GDPR duwt cyberverzekeringsclaims naar nieuwe hoogten

Het aantal cyberverzekeringsclaims in 2017 lag even hoog als de vier jaren daarvoor. Die significante stijging werd in grote mate veroorzaakt door ransomware. Dat blijkt uit een rapport van verzekeraar AIG Europe. De situatie wordt er in 2018 niet beter op, maar ransomware zal plaats maken voor GDPR als voornaamste boosdoener.

Ransomware (26%), data-inbreuken (12%) en niet-geautoriseerde toegang (11%) waren de drie voornaamste redenen voor cyberverzekeringsclaims in 2017. De voorbije vijf jaar steeg dat soort claims explosief, van nagenoeg onbestaande in 2013 tot alomtegenwoordig vijf jaar later. AIG kreeg vorig jaar gemiddeld één cyberclaim per werkdag te verwerken.

Cyber Claims Received by AIG EMEA (2013-2017)“In 2017 zagen we een reeks geavanceerde, systemische malware- en ransomware-aanvallen, waaronder WannaCry en NotPetya. De resulterende bedrijfsonderbreking was een belangrijk probleem voor veel Europese organisaties – een groot deel van de financiële impact was een balansverlies”, zegt Mark Camillo, hoofd van de cyberafdeling van AIG voor EMEA. “Terwijl slechts rond de 150.000 dollar losgeld werd betaald, worden de totale economische verliezen in verband met WannaCry op 8 miljard dollar geschat, waarvan een half miljard dollar wordt toegeschreven aan directe kosten en indirecte bedrijfsonderbrekingen. Het merendeel van deze verliezen was onderverzekerd.”

 

“Terwijl slechts rond de 150.000 dollar losgeld werd betaald, worden de totale economische verliezen in verband met WannaCry op 8 miljard dollar geschat”

 

Ransomware is zo populair omdat het een bijzonder effectieve aanval is. Het slachtoffer heeft vaak geen andere keuze dan losgeld te betalen om zijn data terug te krijgen, hoewel dat door security-experts ten zeerste wordt afgeraden. De opkomst van malware-as-a-service zorgt ervoor dat er zelfs amper technische kennis nodig is om een aanval succesvol uit te voeren.

Ook in 2018 blijft ransomware een belangrijke security-uitdaging, met een hoog aantal verzekeringsclaims tot gevolg. Al verwacht AIG dat we de piek wel voorbij zijn. Net omwille van de hoge toegankelijkheid zijn ransomware-aanvallen minder professioneel dan vroeger. Slachtoffers hebben niet altijd meer de garantie dat ze hun data terugzien wanneer ze betalen. Steeds vaker is het ook mogelijk om je data terug te krijgen zonder te betalen.

Cyber Claims received bu AIG EMEA (2017) - By reported incident

GDPR

AIG verwacht evenwel niet dat het aantal cyberverzekeringsclaims zal dalen, integendeel. Dat hebben we volgens de verzekeraar aan GDPR te danken. “De komst van GDPR wordt een ander instrument voor onderhandeling door afpersers”, legt Camillo uit. “Ze dreigen de gegevens van een organisatie in gevaar te brengen, tenzij er een betaling wordt ontvangen, wetende dat de gevolgen groter zouden kunnen zijn onder het nieuwe regime.”

 

“De komst van GDPR wordt een ander instrument voor onderhandeling door afpersers”

 

In 2017 maakten juridische procedures op basis van schendingen van de regelgeving inzake gegevensprivacy slechts 4 procent van alle cyberclaims uit. Met de introductie van de GDPR, die onder meer vereist dat data-inbreuken gerapporteerd worden, zal dat percentage ongetwijfeld fors toenemen dit jaar. “Dit zagen we ook in de Verenigde Staten nadat de rapportage van data-inbreuken verplicht werd gemaakt. Elke high-profile inbreuk wordt daar tegenwoordig beslecht met minstens één class action rechtszaak”, vertelt Camillo.

Ook in Europa is de eerste high-profile rechtszaak al een feit. Al op de eerste dag dat de GDPR in werking trad, kregen Google en Facebook elk een miljardenklacht aan hun been. Boetes voor de schending van de GDPR kunnen oplopen tot 20 miljoen euro of 4 procent van de totale jaaromzet, afhankelijk welk bedrag hoger is.

Cyberverzekering

Het is nog niet duidelijk in hoeverre organisaties zich tegen GDPR-boetes zullen kunnen verzekeren. “In de loop van 2018 zullen we hier meer duidelijkheid over krijgen”, zegt Camillo. “In een paar landen in Europa weten we dat het verboden is, maar in andere rechtsgebieden is het niet helemaal duidelijk.

Hoewel AIG Europe een enorme toename in het aantal cyberverzekeringsclaims vaststelt, zijn verzekeringen om tegen cyberrisico’s te beschermen nog niet wijdverspreid binnen bedrijven.