschatten hun kwetsbaarheid, in de veronderstelling dat ze weinig te verliezen hebben bij een cyberaanval, legt Chalabi uit. Een gebrek aan begrip van de kosten en baten van cybersecurity belemmert ook de ontwikkeling van de cyberverzekeringsmarkt, volgens het Centraal Planbureau. Sommige bedrijven gaan er ten onrechte vanuit dat hun bestaande aansprakelijkheidsverzekeringen al cyberrisico’s dekken.
Strikte acceptatiecriteria ontmoedigen ook kleine en middelgrote ondernemingen (MKB) om dekking te verkrijgen. Eisen zoals het onderhouden van specifieke veiligheidsteams zijn vaak buiten hun bereik, aldus een woordvoerder van MKB-Nederland, de Nederlandse MKB-vereniging. De organisatie richt zich op het vergroten van het bewustzijn om leden te helpen hun verdediging tegen de groeiende bedreiging te versterken.
Business Email Compromise (BEC) aanvallen, waarbij criminelen vertrouwde partijen via e-mail of berichtenplatforms zoals Teams imiteren, waren goed voor 73 procent van de gerapporteerde cyberincidenten in 2024, volgens Eye Security. Job Kuijpers, CEO van het bedrijf, waarschuwde dat deze aanvallen naar verwachting zullen toenemen in 2025, samen met premies en claims. Ransomware blijft een dominante tactiek, waarbij aanvallers dreigen gestolen gegevens vrij te geven of te vernietigen tenzij losgeld wordt betaald. In 2023 registreerde de Autoriteit Persoonsgegevens in Nederland minstens 178 succesvolle ransomware-aanvallen, waarvan vele meerdere organisaties tegelijkertijd troffen.
Eward Driehuis, een cybersecurity-expert, merkte op dat veel incidenten niet worden gerapporteerd omdat bedrijven gegevenslekken vermijden bekend te maken. “De meeste kosten die gepaard gaan met cyberaanvallen komen niet voort uit losgeldbetalingen, maar uit het stilleggen van operaties en het herstellen van systemen,” aldus Driehuis.
