‘Er is meer e-mailfraude dan ransomware’

- Jeroen Langendam

Verzekeraar AIG maakt bekend dat de meeste cyberverzekeringsclaims samenhangen met e-mailfraude. Ransomware neemt de tweede plaats in.

Ransomware, een vorm van cybercrime waarbij criminelen IT-systemen blokkeren en losgeld eisen, krijgt veel aandacht. Maar volgens verzekeraar AIG zijn de meeste cyberverzekeringsclaims gerelateerd aan e-mailfraude.

In 2018 was ransomware de belangrijkste reden voor verzekerden om een claim in te dienen bij hun cyberverzekering, maar in 2019 zijn het vooral fraudes met e-mails. Dit blijkt uit cijfers die AIG openbaar heeft gemaakt.

Andere cyberrisico’s niet te overschatten

Ransomware is echter niet verdwenen, het neemt nog altijd 18% van alle verzekeringsclaims voor zijn rekening en is daarmee goed voor een tweede plaats. Ook neemt het schadebedrag per claim toe, nu hackers zich meer richten op grote organisaties in plaats van thuisgebruikers.

De bronzen medaille is voor datalekken. Maar e-mailfraude, ook bekend als Business Email Compromise (BEC) alleen is goed voor 23% van alle ingediende verzekeringsclaims.

De hoeveelheid claims die AIG krijgt op haar cyberverzekeringen is in de afgelopen jaren explosief gestegen. In 2018 kwamen er twee keer zoveel claims binnen als in 2017. De totale schade van BEC, aanvallen die zich specifiek richten op bedrijven, bedraagt volgens de FBI ruim $ 1,3 miljard.

GDPR zorgt voor meer claims wegens datalekken

Volgens AIG hangt de stijging van het aantal verzekeringsclaims samen met de invoering van de Europese privacywetgeving GDPR. Het bedrijf stelt dat ongeveer een vijfde van de claims te maken heeft met een openbare GDPR-kennisgeving.

De GDPR stelt hoge eisen aan bedrijven als het gaat om veilige data-opslag en datalekken. Voordat de wetgeving in mei 2018 van kracht werd, was het relatief makkelijk om datalekken en dergelijke te verbergen. Maar onder de nieuwe wetgeving kan dit tot hoge boetes leiden. Bedrijven doen er dus verstandig aan om datalekken openbaar te maken en de kosten deels te verhalen op hun cyberverzekering.

Cybersecurity niet op orde

Volgens de verzekeraar is een groot deel van de BEC-claims een direct gevolg van slechte cybersecurity. Vaak gaat het dan om redelijk basale beveiligingsmaatregelen, zoals sterke wachtwoorden of multi-factor authenticatie. Ook het feit dat medewerkers weinig bewust zijn van cybersecurity speelt een belangrijke rol.