"Cyberverzekering" groeit met meer dan 500%, maar dekt doorgaans geen gevallen zoals de diefstal van R$1 miljard die verband houdt met Pix

De civiele politie van São Paulo en de federale politie onderzoeken nog steeds de grootste hackeraanval in de geschiedenis van Brazilië , waarbij gebruik werd gemaakt van geldige toegangsgegevens en de systemen van C&M werden binnengedrongen. C&M is een technologiebedrijf dat banken en kleine fintechs toegang verleent tot de systemen van de Centrale Bank (BC), waaronder Pix. De aanval was bedoeld om geld te stelen van zes financiële instellingen die klant zijn van het bedrijf.

Met nieuwe berichten over financiële verliezen schat de politie dat de schade meer dan R$ 1 miljard kan bedragen . In Brazilië wordt het steeds gebruikelijker om een "cyberverzekering" af te sluiten om bedrijven te helpen met diverse aspecten van verliezen in geval van een hackeraanval .

Volgens een onderzoek van de Nationale Confederatie van Verzekeraars (CNSeg) met gegevens van vorig jaar, groeide de zoektocht naar verzekeringen tegen hackeraanvallen met 12,7% tussen januari en juni 2024. Klantbedrijven betaalden in totaal R$ 110,6 miljoen aan verzekeraars - dit bedrag staat bekend als premie, wat klanten aan verzekeringsmaatschappijen betalen om de polis af te sluiten.

In de historische reeks vanaf 2020 bedroeg de stijging van cyberverzekeringscontracten in Brazilië 512,4%, maar de nationale markt is nog steeds klein: in 2024 werd er in dit segment ongeveer R$ 240 miljoen aan premies afgesloten. In de Verenigde Staten bijvoorbeeld bereikten de premies in dezelfde periode US$ 10 miljard.

In gevallen zoals de aanval op C&M dekken verzekeringsmaatschappijen echter standaard geen financiële bedragen die zijn gestolen bij cyberaanvallen, of sluiten ze de betaling van dekking uit in verschillende situaties, zoals als de diefstal is uitgevoerd met de hulp van iemand binnen het slachtofferbedrijf zelf (zoals het geval was) of via social engineering: dit is wanneer hackers erin slagen in te breken in een systeem door geldige toegangsgegevens te bemachtigen van iemand met autorisatie op het systeem - in het geval van phishing bijvoorbeeld, wanneer oplichters gevoelige informatie van slachtoffers bemachtigen via kwaadaardige links .

Alleen BMP, een digitale bank die een van de zes getroffen C&M-klanten is, meldde de diefstal van R$ 541 miljoen bij de politie van São Paulo. Aanvankelijk had het geld geen invloed op klanten en werd het opgenomen van de reserverekeningen van de financiële instellingen bij de Centrale Bank. De politie van São Paulo arresteerde een C&M-medewerker die ervan werd beschuldigd de inloggegevens en het wachtwoord van het bedrijfssysteem te hebben verstrekt aan de hackers die verantwoordelijk waren voor de oplichting, in ruil voor R$ 15.000.

Tot op heden heeft de Centrale Bank zes kleine financiële instellingen geschorst uit het Pix-systeem, omdat ze ervan worden verdacht geld te hebben verplaatst en anderszins te hebben deelgenomen aan de miljardenfraude. De schorsing heeft een maximale duur van 60 dagen. Artikel 95-A van Resolutie 30/2020, de "Pix-wet", bepaalt dat de Centrale Bank "te allen tijde de deelname aan Pix kan schorsen van elke deelnemer wiens gedrag de normale werking van het betalingssysteem in gevaar brengt."

De dekking van een 'cyberverzekering' is meestal niet compleet

Volgens het eindrapport van de Werkgroep Cybersecurity en Nieuwe Verzekeringen voor de Digitale Economie, gedateerd december 2024, van de Superintendence of Private Insurance (Susep), een federale instantie verbonden aan het Ministerie van Financiën, "is het, ondanks de reikwijdte van de dekking, belangrijk om de uitsluitingen te benadrukken, namelijk contractuele clausules die de aansprakelijkheid van de verzekeraar beperken. De belangrijkste uitsluitingen omvatten opzettelijke handelingen, oorlogen, natuurrampen, fysieke en morele schade, verliezen op financiële instrumenten en gebeurtenissen in het verleden."

In het document staat dat "het aanbieden van deze dekkingen in Brazilië belangrijk zou zijn voor een betere afstemming op internationale best practices, een volledigere bescherming voor bedrijven, met name micro-, kleine en middelgrote bedrijven, inclusief particulieren, en daarnaast de groei van de cyberverzekeringsmarkt in Brazilië zou stimuleren, nieuwe klanten zou aantrekken en de concurrentie tussen verzekeraars zou vergroten."

Op haar website, waar het digitale beveiligingsoplossingen aanbiedt, raadt de gigant IBM aan om bij haar producten een 'cyberverzekering' af te sluiten, maar waarschuwt voor de gebruikelijke uitsluitingen van dit type:

• inbreuken door derden (wanneer de aanval die de klant treft, in werkelijkheid wordt uitgevoerd door een extern partnerbedrijf, zoals het geval was bij C&M);
• sociale engineering;
• interne bedreigingen (in het geval dat iemand binnen het bedrijf “van binnenuit” deelneemt aan de aanval, zoals ook het geval was bij C&M);
• aanvallen gesponsord door een nationale staat of regering;
• aanvallen die misbruik maken van een eerder bekende kwetsbaarheid in het systeem;
• netwerkstoringen die niet door hackeraanvallen zijn veroorzaakt.

Volgens Marta Schuh, directeur van Cyber and Technology Insurance bij Howden, zijn er enkele opties op de markt die ten minste een deel van het geld verzekeren dat verloren gaat bij een aanval . Maar vanwege de fraudegeschiedenis in Brazilië en de lage volwassenheid van nationale bedrijven op dit gebied, is er een lokale beperking op het aanbod en zijn de kosten van de meest complete producten erg hoog.

"Het product is beschikbaar, maar moet goed ingeburgerd zijn, en de kosten van het opnemen van een financiële afwijking verhogen de premie aanzienlijk", stelt hij. Schuh legt uit dat de verzekeraar in dit geval de beveiligingsprocedures van de klant controleert en zo nodig versterkingen aanbeveelt; anders wordt de polis niet afgegeven.

"Ik denk dat dit incident de urgentie onderstreept voor onze instellingen om te erkennen dat de wereld is veranderd, dat de manier waarop we zakendoen is getransformeerd en dat daarmee nieuwe risico's zijn ontstaan ", aldus Marta Schuh. "Veel bedrijven zien cybersecurity nog steeds uitsluitend als een risico dat verband houdt met gegevensbescherming, maar het gaat veel verder dan dat. Het heeft gevolgen voor de bedrijfscontinuïteit, de reputatie van het merk, het vertrouwen van klanten en zelfs de operationele stabiliteit."