Cybersecurity en cyberverzekering verenigen krachten!

Collega Michel Ernst wierp een blik op de beveiligingsmarkt. Om te beginnen is er de vraag hoe die gesegmenteerd is, om dan pas over te gaan naar de vraag hoe groot die markt is. Groeiend, dat al zeker. En dat geldt zeker voor het totaal aantal verliezen, want dat cijfers steeg van 6,9 miljard dollar in 2021 naar 10,2 miljard dollar in 2022. En dat is nog maar het begin. Vooral de financiële sector is het doelwit, maar mogelijk ook onbesuisde beleggers. De beursgenoteerde bedrijven die actief zijn in deze sector noteren namelijk aan hoge waarderingen.

Grofweg zijn er 3 hoofdcategorieën van beveiligingsproducten en -diensten:

• Fysieke beveiligingsproducten: transportbeveiliging, geavanceerde rijhulpsystemen (ADAS), videobewakingscamera's en anti-inbraaksystemen, helmen en andere mobiele beschermingssystemen, airbags, politie- en forensische instrumenten en kits, enz.
• IT-beveiligingsproducten: beveiliging van toegangspunten, netwerkbewaking, biometrie, identificatieoplossingen, beveiligde elektronische betalingen, enz.
• Beveiligingsdiensten: bewaking en persoonlijke bescherming, beheer van gevaarlijk afval, huishoudelijk afval en waterbeheer, testen en toezicht (traceerbaarheid), enz.

Cyberbeveiliging, onderdeel van IT-beveiliging, is een verzameling processen, tools en kaders die zijn ontworpen om netwerken, apparaten, programma's en gegevens te beschermen tegen cyberaanvallen. Deze aanvallen zijn gericht op individuen, bedrijven, overheden, ziekenhuizen, scholen en universiteiten, maar ook op non-profitorganisaties. 

Cybercriminelen voeren aanvallen uit op deze doelen om ongeautoriseerde toegang te krijgen tot computersystemen, bedrijfsactiviteiten te verstoren, gegevens te wijzigen, manipuleren of stelen en industriële spionage uit te voeren, meestal met het doel om geld af te persen van de slachtoffers, direct of indirect.

De cyberbeveiligingsmarkt wordt gedreven door een aantal factoren, waaronder de toegenomen digitalisering, regelgeving op het gebied van gegevensprivacy (bijv. GDPR), het groeiende aantal verbonden objecten, de ontwikkeling van werken op afstand, de vermenigvuldiging en toenemende macht van sociale netwerken, kunstmatige intelligentie, de professionalisering van hackers (waaronder zelfs staatsorganisaties in Iran, Rusland, China of Noord-Korea), enz.

De omvang van de cyberbeveiligingsmarkt blijft sterk groeien, parallel aan de exponentiële ontwikkeling van cyberaanvallen. Volgens het Australische bureau voor de statistiek zal bijvoorbeeld 22% van de bedrijven in 2021-2022 te maken krijgen met een cyberaanval, vergeleken met slechts 8% in 2019-2020. 

In een ander opzienbarend voorbeeld ontving de Amerikaanse FBI in 2022 meer dan 800.000 klachten over cybercriminaliteit, iets minder dan in 2021, maar de schade is veel groter. Het totale mogelijke verlies is gestegen van 6,9 miljard dollar in 2021 naar 10,2 miljard dollar in 2022... En dat is nog maar het begin.

Dat cybercriminaliteit erger wordt, blijkt ook uit het Microsoft Digital Defense Report (MDDR) 2023. Volgens informatie die met hun klanten is gedeeld, zijn de belangrijkste bedreigingen die Microsoft heeft vastgesteld aanvallen met wachtwoorden, met een succespercentage van 42%. Het aantal aanvallen is gestegen van 529 per seconde in 2021 naar 921 aanvallen in 2022 en een gemiddelde van 4.000 per seconde in 2023, met een record van 11.000 aanvallen/seconde in april! Daarna komen ransomware-aanvallen, iets minder dan in 2022 maar nog steeds een grote bedreiging, met een succespercentage van 29%. Op de 3e plaats komen phishing-aanvallen, die goed zijn voor 25% van de geïdentificeerde aanvallen. Tot slot zijn aanvallen op zakelijke e-mails sterk gestegen, tot meer dan 156.000 dagelijkse pogingen tussen april 2022 en april 2023!

Volgens Precedence Research, een wereldwijde marktonderzoeks- en adviesorganisatie, bedroeg de waarde van de cyberbeveiligingsmarkt 211 miljard dollar in 2022 en zal deze naar verwachting 10 jaar later meer dan verdrievoudigen tot bijna 700 miljard dollar, zoals blijkt uit onderstaande tabel.

Hoewel deze cijfers indrukwekkend zijn, suggereert een onderzoek dat in 2022 werd uitgevoerd door McKinsey dat met een huidige penetratiegraad van slechts 10% van beveiligingsoplossingen, de markt wel eens 1,5 biljoen tot 2 biljoen dollar waard zou kunnen zijn!

Maar sommige experts vragen zich af of de risico's van cybercriminaliteit in de toekomst nog wel te verzekeren zullen zijn...Cyberveilig zijn' is natuurlijk belangrijk, maar een 2e manier om je te verdedigen tegen cyberaanvallen is natuurlijk om je te verzekeren tegen dit soort risico's, d.w.z. via cyberverzekeringen. De 2 manieren zijn complementair, de eerste anticipeert op aanvallen, de tweede minimaliseert de impact ervan.

Eind december 2022 had een interview van Mario Greco, de emblematische baas van Zurich Insurance, in de Financial Times nog het effect van een donderslag bij heldere hemel. Volgens hem zullen cyberaanvallen “onverzekerbaar” worden, zelfs nog meer dan natuurrampen, die de media halen tegen de achtergrond van klimaatverandering. Hij voegde eraan toe: “Als iemand de controle zou krijgen over vitale delen van de infrastructuur van een bedrijf, wat zouden dan de gevolgen zijn?”

Vooral omdat uit verschillende onderzoeken blijkt dat grote bedrijven vaak een cyberverzekering afsluiten, maar dat dit veel minder het geval is voor kleinere bedrijven, waarvan de meeste dus niet opgewassen zouden zijn tegen een cyberaanval. In Frankrijk had in 2022 83% van de grote bedrijven een dergelijke verzekering afgesloten, maar nog geen 1% van de KMO’s, zo blijkt uit het LUCY-rapport (Light Upon Cyber Insurance) 2023 van AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise).

Bovendien, zoals Les Echos in februari 2023 aangaf, "is de cyberdreiging voor bedrijven de afgelopen jaren steeds ernstiger geworden, en de financiële sector is in het bijzonder het doelwit". Volgens een rapport van het Financial Services Information Sharing and Analysis Center (FS-ISAC) met de titel "The Evolution of DDoS: Return of the Hacktivists", is het volume van DDoS-aanvallen (Distributed Denial of Service) gericht op financiële bedrijven in 2022 met 22% toegenomen. Dit geldt met name voor Europa, waar de aanvallen met 73% toenamen en waar financiële diensten het doelwit waren van 50% van alle DDoS-aanvallen.

En een paar maanden geleden bevestigde de Britse verzekeringsmarkt Lloyds deze angst door (samen met het Cambridge Centre for Risk Studies) een model te maken van de schade die een grote computeraanval zou kunnen toebrengen aan financiële diensten. Hackers zouden erin slagen kwaadaardige code of virussen te introduceren in software die door financiële dienstverleners wordt gebruikt, die vervolgens duizenden partner- en klantnetwerken zouden besmetten. Hierdoor zouden beveiligingssystemen en andere firewalls worden vernietigd, waardoor hackers op grote schaal geld zouden kunnen doorsluizen en/of alle lopende transacties zouden kunnen onderbreken...

Als een dergelijke cyberaanval zou plaatsvinden, zou het wereldwijde verlies kunnen oplopen tot 3.500 miljard dollar over een periode van 5 jaar (dit is het gemiddelde verlies voor 3 niveaus van ernst gemodelleerd door de studie). Als het minst ernstige scenario zich zou voordoen, zou het economische verlies over een periode van 5 jaar "slechts" 2 300 miljard dollar bedragen. Aan de andere kant kan het meest ernstige scenario resulteren in een economisch verlies van maar liefst 16.000 miljard dollar over een periode van 5 jaar!

Tot slot riep Mario Greco, met het oog op de financiële en juridische risico's, overheden op om "privaat-publieke regelingen in te stellen om systemische cyberrisico's te beheren die niet kunnen worden gekwantificeerd, naar het voorbeeld van wat in sommige landen bestaat voor aardbevingen of terroristische aanslagen".

Er bestaan verschillende indices voor dit thema, waaronder de MSCI ACWI IMI Cyber Security Index, die 83 internationale bedrijven omvat, waarvan een zeer groot deel Amerikaans is (bijna 79% eind december 2023), gevolgd door Israëlisch (bijna 8%), en de rest bestaat voornamelijk uit Nederlandse, Indiase en Japanse bedrijven.

Zoals uit bovenstaande grafiek blijkt, heeft deze 'cybersecurity'-index (in het wit) het duidelijk beter gedaan dan de algemene S&P 500 en Stoxx 600 Europe indices. Maar we kunnen ook zien dat het bewustzijn van het groeiende risico van cyberaanvallen is toegenomen. De index is ongeveer 5 jaar geleden geleidelijk van start gegaan. Hoewel de bovenstaande opmerkingen aantonen dat de sector onmiskenbaar een aanzienlijk potentieel heeft op de middellange en lange termijn, zijn de huidige koersdoelen van analisten voor veel aandelen in de sector bereikt of zelfs overschreden. Op korte termijn moeten beleggers daarom voorzichtig zijn met dit thema, tenzij bedrijven in de sector nieuws of resultaten aankondigen die analisten dwingen hun koersdoelen naar boven bij te stellen.