Nowy raport Geneva Association podkreśla znaczenie roli prywatnych ubezpieczycieli i reasekuratorów, jaką odgrywają obok rządów państw w zwiększaniu odporności społeczeństw na ataki z użyciem oprogramowania wymuszającego i zapewnianiu realizowania korzyści z cyfryzacji.
Raport analizuje wartość dodaną cyberubezpieczeń poza transferem ryzyka w kontekście toczącej się debaty dotyczącej tego, czy zabronić płacenia okupu, oraz tego typu ochrony ubezpieczeniowej.
Częstotliwość ataków ransomware rośnie, jak również zmienia się wielkość i charakter żądań. Cyberprzestępcy stosują coraz bardziej wyrafinowane metody podejścia do wziętych na cel rządów, firm i jednostek, co przynosi poważne i kosztowne skutki. Rozwój modelu biznesowego ransomware jako usługa (ransomware-as-a-service) umożliwił również zagrożenie wysoce destrukcyjnymi atakami podmiotów o ograniczonych możliwościach technologicznych.
Cyberubezpieczenia zapewniają konkretną ochronę finansową i wsparcie operacyjne na wypadek ataku, ale z jednocześnie ataki ransomware przyczyniły się do pogorszenia się wyników działalności ubezpieczeniowej cyberubezpieczycieli. Roszczenia z tytułu ransomware stanowiły 75% wszystkich roszczeń z cyberubezpieczeń w 2020 r. (wg AM Best) i była to prawdopodobnie najkosztowniejsza kategoria zdarzeń szkodowych w 2021 r. (wg WTW).
Raport analizuje złożone kwestie polityki wobec ransomware i możliwe rozwiązania służące przeciwdziałaniu epidemii tej formy cyberprzestępczości, włącznie z wkładem ubezpieczeń w zwiększanie cyberodporności firm.
Wnioski płynące z raportu są następujące.
- Cyberubezpieczenia nie tylko zapewniają pokrycie okupu. Mogą też pokryć straty poniesione przez ofiary ataku (np. przerwy w działalności, odzyskiwanie danych i przywracanie funkcjonowania systemów, pomoc kryminalistyczna i prawna), jak również zapewnić wsparcie eksperckie w zarządzaniu incydentami. Pomagają podmiotom identyfikować i redukować słabe punkty w cyberbezpieczeństwie oraz stosować prewencję cyberryzyka w szybko zmieniającym się otoczeniu.
- Zakaz wypłacania okupu byłby tępym, nieskutecznym narzędziem polityki wobec ryzyka ransomware. Zakaz zapłaty albo zwrotu sumy okupu z ubezpieczenia mógłby przynieść niepożądany skutek w postaci utajnienia tego typu transakcji i zachęcenia przestępców do stosowania nowych, jeszcze szkodliwszych form wymuszenia.
- Rządy powinny robić więcej dla przeciwdziałania atakom ransomware: uniemożliwiać realizację cyberprzestępczych modeli biznesowych, zwalczać nielegalne wykorzystywanie kryptowalut i promować cyberhigienę w biznesie i w społeczeństwie.
– Na przykładzie ransomware widzimy wagę prewencyjnej i łagodzącej roli ubezpieczycieli jako zarządzających ryzykiem. Mają oni krytyczną zdolność do motywowania klientów do zachowywania standardów cyberbezpieczeństwa, przyczyniając się do zmniejszenia podatności firm na ataki i zwiększenia ich cyberodporności – powiedział Jad Ariss, dyrektor zarządzający Geneva Association.
AC
