Cyberdreigingen beperken zich niet langer tot datalekken en digitale verstoringen, maar kunnen ook fysieke schade toebrengen aan het eigendom van een organisatie. Nu bedrijven steeds meer afhankelijk worden van automatisering en onderling verbonden systemen om hun efficiëntie te verbeteren, neemt het risico toe dat cyberincidenten fysieke schade veroorzaken.
Veel traditionele verzekeringen bieden mogelijk onvoldoende dekking voor deze risico’s, waardoor organisaties mogelijk worden blootgesteld aan kostbare financiële en operationele tegenslagen. Inzicht in dekkingslacunes en het implementeren van proactieve risicobeheerstrategieën is cruciaal om uw activa te beschermen tegen het steeds veranderende cyberdreigingslandschap.
De verborgen risico’s van traditionele verzekeringen
Traditionele cyberverzekeringen richten zich voornamelijk op digitale bedreigingen, zoals datalekken en ransomware-aanvallen, maar sluiten doorgaans fysieke schade als gevolg van cyberincidenten uit. Hierdoor blijven organisaties kwetsbaar voor financiële en operationele schades, met name in sectoren die afhankelijk zijn van Operational Technology (OT)-omgevingen.
Een cyberaanval op OT-systemen kan reële gevolgen hebben, zoals apparatuurstoringen, productieonderbrekingen en schade aan de infrastructuur. Vanuit het oogpunt van gezondheid en veiligheid kunnen aanvallen met fysieke schade ook lichamelijk letsel veroorzaken.
In het licht van deze opkomende bedreigingen zijn schadeverzekeraars begonnen met het explicieter definiëren van cybergerelateerde dekking in hun polissen. In plaats van de dekking uit te breiden, hanteren veel verzekeraars echter brede, uitsluitende bepalingen die de dekking voor fysieke gevaren zoals brand, explosies en overstromingen als gevolg van cyberincidenten aanzienlijk beperken. Als gevolg hiervan kunnen organisaties onbewust met kritieke dekkingslacunes werken, waardoor ze bij een cyberfysiek incident blootgesteld worden aan aanzienlijke financiële schades.
Cyberaanvallen met fysieke gevolgen
De convergentie van cyberrisico’s en fysieke schade wordt steeds duidelijker, met name in sectoren die afhankelijk zijn van OT, waaronder maar niet beperkt tot industriële controlesystemen (ICS) en Supervisory Control and Data Acquisition (SCADA)-systemen. Sectoren zoals de productie, energie, transport en horeca zijn bijzonder kwetsbaar, omdat hun activiteiten complexe digitale systemen vereisen die, indien ze worden aangetast, kunnen leiden tot ernstige verstoringen, financiële verliezen en zelfs persoonlijk letsel.
Voorbeeld uit de horecasector: een cyberaanval op een gebouwbeheersysteem kan sprinklers activeren, wat kan leiden tot aanzienlijke waterschade, bedrijfsonderbrekingen en financiële schade.
Voorbeeld uit de productiesector: hackers die zich richten op ICS-netwerken kunnen veiligheidsprotocollen omzeilen, wat kan leiden tot oververhitting van machines, brand en productieonderbrekingen, waardoor werknemers in gevaar komen en er materiële schade en bedrijfsonderbrekingen ontstaan.
Voorbeeld uit de energiesector: een cyberaanval op het besturingssysteem van een offshore-booreiland kan operationele parameters manipuleren, zoals het wijzigen van drukniveaus of het uitschakelen van veiligheidssystemen. Dit kan leiden tot fysieke schade, milieuschade, financiële schades en mogelijk letsel bij personeel.
Cyberuitsluitingen in schadeverzekeringen
De toename van spraakmakende cyberincidenten, zoals de WannaCry- en NotPetya-aanvallen, heeft de manier waarop verzekeraars hun blootstelling aan cybergerelateerde schades beoordelen en beheren, ingrijpend veranderd. Deze grootschalige gebeurtenissen hebben de potentieel systemische gevolgen van cyberdreigingen aangetoond. De wijdverspreide verstoringen en spillover-effecten van dergelijke aanvallen hebben schadeverzekeraars er nu toe aangezet om een voorzichtiger en restrictiever beleid te voeren ten aanzien van de dekking van cyberrisico’s.
Absolute cyberuitsluitingen: Sommige schadeverzekeraars sluiten expliciet alle verliezen uit die verband houden met een cyberincident, ongeacht de aard of impact van de aanval.
Genuanceerde uitsluitingen: Andere verzekeraars bieden beperkte uitzonderingen voor genoemde risico’s, zoals brand of explosie, wanneer deze rechtstreeks worden veroorzaakt door een cyberincident. Aan deze uitzonderingen zijn echter vaak strenge voorwaarden verbonden, zoals de eis van robuuste cyberbeveiligingsmaatregelen of het aantonen van naleving van industrienormen.
Bedrijven die actief zijn in sectoren die afhankelijk zijn van OT, staan door deze uitsluitingen voor grote uitdagingen. In tegenstelling tot traditionele cyberrisico’s die gericht zijn op informatietechnologie (IT), kunnen cyberdreigingen voor OT directe fysieke schade veroorzaken, waaronder vernieling van apparatuur, systeemstoringen en veiligheidsrisico’s, die kunnen leiden tot lichamelijk letsel. Door het ontbreken van duidelijke dekking in schadeverzekeringen kunnen organisaties te maken krijgen met aanzienlijke onverzekerde verliezen.
Risicobeperkende strategieën: versterking van cyber- en fysieke veerkracht
Hoewel verzekeringen een cruciaal onderdeel zijn van risicobeheer, moeten bedrijven ook proactieve maatregelen nemen om hun blootstelling aan cyberdreigingen te beperken, met name dreigingen die kunnen leiden tot aanzienlijke fysieke schade of operationele uitval. Belangrijke strategieën zijn onder meer:
Scheiding van IT- en OT-omgevingen: implementeer air-gapping, firewalls en strikte toegangscontroles om de onderlinge connectiviteit te verminderen en risico’s te minimaliseren
Verbeterde cyberhygiëne en detectie van bedreigingen: investeer in Endpoint Detection and Response (EDR)-tools, Security Operations Centres (SOC’s), regelmatige patches en updates, en Multi-Factor Authentication (MFA).
Planning van incidentrespons en crisismanagement: ontwikkel protocollen voor ransomwareparaatheid, voer tabletop-oefeningen en simulaties uit en stel multifunctionele responsteams samen.
