Frequentie en waarde van grote cyberverzekeringsclaims stijgen

Dit meldt Allianz Commercial in zijn jaarlijkse Cyber Risk Outlook. De frequentie van grote cyberclaims (>€1 miljoen) in de eerste zes maanden van 2024 steeg met 14%, terwijl de ernst met 17% toenam, volgens de schadeanalyse van de verzekeraar, na een toename van slechts 1% in ernst in 2023. Bij twee derde van deze grote verliezen is er sprake van gegevens- en privacyschendingen. Over het geheel genomen zal het totale aantal cyberclaims in 2024 naar verwachting stabiliseren, na een stijging van de frequentie met 30% in 2023, wat resulteerde in meer dan 700 claims.

“Het toenemende belang van schade als gevolg van datalekken onder cyberverzekeringsclaims wordt gedreven door een aantal opmerkelijke trends”, legt Michael Daum, Global Head of Cyber Claims, Allianz Commercial, uit. “Een toename van ransomware-aanvallen inclusief data-exfiltratie is een gevolg van de veranderende tactieken van aanvallers en de groeiende onderlinge afhankelijkheid tussen organisaties die steeds grotere hoeveelheden persoonlijke gegevens delen. Tegelijkertijd heeft de veranderende wet- en regelgeving geleid tot een toename van zogenaamde 'non-attack'-dataprivacy-gerelateerde class-action-rechtszaken, als gevolg van incidenten zoals het onrechtmatig verzamelen en verwerken van persoonsgegevens - het aandeel van deze claims is alleen al in twee jaar verdrievoudigd in waarde.”

Toename 'niet-aanvals'-claims door toename privacygeschillen

De toename van 'niet-aanvals'-privacyclaims is het gevolg van technologische ontwikkelingen, de groeiende commerciële waarde van persoonlijke gegevens en een zich ontwikkelend regelgevend en juridisch landschap. In tegenstelling tot de General Data Protection Regulation (GDPR) van de EU is de privacyregelgeving in de VS bijvoorbeeld minder dwingend en open voor interpretatie, terwijl advocaten die een aanklacht indienen hongerig zijn naar potentiële bronnen van inkomsten. Dit creëert een grijs gebied dat rijp is voor class-action-litigation, aldus het rapport.

“Daum: “We zien meer claims voor schending van de gegevensprivacy in de VS, waar een groeiende trend is van class-action-rechtszaken tegen grote Amerikaanse en internationale bedrijven in verband met schending van de privacy, zoals rond toestemming en gegevensgebruik. De kosten van sommige van deze claims kunnen zelfs hoger oplopen dan die van een ransomware-incident, in de honderden miljoenen dollars.” Vooral het afgelopen jaar zijn datalekken naar voren gekomen als een van de snelst groeiende gebieden van class-action-litigation in de VS. Volgens advocatenkantoor Duane Morris werden er in 2023 meer dan 1.300 aanklachten ingediend over een breed scala aan dataprivacyregels, meer dan het dubbele van het aantal in 2022 en vier keer zoveel als in 2021.

Er zijn meerdere groepsgedingen aangespannen tegen organisaties in een groot aantal sectoren, waaronder de gezondheidszorg, sociale media en gaming, voor het gebruik van trackingtools zoals Meta Pixel om het gedrag van consumenten te monitoren, terwijl ook entertainment-streamingplatforms het doelwit zijn geweest van beschuldigingen dat ze mogelijk privacybeschermingsrechten hebben geschonden. Grote inbreuken op gegevens kunnen ook uitmonden in hyperrechtszaken, waarbij één gebeurtenis een hele reeks groepsgedingen in gang kan zetten. Meer dan 240 rechtszaken in verband met de 2023 MOVEit-datalekken werden in oktober 2023 geconsolideerd in één Multidistrict Litigation. En met grote aantallen eisers zijn er voor partijen aan beide kanten stimulansen om te schikken. De top 10 van class-action-schikkingen in verband met datalekken bedroeg vorig jaar in totaal $516 miljoen, een aanzienlijke stijging ten opzichte van de $350 miljoen in 2022.

Het risico op rechtszaken over datalekken neemt ook toe in Europa. Een groter bewustzijn van rechten op het gebied van gegevensbescherming, een toename in de beschikbaarheid van financiering van rechtszaken door derden en een consumentvriendelijker procesklimaat zouden massale claims op het gebied van gegevensprivacy tot een realiteit kunnen maken, zij het niet op dezelfde schaal als in de VS, aldus het rapport.

AI om toekomstige privacyschendingen aan te sturen en te voorkomen

Het feit dat bijna elke branche nu AI gebruikt, zal in de toekomst een grote impact hebben op het cyber- en privacyrisicolandschap. AI is afhankelijk van het verzamelen en verwerken van enorme hoeveelheden gegevens, waaronder persoonlijke, gezondheids- en biometrische informatie, voor het trainen van AI-modellen en het doen van voorspellingen of aanbevelingen. Maar AI-tools zoals chatbots kunnen potentiële privacy-, misinformatie- en beveiligingsrisico's creëren als ze niet goed worden beheerd. Nu er zo veel gegevens worden verzameld en verwerkt, bestaat het risico dat deze in verkeerde handen vallen, door hacking of andere beveiligingsinbreuken. Er zijn ook zorgen over mogelijke inbreuken op de privacywetgeving, zoals de vraag of organisaties wel de juiste toestemming hebben om gegevens via AI te verwerken.

Van data-exfiltratie naar gegevensbescherming

Ondanks een algemene trend van toegenomen investeringen in cyberbeveiliging in de afgelopen jaren, zijn veel datalekken, waaronder enkele van de grootste cyberaanvallen door massale data-exfiltratie in de afgelopen 18 maanden, het gevolg van zwakke cyberbeveiliging binnen organisaties en/of hun toeleveringsketens. Dergelijke incidenten kunnen leiden tot een grote schadeclaim met boetes, meldingskosten en rechtszaken met derden, naast eisen tot afpersing, kosten voor de eerste partij en bedrijfsonderbreking.

“De verzekeringssector moet zich ook meer richten op de dataprivacykant van cyberrisico's en heeft een belangrijke rol te spelen bij het bieden van advies over schadepreventie en -beperking aan bedrijven op dit steeds belangrijker wordende gebied”, zegt Vanessa Maxwell, Global Head of Cyber and Financial Lines, Allianz Commercial. “De waarde van cyberverzekeringen gaat veel verder dan het betalen van claims. Verzekeringen helpen bedrijven de business case te maken voor investeringen in cyberbeveiliging en hun middelen in te zetten voor de meest effectieve maatregelen.”

Risico's op datalekken worden het best beperkt door goede cyberhygiëne, waaronder sterke toegangscontroles, scheiding van databases, back-ups, patching en training. Veel bedrijven moeten beter toezicht houden op zwakke plekken in hun toeleveringsketen.

“Vroegtijdige detectie en reactievermogen zijn ook belangrijk. Ongeveer twee derde van de inbreuken wordt doorgaans gemeld door een derde partij of door de aanvallers zelf”, zegt Rishi Baviskar, Global Head of Cyber Risk Consulting, Allianz Commercial. “Cyberinbreuken die niet in een vroeg stadium worden gedetecteerd en onder controle worden gehouden, kunnen uiteindelijk 1000 keer duurder uitvallen dan inbreuken die dat wel doen, het verschil tussen een verlies van €20.000 dat verandert in een verlies van €20 miljoen.

“AI wordt ook een essentieel hulpmiddel in de strijd tegen cyberaanvallen, omdat het snel een inbreuk op de beveiliging kan identificeren en automatisch systemen en databases kan isoleren. Daarnaast heeft het de potentie om de kosten en de levenscyclus van een claim voor een datalek aanzienlijk te verminderen door taken zoals forensisch onderzoek en meldingen te automatiseren, waardoor bedrijven mogelijk miljoenen dollars besparen.”