Cybercrime verzekeren: wat is verzekerbaar en hoe worden risico’s eerlijk gedeeld?

Wat is verzekerbaar?

Het verzekeren tegen criminaliteit is traditioneel een complexe zaak, omdat je te maken hebt met moral hazard: als mensen weten dat ze verzekerd zijn, worden ze mogelijk (iets) onvoorzichtiger. Deze onvoorzichtigheid verhoogt het risico, dus daar kunnen criminelen vervolgens hun geld aan verdienen. Indirect wordt dan een stukje misdaad gefinancierd met verzekeringsgelden.
Het meest bekende voorbeeld hiervan is inbraakrisico. Woninginbraken zijn echter al sinds jaar en dag onder de inboedeldekking verzekerd, dus blijkbaar valt het moral-hazard effect hier wel mee: de gemiddelde verzekerde beveiligt zijn woning niet veel slechter dan de gemiddelde onverzekerde.

Bij cybercrime speelt moral hazard ook een rol. Een verschil met woninginbraak is echter dat cybercriminelen eigenlijk elk bedrag aan losgeld kunnen vragen wat ze willen, terwijl er uit een huis maar zoveel te stelen is als dat de inbrekers kunnen tillen. Hierdoor kan de schadelast veel hoger oplopen dan bij de traditioneel gedekte vormen van criminaliteit. Als verzekeraars bereid zouden zijn hieraan mee te betalen, kan er een prikkel ontstaan voor de cybercriminelen om het gevraagde losgeld structureel verder te verhogen. Een verzekerde is dan een véél interessanter potentieel doelwit geworden dan de onverzekerde. Een verzekeraar wil en mag natuurlijk niet misdaad lonend maken.

De eerste verzekeraars die nu een cyberdekking aanbieden voor particulieren (bijvoorbeeld standaard in de inboedelverzekering), bieden daarom géén dekking aan voor de betaling van losgeld, maar voor ondersteuning door cyberexperts bij een (computer)virusinfectie. Daarnaast wordt er sterk ingezet op preventie: tips, tricks en recente ontwikkelingen op het gebied van cybercriminaliteit worden door de verzekeraar met de klant gedeeld. Hierdoor is men beter in staat om problemen te voorkomen en wordt de verzekerde niet aan zijn lot overgelaten mocht het een keer misgaan. Bij schade wordt salvage geboden door cyberexperts; zij kunnen mogelijk een deel van de schade oplossen of erger voorkomen. Immers zijn niet alle virusinfecties zodanig dat de computer, of de data en foto’s niet meer kunnen worden “teruggewonnen” van de hackers.

Daarnaast zijn er verzekerde uitkeringen voor online oplichting door webshops en hacken van bankrekeningen en creditcards. Bij deze risico’s lijkt moral hazard minder relevant.

Voor 2020 is het waarschijnlijk dat het aantal geregistreerde misdrijven ruim zal verdubbelen ten opzichte van 2019 (figuur 1).

Deze cijfers kunnen met enige voorzichtigheid naar de toekomst worden geëxtrapoleerd. Hiermee wordt een inschatting van de frequentie per cyberrisico afgeleid. Op basis van het maximum dekkingsbedrag en schadesturingsbeleid kan vervolgens ook een schatting worden gemaakt van de gemiddelde schadelast per claim. De combinatie van schadefrequentie en gemiddelde schadelast kan worden gebruikt om een doorsneepremie vast te stellen.

Een ander issue bij criminaliteit is de onvoorspelbaarheid van het risico. Dit speelt een grote rol bij terrorisme: als een land of regio een passend antwoord heeft gevonden op een bepaald type aanslagen, dan ontwikkelen terreurorganisaties een nieuwe manier om hun doelen te bereiken. Voor verzekeraars impliceert dit dat het toekomstig risico nooit adequaat kan worden ingeschat door bestudering van historische data. Bij cybercrime speelt dit ook: enerzijds door de snelle technologische ontwikkeling, anderzijds door de criminele innovatiekracht. Criminelen zoeken telkens nieuwe wegen zodra virusbeschermers zijn ontwikkeld tegen hun huidige werkwijze. Een adequate risico-opslag voor het ontstaan van deze unknown unkowns blijft daarom nodig om het risico voor de verzekeraar te dekken.

Premiedifferentiatie mogelijk?

Klantspecifieke risicofactoren zijn nu nog nauwelijks in te schatten.  Een doorsneepremie is in een jonge markt een eerste stap, maar er zijn mogelijk goede redenen om op termijn naar een gedifferentieerd stelsel toe te groeien. Hierbij valt onder meer te denken aan:

• Preventie: sommige mensen hebben geïnvesteerd in goede antivirussoftware;
• Leeftijd: risicobewustzijn en kennis is niet gelijk verdeeld over de leeftijdsgroepen, en sommige leeftijdsgroepen zijn een meer geliefd doelwit van cybercriminelen.
• Gedrag: sommige mensen zoeken relatief vaker veel meer risico, bijvoorbeeld het downloaden van bepaalde (illegale) bestanden;
• Baan of functie: sommige mensen vervullen (zakelijke) functies waardoor ze relatief makkelijk benaderbaar zijn voor criminelen en/of vervullen (zakelijke) functies waardoor ze een aantrekkelijk target worden.
• Dekkingen op maat: onderdelen die apart geprijsd worden.

Hoe dynamisch de wereld van cybercriminaliteit ook is, de sleutel tot het goed in kunnen schatten van risico’s is data. Al doende leert men: verzekeraars die het eerste starten met het verzekeren van cyberrisk zullen als eerste de data hebben om tot goede premiedifferentiatie te kunnen komen. Door deze schadelast goed uit te splitsen naar soorten schaden (inzet van experts en schadevergoedingen) en dit te koppelen aan risicokenmerken van de populatie, zijn traditionele actuariële pricing-methodieken zoals GLM zeer bruikbaar. Premiedifferentiatie wordt daardoor op termijn mogelijk.

De verzekeraar heeft iets te bieden

Al met al gaan ontwikkelingen op het gebied van cybercriminaliteit dus heel snel. Nu er enkele schapen over de dam zijn lijkt het een kwestie van tijd voordat andere verzekeraars ook deze markt zullen willen gaan betreden. Voor veel mensen is het namelijk een grote nachtmerrie om gegijzeld te worden door hackers. Goede ondersteuning zal daarom best wat waard zijn. Gelukkig zullen ook in dit veld traditionele actuariële pricing-methoden te gebruiken zijn en zal het daarom niet lang duren voordat de cyberverzekeringsmarkt een volwassen markt is.