Door de ongekende cyberaanvallen op grote Britse retailers is cyberrisico’s scherp in beeld gekomen, waardoor er dringende vragen zijn gerezen over cyberbeveiliging, ook bij organisaties die daar misschien nog nooit eerder over hadden nagedacht. De frequentie en omvang van cyberaanvallen blijven toenemen naarmate cybercriminelen in een steeds hoger tempo innoveren. Tegen deze achtergrond vat Marsh vijf trends samen die de markt in het eerste kwartaal van 2025 hebben gevormd, en schetst de makelaar strategieën voor riskmanagers om crises zoals die in de detailhandel effectief aan te pakken.
Prijszetting: Premies dalen over de hele linie ondanks verliezen
In de eerste helft van 2025 zijn verzekeraars agressief geweest met de prijsstelling van cyberverzekeringen, vooral in het Verenigd Koninkrijk, waar de concurrentie hevig is. In het eerste kwartaal van 2025 daalden de prijzen met 7% op primaire layers, in lijn met de prijsstelling in Europa. In de VS daarentegen waren de dalingen kleiner, dichter bij 3%, ondanks een zeer concurrerende markt.
Hoewel sommige sectoren, zoals de detailhandel, meer blootgesteld zijn aan cyberaanvallen dan andere, hebben verzekeraars doorgaans geen onderscheid gemaakt in de premiestelling. Er is meer aandacht gekomen voor cyberbeveiliging in specifieke sectoren, zoals de gezondheidszorg, financiële instellingen en communicatie, media en technologie, waar doorgaans veel claims worden ingediend. Desondanks zijn de premies over de hele linie gedaald.
- Limiet: organisaties herzien cyberprogramma’s, zelfs halverwege de looptijd
Veel organisaties hebben dit jaar hogere limieten aangevraagd. 16% van de klanten van Marsh heeft in het eerste kwartaal van 2025 hun limiet verhoogd. De cyberaanvallen op de Britse detailhandel hebben opnieuw tot veel gesprekken geleid met verzekerden, zelfs met verzekerden die halverwege een eerder verlengd programma zitten en hun limieten willen herzien en aanvullende opties willen overwegen. Bestuursleden hebben steeds vaker vragen over de vraag of er voldoende dekking wordt verkregen en over de zorgvuldigheid bij het vaststellen van limieten.
- Acceptatie: kopersvriendelijke markt trekt nieuwe sectoren aan
De Britse cyberverzekeringsmarkt is in 2025 steeds kopersvriendelijker geworden, met een overschot aan capaciteit dat klaar is om te worden ingezet in een steeds groter wordend aantal sectoren. Verzekeraars gaan over het algemeen akkoord met het verstrekken van dekking op basis van eigen makelaarsformuleringen, die doorgaans ruimer zijn dan die van verzekeraars, met name wat betreft kennisgevingsvereisten. Tijdens minder kopersvriendelijke markten was er een opvallende verschuiving naar formuleringen van verzekeraars die over het algemeen restrictiever waren.
Bovendien concurreren verzekeraars met elkaar op het gebied van de riskmanagementdiensten die zij aanbieden, met als doel klanten te helpen hun risicoprofiel te verbeteren en zich voor te bereiden op mogelijke gebeurtenissen. Verzekeraars kunnen bijvoorbeeld cyber-tabletop-oefeningen uitvoeren waarbij een ransomware-scenario wordt gesimuleerd met de raad van bestuur, om ervoor te zorgen dat belangrijke interne belanghebbenden voorbereid zijn op dergelijke incidenten. Verzekeraars en makelaars benadrukken graag dat cyberverzekeringen meer omvatten dan alleen risico-overdracht. De dekking omvat dreigingsanalyse en hulp bij riskmanagement, waardoor een holistische aanpak ontstaat die klanten helpt hun controles te versterken om risico’s te beperken, waardoor de kosten van risico-overdracht mogelijk worden verlaagd.
Er is ook een groeiende belangstelling voor cyberverzekeringen vanuit sectoren zoals de luchtvaart, de gokindustrie en horeca, die voorheen niet veel in dit gebied hebben geïnvesteerd. Ondertussen breiden verzekeraars hun bereidheid uit om cyberrisico’s in deze sectoren te dekken.
- Claims: Naarmate het aantal claims toeneemt, tonen aanvallen op de detailhandel aan dat organisaties met een breed aanvalsoppervlak waakzaam moeten zijn
Volgens gegevens van Marsh zijn de claims in verband met ransomware in het eerste kwartaal van 2025 met een derde gestegen ten opzichte van het vierde kwartaal van 2024.
Naast ransomware-aanvallen is er een toename geweest van distributed denial of service (DDoS)-cyberaanvallen in combinatie met afpersingspogingen, waarbij meerdere gecompromitteerde systemen worden gebruikt om een doelwit, zoals een server of netwerk, te overspoelen met buitensporig veel verkeer, waardoor het onbereikbaar wordt voor legitieme gebruikers. Deze aanvallen lijken willekeurige pogingen te zijn om inkomsten te genereren, maar zijn doorgaans niet erg geavanceerd en weinig succesvol. Ook gegevenslekken komen vaak voor en leiden tot aanzienlijke cyberclaims.
De cyberaanvallen op de detailhandel in het Verenigd Koninkrijk, die vermoedelijk zijn uitgevoerd door de dreigingsactor Scattered Spider, tonen aan dat ransomware en cyberafpersing nog steeds aanzienlijke risico’s vormen. De cybercriminelen die vermoedelijk achter de aanvallen zitten, zijn opmerkelijk vanwege hun leeftijd – sommigen zijn tieners – en omdat ze Engelstalig zijn en afkomstig zijn uit de VS, Canada en het Verenigd Koninkrijk, in tegenstelling tot veel andere criminele groeperingen die vaak uit Rusland en Noord-Korea komen. In tegenstelling tot andere cybercriminelen lijken ze ook meer op zoek te zijn naar bekendheid dan naar financieel gewin.
Hoewel deze gebeurtenissen veel media-aandacht kregen omdat ze gericht waren op bekende merken, heeft Scattered Spider ook andere niet-retailorganisaties aangevallen, wat onderstreept dat ook andere sectoren niet zelfgenoegzaam mogen zijn. In deze golf van aanvallen hebben ze waarschijnlijk voor de retailsector gekozen vanwege de relatief open toegangspunten. De werkwijze van Scattered Spider is sterk afhankelijk van social engineering, waarbij medewerkers van de klantenservice of IT-helpdesk worden gemanipuleerd om te geloven dat de daders betrouwbaar zijn, waardoor ze wachtwoorden kunnen resetten of ongeoorloofde toegang tot systemen kunnen krijgen. Met grote klantenservice- en IT-teams zijn retailers bijzonder kwetsbaar voor dergelijke tactieken.
Andere sectoren die in het verleden te weinig hebben geïnvesteerd in cyberbeveiliging, over uitgebreide gegevens beschikken en een breed aanvalsoppervlak bieden, lopen een vergelijkbaar risico. Aangezien elke organisatie kwetsbaar is voor social engineering-aanvallen, is het van cruciaal belang dat alle medewerkers, van de CEO tot stagiaires, en met name degenen die in direct contact staan met klanten, worden getraind om bedreigingen te herkennen en erop te reageren.
- Gevolgen: cyberincidenten hebben steeds vaker menselijke kosten
Ransomware heeft ook menselijke gevolgen. Tijdens een cybercrisis werken responsteams vaak de klok rond om de dreiging te bestrijden en in te dammen. Ze staan voor het nemen van risicovolle beslissingen die elke minuut opnieuw moeten worden genomen, zoals de keuze om bepaalde systemen uit te schakelen om de infectie te stoppen of ze online te houden en het risico te lopen dat de situatie verslechtert.
Bij grote ransomware-incidenten is het gebruikelijk dat incidentresponsteams tijdens de kritieke eerste fase dagenlang niet slapen. Velen zien hun vakantie en weekend in rook opgaan en worden mogelijk niet adequaat gecompenseerd voor de lange uren die ze moeten maken. Ondertussen krijgen klantenservicemedewerkers te maken met gefrustreerde klanten.
De gevolgen van cyberincidenten reiken echter verder dan het directe responsteam en hebben invloed op organisaties, de Britse economie, de nationale veiligheid en de samenleving als geheel. In een recent rapport staat dat ransomware levens kan ruïneren. Cyberincidenten hebben geleid tot banenverlies, gevoelens van schaamte en zelfverwijt, verstoringen in het persoonlijke en gezinsleven en ernstige gezondheidsproblemen, voegt het rapport toe. De cumulatieve effecten van ransomware-aanvallen hebben ook het vertrouwen in openbare diensten en wetshandhaving verminderd en geleid tot de normalisering van cybercriminaliteit. Bovendien biedt ransomware een strategisch voordeel aan vijandige staten die de cybercriminelen herbergen die verantwoordelijk zijn voor deze operaties.
Hoe risicomanagers kunnen excelleren in een crisis
In een steeds complexer wordend cyberrisicolandschap spelen risicomanagers een cruciale rol. Een soepele incidentrespons wordt gekenmerkt door riskmanagers die een centrale rol spelen in het incidentresponsteam en zich inzetten voor de best mogelijke betrokkenheid van leveranciers en verzekeraars en voor verzekeringsuitkeringen. De respons kan haperen wanneer risicomanagers tijdens een cyberincident op afstand worden gehouden en alleen op de hoogte worden gehouden van verzekeringskwesties.
De sleutel tot het zijn van een uitzonderlijke risicomanager tijdens een crisis ligt in effectief intern stakeholdermanagement en inzicht in de zorgen van de betrokken partijen, waaronder de chief security advisor (CSA), de chief information security officer (CISO), de raad van bestuur en niet-uitvoerende leden. Een effectieve riskmanager fungeert als vertaler tussen deze groepen en zorgt voor afstemming en duidelijke communicatie.
Vóór een crisis moet een riskmanager proactief samenwerken met de CISO om het risicoprofiel van de organisatie te beoordelen, passende verzekeringslimieten aan te bevelen en een continu plan voor risicobeperking op te stellen. Verzekeringspolissen moeten niet langer worden gezien als statische documenten die een jaar lang in de kast blijven liggen, maar moeten worden geïntegreerd in een actief risicobeheerprogramma. De riskmanager heeft toegang tot gratis of met korting aangeboden diensten van verzekeraars, zoals tabletop-oefeningen, en kan deze in de hele organisatie implementeren. Uiteindelijk is het essentieel om cyberrisico’s niet als een op zichzelf staand probleem te zien, maar als een cruciaal onderdeel van de infrastructuur van elk bedrijf dat voortdurende aandacht vereist.
De noodzaak van een dynamisch incidentresponsplan
De recente cyberaanvallen op de detailhandel onderstrepen ook de noodzaak voor risicomanagers om ervoor te zorgen dat incidentresponsplannen niet alleen gericht zijn op gebeurtenissen die dagen duren, maar ook op gebeurtenissen die maanden duren. Het is essentieel om deze plannen te testen door middel van crisissimulaties. Organisaties moeten nadenken over hoe beslissingen zouden worden genomen als belangrijke belanghebbenden dagenlang niet hebben geslapen. Het is cruciaal om rollen en verantwoordelijkheden duidelijk te definiëren, inclusief het aanwijzen van een plaatsvervanger.
Riskmanagers moeten er ook voor zorgen dat het responsteam offline kan werken op een veilige locatie. Met name de dreigingsactoren van Scattered Spider hebben de neiging om telefoongesprekken af te luisteren en kunnen deelnemen aan incidentresponsbesprekingen om de plannen van een organisatie te beluisteren. Daarom is het cruciaal om die toegang tot uw netwerk te blokkeren met behulp van oplossingen zoals Cygnvs.
