Eerst dit: Belgische bedrijven die vandaag verzekerd zijn voor cyberrisico's, hoeven niets te vrezen. Bij Vanbreda Risk & Benefits komen jaarlijks tientallen cyberclaims binnen. Tot op vandaag is in ons land geen enkele uitbetaling geweigerd. Maar het juridisch dispuut in de VS is wel grensverleggend en zal ook op onze bedrijven en verzekeraars impact hebben.

Waarover gaat het? In 2017 zorgde de zogenaamde NotPetya-aanval wereldwijd voor een enorme ravage. De ransomware, dit is een virus waarvan men het kwalijke effect kan afkopen mits losgeld te betalen, legde wereldwijd computersystemen van multinationals en andere bedrijven en organisaties plat. Onder de slachtoffers: Merck, Reckitt Benckiser, Maersk en voedingsbedrijf Mondelez (bij ons bekend van de Côte d'Or chocolade).

Die laatste zag naar eigen zeggen 1.700 servers en 24.000 laptops 'permanent disfunctioneel' worden. De schade was enorm: Mondelez diende een claim van 100 miljoen dollar in op zijn property-polis (een verzekering tegen materiële schade) bij Zurich. Maar de verzekeraar weigert die nu uit te betalen, waarop de voedingsreus prompt naar de rechter stapt.

Eerste achilleshiel: de 'stille' cyberrisico's

Een multinational die een verzekeraar voor de rechter daagt is niet nieuw. Maar in dit geval staan de sterren anders. Het juridisch dispuut legt de twee achilleshielen van de cyberrisico's bloot, waarvan de eerste de zogenaamde 'stille' cyberrisico's zijn.

Stille risico's zijn risico's die verhaald worden op polissen die daar in oorsprong niet voor gemaakt zijn. Deze verzekeringsproducten werden ontworpen in een tijd waarin van cyberaanvallen nog geen sprake was. Maar desondanks zijn in deze polissen contractuele clausules te vinden waarop bedrijven zich kunnen beroepen om de schade van bijvoorbeeld hacking of een datalek te verhalen.

Dit leidt tot een ambiguïteit die erg nefast is voor bedrijven én verzekeraars. Die eersten gaan er in bepaalde gevallen verkeerdelijk vanuit dat ze goed verzekerd zijn tegen één van de meest frequente bedrijfsrisico's van vandaag. En de verzekeraars op hun beurt worden geconfronteerd met cyberclaims waarvoor ze binnen hun property- of aansprakelijkheidspolis geen financiële middelen hebben voorzien.

Dispuut tussen chocoladereus Mondelez en verzekeraar Zurich legt de achilleshielen van cyberrisico's bloot.

Als er één zaak positief is aan het juridisch dispuut tussen Mondelez en Zurich, dan is het dat de rechtspraak ervoor zal zorgen dat er duidelijkheid komt rond de stille cyberrisico's. Bij een uitspraak in het voordeel Mondelez zullen verzekeraars wereldwijd starten met het berekenen van het aantal stille cyberrisico's in hun bestaande portefeuille. De property- en aansprakelijkheidspolissen zullen een grondige update krijgen, met inbegrip van uitsluitingen en clausules om in de toekomst rechtszaken omtrent cyberrisico's te vermijden.

Tweede achilleshiel: de onverzekerbare cyberrisico's

Maar wat als verzekeraar Zurich aan het langste eind trekt? Dan zullen bedrijven wereldwijd inzien dat een specifieke en expliciete cyberpolis de beste verzekeringsoplossing is tegen de steeds driester wordende cybercriminelen. En daarmee komen we bij de tweede achilleshiel in de wereld van de cyberrisico's.

Vandaag functioneert de markt van cyberverzekeringen prima. Maar er zijn twee grote bedreigingen. Enerzijds het gebrek aan historische data over cyberrisico's, waardoor de financiële impact ervan bijzonder moeilijk in te schatten is voor verzekeraars. Anderzijds de opkomst van 'systemische' cyberrisico's, waarvan de impact zo wijdverspreid kan zijn dat verzekeraars over onvoldoende financiële buffer beschikken om deze te vergoeden.

Het gebrek aan historische data en de opkomst van systemische risico's, maken dat sommige verzekeraars vrezen dat het cyberrisico in de toekomst onverzekerbaar zal worden. Wat als bijvoorbeeld de webdiensten van een bedrijf als Amazon een week lang volledig plat liggen door een cyberaanval? Hoeveel bedraagt de wereldwijde schade dan? Het laat zich raden dat dit bedrag een stuk hoger zal liggen dan de 100 miljoen dollar waarvoor Mondelez en Zurich vandaag in het strijdperk treden.

Daarom is het zinvol om nu al naar een oplossing te zoeken. De Terrorism Reinsurance and Insurance Pool (TRIP), een vzw die in 2017 door verzekeraars werd opgericht om de desastreuze financiële impact van een terreurdaad te overleven, kan hierbij als inspiratie dienen. De TRIP heeft een solidariteitsmechanisme in het leven geroepen waarbij verzekeraars in het geval van een aanslag de krachten bundelen om alle getroffen verzekerden te kunnen vergoeden. Loopt de schade zéér hoog op, dan springt ook de overheid bij.

Is zo'n verregaande maatregel ook nodig op het vlak van cyberrisico's? Ik ben overtuigd van wel. De Trojaanse geschiedenis heeft ons geleerd dat Griekse held Achilles wel degelijk sterfelijk was. En hij had maar één kwetsbare hiel.