Het aantal bedrijven dat wordt getroffen door een cyberaanval stijgt sinds een jaar sterk, zoals blijkt uit onderzoek van ABN AMRO [1]. Ook EIOPA benoemt, in het “Financial Stability Report December 2021” [2], dat zowel het aantal gevallen van cybercrime als de gemiddelde schade per geval toenemen. Daarnaast neemt de afhankelijkheid van digitale systemen, door het thuiswerken als gevolg van Covid-19, ook verder toe. EIOPA ziet cybercrime (als belangrijkste driver van risico gerelateerd aan digitalisering) dan ook als hét risico voor verzekeraars, met de op één na grootste verwachte toename in materialiteit voor het komende jaar. Cybercrime is en blijft dus een relevant topic!
Onder cybercrime vallen onder andere business continuity risks (doordat het bedrijf voor een zekere periode platligt) en reputatierisico. In extremere gevallen kunnen liquiditeits- en solvabiliteitsissues optreden, bijvoorbeeld doordat een grote som losgeld wordt gevraagd. Overigens is betaling van losgeld niet vanzelfsprekend; vanuit diverse hoeken wordt beargumenteerd dat losgeldbetalingen cybercrime juíst in de hand werken.
Vanuit actuarieel perspectief belicht ik twee interessante zaken:
- Cybercrime biedt kansen, doordat verzekeraars verzekeringen kunnen ontwikkelen tegen cybercrime. De Nederlandse verzekeringsmarkt is echter relatief klein [3][4]. Doordat de hoeveelheid data beperkt is, zijn risicopremies lastig vast te stellen. Ook zijn door het grote en stijgende aantal claims de premies aan de hoge kant [5]. Diverse experts [6][7] denken echter dat het risico verzekerbaar blijft in de toekomst, als de polisvoorwaarden duidelijk zijn en adequate maatregelen worden genomen door de verzekerde.
- De ORSA kan worden benut om de impact van cybercrime te schetsen. Een complexiteit hierbij is dat cyberrisico snel groeit en niet gebonden is aan geografische beperkingen. Ook is kwantificering uitdagend, vanwege de beperkte hoeveelheid representatieve data. Daarbij is überhaupt niet alle schade direct zichtbaar of te kwantificeren. Verzekeraars kunnen externe modellen gebruiken en/of eigen modellen ontwikkelen. Hierbij kunnen gesprekken met bijvoorbeeld de operationele- en IT-afdelingen zeker helpen.
Eling & Schnell (2019)[8] onderzoeken de blootstelling van een verzekeraar aan cyberrisico, door het gebruik van verschillende marginale verdelingen en correlatiestructuren. De gemodelleerde Value-at-Risk (VaR) wordt vergeleken met het Solvency II Premie- en Voorzieningenrisico. Hieruit blijkt dat Solvency II niet het gewenste veiligheidsniveau geeft én dat dit verschil groter wordt naarmate meer correlatie tussen events wordt verondersteld. De auteurs raden daarom aan in de modellering van de kapitaalvereiste rekening te houden met het staartrisico en de onderliggende correlatiestructuur van cyberrisico.
Samengevat kan worden gesteld dat cybercrime een belangrijk en steeds belangrijker risico vormt voor (onder meer) financiële instellingen. Enerzijds kunnen actuarissen een belangrijke rol spelen door betrokkenheid bij productontwikkeling en underwriting van cyberrisico. Anderzijds kunnen zij bijdragen aan een adequate modellering van het cyberrisico en bij stakeholders aandacht vragen voor dit risico, door middel van een analyse in de ORSA.
Deze blog is op persoonlijke titel geschreven door Jan-Willem Zeijen MSc AAG, lid van de Commissie ERM van het Koninklijk Actuarieel Genootschap.
Bronnen
[1] https://www.abnamro.nl/nl/zakelijk/insights/sectoren-en-trends/technologie/cyberdreiging-zet-ondernemers-aan-tot-maatregelen.html
[2] EIOPA, “Financial Stability Report December 2021”: https://www.eiopa.europa.eu/type-content-document/financial-stability-report_en
[3] EIOPA, “Financial Stability Report December 2021”: https://www.eiopa.europa.eu/type-content-document/financial-stability-report_en
[4] https://www.cpb.nl/sites/default/files/omnidownload/cpb-notitie-risicorapportage-cyberveiligheid-2019.pdf
[5] https://www.techtarget.com/searchsecurity/news/252507932/Cyber-insurance-premiums-costs-skyrocket-as-attacks-surge
[6] AMWEB: https://www.amweb.nl/131073/wat-is-het-effect-van-cybersecurity-op-de-schadeverzekeringsbranche
[7] AMWEB: https://www.amweb.nl/131201/blijft-cybersecurity-verzekerbaar-een-interview-met-yasin-chalabi
[8]https://www.researchgate.net/publication/336912867_Capital_Requirements_for_Cyber_Risk_and_Cyber_Risk_Insurance_An_Analysis_of_Solvency_II_the_US_Risk Based_Capital_Standards_and_the_Swiss_Solvency_Test