Liczba ataków hakerskich rośnie, a wraz z nią wartość szkód. Do 2025 roku poziom składek zbieranych z ubezpieczeń cyber wzrośnie do 22 miliardów dolarów.
– Wraz ze wzrostem liczby cyberataków uzyskanie ochrony ubezpieczeniowej jest trudniejsze. Dzieje się tak dlatego, że straty finansowe wynikające z naruszenia stały się nieproporcjonalne do składek pobieranych przez ubezpieczycieli – mówi Tom De Laet z Check Point Software.
Według raportu IBM „Cost of a Data Breach Report 2023” średni globalny koszt naruszenia bezpieczeństwa danych w 2023 r. wyniósł 4,45 mln dolarów – o 15% więcej niż w 2020 r. Z kolei firma Chainalytic zajmująca się analizą technologii blockchain oszacowała, że podmioty korzystające z oprogramowania ransomware zarobią na ofiarach prawie 900 mln dol. O zyskowności ataków świadczą niedawne incydenty, w tym atak ransomware na MGM Resorts, w wyniku którego wiele systemów firmy zostało odłączonych od sieci. Pojawiły się sugestie o możliwym związku pomiędzy oprogramowaniem ransomware a ubezpieczeniem cybernetycznym, gdyż halerzy wykorzystują wykradzione polisy w celu dyktowania żądań okupu.
Poruszanie się po trudnym rynku
Ubezpieczyciele zaczynają wątpić, czy ich dotychczasowe składki odpowiednio pokrywają ryzyko związane z zagrożeniami cybernetycznymi.
– W odpowiedzi na te rosnące obawy ubezpieczyciele zaostrzają swoje standardy ubezpieczeniowe i podnoszą poprzeczkę co do minimalnych wymagań w zakresie cyberbezpieczeństwa dla ubezpieczających – zwraca uwagę Tom De Laet.
Aby zrównoważyć wypłaty, niektórzy ubezpieczyciele podjęli kroki w celu cięcia niektórych kosztów. I tak spółka Lloyd’s of London ogłosiła w 2022 roku, że nie będzie już uwzględniać ryzyka ataków na państwa narodowe w swoich cyberubezpieczeniach, ponieważ „naraża to rynek na ryzyko systemowe, z którym syndykaty mogłyby mieć trudności z zarządzaniem”. Tymczasem w Australii Chubb wygrał sprawę przeciwko firmie motoryzacyjnej Inchcape, która usiłowała uzyskać zwrot kosztów poniesionych w związku z usunięciem i późniejszą próbą odzyskania danych po ataku ransomware. Sąd uznał, że jest to pośrednia strata finansowa, która nie jest objęta polisą.
Australia i USA rozważają wprowadzenie zakazu płatności okupu cyberprzestępcom.
– Często polisa pokrywa głównie koszty reakcji na incydent (IR), badania kryminalistyczne i koszty odzyskiwania danych po ataku. Większość firm chętnie ubezpiecza się na tej podstawie, ponieważ koszt takiego dochodzenia może niekorzystnie wpłynąć na przepływ środków pieniężnych, wiedząc, że koszt naruszenia bezpieczeństwa danych będzie jeszcze większy. Jednak wielu nie brało pod uwagę rzeczywistych skutków finansowych, takich jak utrata udziału w rynku i wpływ, jaki ma to na cenę akcji. – mówi Tom De Laet.
Większe bezpieczeństwo to niższa składka
Ekspert dodaje, że firma zainteresowana zakupem cyberpolisy powinna oczekiwać, że ubezpieczyciele dokładnie przyjrzą się jej praktykom bezpieczeństwa, chcąc zyskać potwierdzenie, iż wdrożone zostały środki zapobiegawcze dla ograniczenia ryzyka ataku hakerskiego. Sprawdzą wszystko, od bezpieczeństwa poczty e-mail, statusu uwierzytelniania wieloskładnikowego i procedur tworzenia kopii zapasowych po punkty końcowe, szyfrowanie, zapory ogniowe i świadomość użytkowników.
– Jedna z firm branży usług finansowych, która miała do czynienia z ogromnymi składkami ubezpieczeniowymi i tylko dwiema ofertami przedłużenia umowy, po wdrożeniu zaawansowanych usług bezpieczeństwa cybernetycznego, otrzymała nagle sześć konkurencyjnych ofert i udało jej się obniżyć składki o 80% w porównaniu z rokiem poprzednim – zapewnia Tom De Laet.
(AM, źródło: Check Point Software)