Ubezpieczenia cyber i tech mają w swoim założeniu pomóc firmom w mitygacji zagrożeń cybernetycznych. Dotychczas zakładano, że musi dojść do incydentu, aby ubezpieczyciel przejął na siebie koszty zarządzania nim i przywracania danych/infrastruktury sprzed zdarzenia.
Ostatnie dwa lata pokazały, że takie podejście nie jest do końca efektywne i niesie ze sobą wysokie ryzyko strat na portfelach ubezpieczeniowych. Powodów takiego stanu rzeczy jest wiele, my skupimy się na kilku:
* klienci wypełniający formularze oceny ryzyka nie przekazują prawdziwego obrazu bezpieczeństwa swoich firm,
* odpowiedzi klientów, szczególnie SME, nie są walidowane przez zewnętrzne narzędzia IT,
* pojawiają się nowe formy ataków i nowe podatności w systemach IT klientów.
Prawidłowe oszacowanie bezpieczeństwa IT firm
Nie ma co się obrażać na klientów, że nie zawsze rozumieją pytania ubezpieczycieli lub nie mają wiedzy, aby na takie pytania rzetelnie odpowiedzieć. Im mniejsza firma, tym większa szansa, że za IT odpowiada dostawca zewnętrzny, który nie zawsze jest chętny, aby pomóc w wypełnianiu formularzy dla ubezpieczycieli.
Rozumiejąc powyższe wyzwanie i wpływ na jakość portfeli, część ubezpieczycieli zaczęła na etapie oceny ryzyka posiłkować się zewnętrznymi dostawcami bezpieczeństwa IT. Tak zwane zewnętrzne skany infrastruktury IT mają pomóc ubezpieczycielom w oszacowaniu rzeczywistego poziomu bezpieczeństwa cyber klientów. Celem takiej usługi jest próba potwierdzenia, czy w infrastrukturze IT klientów, której obraz dostępny jest publicznie, nie ma zagrożeń/podatności, które mogą być wykorzystane w atakach hakerskich.
Jaka wartość dla klientów?
Czy połączenie sił ubezpieczycieli i dostawców usług bezpieczeństwa IT ma sens? Jak najbardziej, ale wpływ na jakość portfeli ubezpieczycieli może być różny.
Rozważmy następujący przypadek. Ubezpieczyciel ma podpisaną umowę z zewnętrznym dostawcą usług bezpieczeństwa IT. Underwriter dostaje zapytanie o ubezpieczenie danej firmy na standardowym formularzu oceny ryzyka w pdf. Zleca e-mailowo skan podatności zewnętrznemu dostawcy bezpieczeństwa IT, który skanuje w sposób automatyczny infrastrukturę klienta. Underwriter dostaje wynik skanu z krótkim podsumowaniem i rekomendacją, czy klient może dostać ofertę, czy też nie.
W powyższym podejściu nie chodzi tylko o zweryfikowanie pojedynczych odpowiedzi klientów z formularza oceny ryzyka, ale raczej o całościowy obraz tego, jak dana firma dba o swoje bezpieczeństwo IT. Obraz taki może znacząco różnić się od pierwszego wrażenia z analizy samego formularza cyber. Im bardziej rozbieżne obrazy, tym mocniej underwriterzy powinni zastanowić się nad ubezpieczeniem danej firmy.
Jeżeli ubezpieczyciel potraktuje skany infrastruktury klientów jako narzędzie proaktywne, może poprzez dobrze zdefiniowane rekomendacje wpłynąć na zwiększenie bezpieczeństwa infrastruktury IT klientów.
Z naszego doświadczenia wynika, że klienci takie podejście bardzo doceniają, jednak pod jednym warunkiem. Ktoś musi im wytłumaczyć przedstawiane rekomendacje oraz omówić ich wpływ na bezpieczeństwo firmy.
Jakie są ograniczenia opisywanego podejścia?
Po pierwsze, partnerami do rozmowy o bezpieczeństwie IT firm są pracownicy IT lub współpracownicy ze strony dostawców rozwiązań IT. Osoby te chciałyby mieć po stronie ubezpieczycieli partnerów merytorycznych do rozmowy. W przeciwnym razie nawet sensownie spisane rekomendacje ubezpieczycieli nie zostaną poważnie potraktowane i wdrożone.
Po drugie, skany infrastruktury klienta są tylko elementem procesu oceny ryzyka. Jeżeli klienci z kompletnie różnych branż, np. sprzedaży hurtowej, produkcji, e-commerce czy logistyki, wypełniają ten sam formularz oceny ryzyka, a następnie ich infrastruktury są skanowane w ten sam sposób, to trudno na logikę sobie wyobrazić, że dostaniemy rzetelny obraz bezpieczeństwa IT tych firm, nie mówiąc już nawet o wpływie na jakość portfeli ubezpieczycieli.
I po trzecie, fakt, że zweryfikujemy bezpieczeństwo IT firm przed ubezpieczeniem, nie musi oznaczać braku problemów. Powód jest prosty, cały czas pojawiają się nowe formy ataków hakerskich i odkrywane są nowe „dziury” bezpieczeństwa w systemach IT. Dzisiaj bezpieczna firma może mieć skrajnie niebezpieczną infrastrukturę jutro i nie zawsze ma na to wpływ.
Czy ubezpieczyciele mogą zarządzić nowymi ryzykami cyber w trakcie ubezpieczenia? Jak najbardziej, ale o tym już w następnym artykule.
Tomasz Gaj
prezes zarządu Findia
