Cyberubezpieczyciele kontra cyberwymuszenia

0
645

Nowy raport Geneva Association podkreśla znaczenie roli prywatnych ubezpieczycieli i reasekuratorów, jaką odgrywają obok rządów państw w zwiększaniu odporności społeczeństw na ataki z użyciem oprogramowania wymuszającego i zapewnianiu realizowania korzyści z cyfryzacji.

Raport analizuje wartość dodaną cyberubezpieczeń poza transferem ryzyka w kontekście toczącej się debaty dotyczącej tego, czy zabronić płacenia okupu, oraz tego typu ochrony ubezpieczeniowej.

Częstotliwość ataków ransomware rośnie, jak również zmienia się wielkość i charakter żądań. Cyberprzestępcy stosują coraz bardziej wyrafinowane metody podejścia do wziętych na cel rządów, firm i jednostek, co przynosi poważne i kosztowne skutki. Rozwój modelu biznesowego ransomware jako usługa (ransomware-as-a-service) umożliwił również zagrożenie wysoce destrukcyjnymi atakami podmiotów o ograniczonych możliwościach technologicznych.

Cyberubezpieczenia zapewniają konkretną ochronę finansową i wsparcie operacyjne na wypadek ataku, ale z jednocześnie ataki ransomware przyczyniły się do pogorszenia się wyników działalności ubezpieczeniowej cyberubezpieczycieli. Roszczenia z tytułu ransomware stanowiły 75% wszystkich roszczeń z cyberubezpieczeń w 2020 r. (wg AM Best) i była to prawdopodobnie najkosztowniejsza kategoria zdarzeń szkodowych w 2021 r. (wg WTW).

Raport analizuje złożone kwestie polityki wobec ransomware i możliwe rozwiązania służące przeciwdziałaniu epidemii tej formy cyberprzestępczości, włącznie z wkładem ubezpieczeń w zwiększanie cyberodporności firm.

Wnioski płynące z raportu są następujące.

  • Cyberubezpieczenia nie tylko zapewniają pokrycie okupu. Mogą też pokryć straty poniesione przez ofiary ataku (np. przerwy w działalności, odzyskiwanie danych i przywracanie funkcjonowania systemów, pomoc kryminalistyczna i prawna), jak również zapewnić wsparcie eksperckie w zarządzaniu incydentami. Pomagają podmiotom identyfikować i redukować słabe punkty w cyberbezpieczeństwie oraz stosować prewencję cyberryzyka w szybko zmieniającym się otoczeniu.
  • Zakaz wypłacania okupu byłby tępym, nieskutecznym narzędziem polityki wobec ryzyka ransomware. Zakaz zapłaty albo zwrotu sumy okupu z ubezpieczenia mógłby przynieść niepożądany skutek w postaci utajnienia tego typu transakcji i zachęcenia przestępców do stosowania nowych, jeszcze szkodliwszych form wymuszenia.
  • Rządy powinny robić więcej dla przeciwdziałania atakom ransomware: uniemożliwiać realizację cyberprzestępczych modeli biznesowych, zwalczać nielegalne wykorzystywanie kryptowalut i promować cyberhigienę w biznesie i w społeczeństwie.

Na przykładzie ransomware widzimy wagę prewencyjnej i łagodzącej roli ubezpieczycieli jako zarządzających ryzykiem. Mają oni krytyczną zdolność do motywowania klientów do zachowywania standardów cyberbezpieczeństwa, przyczyniając się do zmniejszenia podatności firm na ataki i zwiększenia ich cyberodporności – powiedział Jad Ariss, dyrektor zarządzający Geneva Association.

AC