W 2020 r. po raz pierwszy usłyszeliśmy, że nadchodzi poważny kryzys ubezpieczeń ryzyk cyber. Mimo niekorzystnej narracji rynku zainteresowanie tą linią ubezpieczeń wcale nie zmalało.
Skąd ten kryzys?
Temat kryzysu ubezpieczeń cyber wywołały dwa czynniki. Pierwszy wynika bezpośrednio ze wzrostu liczby zdarzeń cybernetycznych na świecie i przede wszystkim większej niż kiedykolwiek skali zdarzeń typu ransomware, czyli złośliwego oprogramowania, które uniemożliwia odczyt zapisanych w systemie danych, a następnie żąda okupu za przywrócenie dostępu.
Problem dotknął również naszego kraju. Zgodnie z raportem o stanie bezpieczeństwa cyberprzestrzeni w Polsce za 2020 r., opublikowanym przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV, liczba zgłoszeń, które zostały zakwalifikowane jako zdarzenia dotyczące potencjalnego wystąpienia incydentu, wzrosła w 2020 r. o 8% w porównaniu z 2019 r. i wyniosła 246 107. Natomiast liczba zdarzeń, które zostały zarejestrowane w 2020 r. jako faktyczny incydent, wyniosła 23 308 i wzrosła aż o 88% w porównaniu z 2019 r.
Drugą przyczyną kryzysu i rewizji podejścia reasekuratorów były niekorzystne wyniki ubezpieczycieli oferujących polisy ryzyk cybernetycznych na amerykańskim rynku za 2020 r.
Dane opublikowane przez NAIC (National Association of Insurance Commissioners) wskazują, że rynek ubezpieczeń cyber wUSA wzrósł w 2020 r. o 29,1% w porównaniu z 2019 r., przy czym TOP3 ubezpieczycieli ryzyk cyber na tym rynku (z łącznym udziałem w rynku na poziomie 33,6%) zanotowało za 2020 r. wskaźniki szkodowości odpowiednio 61%, 98,2%, 100,6%.
Nie taki kryzys straszny
Konsekwencje powyższego wydawały się dość oczywiste: brak pojemności na rynku i koszt ubezpieczeń cyber tak duży, że klientów nie będzie na nie stać. Tymczasem rynek zareagował całkiem dojrzale. Na wieść o zmianie uwarunkowań część reasekuratorów wycofała się ze swojej dotychczasowej polityki i zrewidowała podejście do oferowania niektórych zakresów ochrony, np. zakresu ransomware. Inni postanowili podnieść ceny, jednak tylko niektórzy dosyć drastycznie.
Natomiast co najważniejsze, wszyscy, którzy zostali na rynku ubezpieczeń cyber, w tym również PZU, zaostrzyli zasady oceny ryzyka i akceptacji przyjmowania umów do portfela.
Co przyniesie kolejny rok?
Rozwój ryzyk cyber, w ślad za rewolucją przemysłową i fuzją technologii, jest nieunikniony. Podobnie jak zrewidowanie podejścia do zakresu ubezpieczenia ryzyka ransomware i innych ryzyk będących na styku ubezpieczeń „crime”.
Regulatorzy mówią wprost o swoim zaangażowaniu w opracowywanie nowych sposobów monitorowania rozwijającego się rynku, po to aby lepiej przeciwdziałać ryzyku cyber, pokazując w ten sposób, że to ważny i perspektywiczny rynek.
Wyzwaniem rynku na 2022 r. będzie rozpoczęcie prac nad określeniem minimalnych standardów zabezpieczeń. Katalog dobrych praktyk w zakresie oceny ryzyka cyber to przecież coś, na co wszyscy czekamy.
Monika Ściuba
koordynator ds. underwritingu PZU SA i TUW PZUW