Analyse-Cyberverzekeraars krijgen te maken met fikse Oekraïne-oorlogsgerelateerde claims, ondanks kleine lettertjes

Verzekeraars worden geconfronteerd met potentiële miljardenclaims voor cyberaanvallen in verband met de Russische invasie in Oekraïne, ondanks polisformuleringen die bedoeld zijn om hen van de oorlogsschade te vrijwaren, zeggen bronnen uit de sector.

Na de aanval van 24 februari op Oekraïne en de westerse sancties tegen Moskou zei de Amerikaanse regering vorige week dat zij "voorbereidende" Russische hackingactiviteiten had gezien die gericht waren op talrijke Amerikaanse bedrijven, hoewel zij zei dat zij "geen zekerheid" had dat een dergelijke aanval zou plaatsvinden.

Westerse financiële regelgevers hebben banken al gewaarschuwd voor de risico's van cyberaanvallen, hoewel er tot nu toe nog geen enkele bevestigd is.

Europese en Amerikaanse verzekeraars, die het afgelopen jaar al te maken hadden met toenemende verliezen, hebben de premies opgedreven vanwege de hogere dekkingskosten en de prevalentie van zogenaamde ransomware-aanvallen.

Als Rusland een grote cyberaanval uitvoert die in verschillende landen overslaat, zou dat kunnen leiden tot claims van in totaal 20 miljard dollar of meer, vergelijkbaar met verzekeringsclaims als gevolg van een grote orkaan in de VS, zeiden de bronnen uit de sector op voorwaarde van anonimiteit.

Dit komt omdat verzekeraars ook te maken krijgen met verliezen in verband met het conflict in andere bedrijfssectoren, zoals de luchtvaart, die wordt gezien als bijzonder blootgesteld aan de gevolgen van wat Rusland een "speciale militaire operatie" noemt om Oekraïne te ontwapenen.

Lloyd's of London, een van 's werelds grootste spelers op het gebied van cyber- en andere commerciële verzekeringen, zei vorige week dat het te maken had met "grote" claims uit de invasie...

Cyberverzekeringen - waarvan de markt volgens ratingbureau Fitch in 2020 alleen al in de Verenigde Staten meer dan 2,7 miljard dollar bedroeg - dekken een bedrijf voor het herstel van gehackte netwerken, bedrijfsonderbrekingsverliezen en ook cyber losgeldbetalingen.

Dergelijke polissen dekken geen oorlog, of aanvallen door zogenaamde "state-sponsored actors".

Het is echter vaak moeilijk om de dader van een cyberaanval te identificeren.

"Definiëren wat door de staat gesponsord is, is een hele uitdaging," zei voorzitter Bruce Carnegie-Brown van Lloyd's of London vorige week tegen Reuters. "Deze polissen worden getest door nieuwe gebeurtenissen en wij moeten ons door de formulering heen werken...en ervoor zorgen dat onze klanten begrijpen waar zij gedekt zijn en waar niet."

AMBIGUITIES

Zelfs als verzekeraars kunnen bewijzen dat een cyberaanval het gevolg was van het conflict in Oekraïne, zijn oorlogsuitsluitingen misschien niet genoeg om hen te beschermen.

Cyberverzekeraars zijn zich de laatste jaren meer bewust geworden van dubbelzinnigheden in hun verzekeringen, maar sommige zijn trager dan andere om zich aan te passen.

Polisformuleringen verschillen van verzekeraar tot verzekeraar, en zijn voor interpretatie vatbaar, zei Marcos Alvarez, hoofd verzekeringen bij ratingbureau DBRS Morningstar.

Dit zal naar verwachting leiden tot meningsverschillen tussen verzekeraars en polishouders over de vraag of er al dan niet dekking is, vergelijkbaar met de zaken over bedrijfsschadeverzekeringen die sinds het uitbreken van COVID-19 over de hele wereld voor de rechter zijn gekomen.

Een bijzonder grijs gebied is dat van de cyberterreuraanslagen, die over het algemeen door verzekeringen worden gedekt.

Terreur wordt gewoonlijk enger gedefinieerd dan oorlog, maar Westlaw, een onderneming van Thomson Reuters, zei vorige week in een nota dat "cyberterrorisme" soms "vrij ruim wordt gedefinieerd om elke aanval tegen een computersysteem te omvatten met de "bedoeling om schade te berokkenen" ter bevordering van "sociale, ideologische, religieuze, economische of politieke doelstellingen"".

Polishouders zouden uiteindelijk "vrij ruim" gedekt kunnen worden door cyber- of cyberterrorisme polissen, zei Yosha DeLong, global head of cyber bij verzekeraar Mosaic.

"Telkens als er onduidelijke formuleringen op een polis staan, is dat in het voordeel van de klant, niet van de verzekeraar."

Er is ook een risico van "stille cyber", waarbij bedrijven andere polissen hebben die cyberaanvallen niet specifiek uitsluiten, en kunnen proberen daarop een beroep te doen.

Een rechtbank in New Jersey oordeelde in januari in het voordeel van Merck & Co over een verzekeringsclaim van $1,4 miljard voor de NotPetya cyberaanval van 2017, waarvan het Witte Huis de schuld aan Rusland gaf.

Om hun totale risico te verminderen, overwegen sommige cyberverzekeraars brede uitsluitingen voor Rusland en Oekraïne, zei Meredith Schnur, U.S. and Canada cyber brokerage leader bij makelaar Marsh.

VERANDERENDE TACTIEK

Militaire verliezen zouden kunnen leiden tot een andere aanpak van Rusland, met inbegrip van cyberaanvallen, zeiden analisten van Eurasia.

Sommige Russische eenheden die zware verliezen leden, waren gedwongen naar huis en naar het naburige Wit-Rusland terug te keren, zei de Britse militaire inlichtingendienst deze week, nadat Rusland beloofd had de militaire operaties rond Kiev af te bouwen.

Er hebben cyberaanvallen plaatsgevonden op Oekraïense kritieke infrastructuur, overheidsdiensten, banken en telecommunicatie, zei analysebureau CyberCube eerder deze maand in een rapport.

Russische overheidsinstellingen en bedrijven zijn ook het doelwit van cyberaanvallers, zei CyberCube, en voegde eraan toe dat sommige aanvallen zijn overgeslagen naar Wit-Rusland, Polen, Litouwen en Letland.

De invasie verhoogt ook de druk op de cyberverzekeringspremies, met sterk stijgende tarieven als gevolg van ransomeware-aanvallen waarbij hackers de gegevens van slachtoffers versleutelen en losgeld eisen om ze vrij te geven.

Cyberbeveiligingsfirma Coveware vergeleek de meer dan 90% winstmarge van ransomware-aanvallen vorig jaar met de winsten die Colombiaanse cocaïnekartels in 1992 boekten.

De tarieven voor cyberverzekeringen zijn in het vierde kwartaal met 130% gestegen in de Verenigde Staten en met 92% in Groot-Brittannië, volgens Marsh.

Bronnen uit de sector zien voor dit jaar soortgelijke tariefstijgingen.

De tariefstijgingen lopen nu al sterk uiteen, zei een consultant, die een voorbeeld gaf van een klein bedrijf in Groot-Brittannië dat zijn jaarlijkse cyberverzekeringspremie van 80.000 pond naar 450.000 pond ($590.940,00) had zien springen.

"De prijzen van iedereen zijn omhoog gegaan, nu zullen ze nog meer omhoog gaan," zei de consultant. "Oekraïne en Rusland zetten alleen maar meer druk op de premies en de beschikbaarheid."

($1 = 0,7615 pond)