Tym razem podzielę się przemyśleniami na temat rozwoju ubezpieczeń cyber i tech w perspektywie krótkoterminowej. Dłuższa perspektywa w tych ubezpieczeniach jest raczej domeną wróżek!
W punkcie pierwszym odkrywczy nie będę – czeka nas dalszy wzrost cen ubezpieczeń cyber i tech. Niestety, w kontekście szkód w tych ryzykach rynek Europy Środkowej jest wciąż postrzegany przez pryzmat rynków Europy Zachodniej i USA, mimo że u nas średnie wysokości szkód są zdecydowanie niższe. W efekcie klienci płacą porównywalne ceny jak na Zachodzie.
Uważam, że to się niestety szybko nie zmieni. Wpływ na to będą miały brak decentralizacji kompetencji underwritingowych, nieduże portfele ubezpieczonych klientów (na bazie których trudno jest dywersyfikować ceny) oraz wciąż bardzo wysokie ryzyko nowych rodzajów zdarzeń cyber.
Kreatywność bez granic
Eksperci od cyber security zgodnie twierdzą, że największe zagrożenia w nadchodzącym roku to wciąż ataki za pomocą złośliwego oprogramowania, szczególnie typu „ransomware”, oraz ataki w „łańcuchu dostaw”, np. z wykorzystaniem dostawców IT. Jedno jest pewne – nudzić się nie będziemy.
Ostatnie globalne ataki z wykorzystaniem luki Log4Shell w komponencie używanym w oprogramowaniu przez setki tysięcy firm na całym świecie pokazały, że kreatywność hakerów nie zna granic, a postęp technologiczny otwiera kolejne płaszczyzny do tego typu zdarzeń. Może się niestety okazać, że efekt ataków z wykorzystaniem Log4Shell poznamy dopiero w najbliższych miesiącach, tak jak w przypadku ataków na infrastrukturę Microsoft Exchange.
Do tego dochodzi wciąż aktualne, a może bardziej realne niż kiedykolwiek zagrożenie, które w krajach anglosaskich określa się mianem „zagrożenia czarnego łabędzia” (black swan event). Teoria czarnego łabędzia lub teoria zdarzeń czarnego łabędzia jest metaforą opisującą zdarzenie, które jest zaskoczeniem, ma duży wpływ i często jest niewłaściwie racjonalizowane po fakcie z korzyścią z perspektywy czasu (definiuję za Wikipedią). Mówiąc po ludzku: gdy walnie, to zgaśnie światło. Oby przykład Log4Shell był dla wszystkich ostrzeżeniem!
Wzrost wymagań w obszarze oceny ryzyka
Kolejnym istotnym wyzwaniem rynku jest wzrost wymagań ubezpieczycieli cyber i tech w obszarze oceny ryzyka. Jest to nieunikniony proces opierający się na prostym założeniu, że jeśli się czegoś bardziej boisz, to jesteś bardziej ostrożny i poświęcasz więcej czasu na oszacowanie ryzyka.
Tylko czy na pewno dzięki dodaniu 20 pytań do standardowo zadawanych 80 w typowym formularzu cyber ubezpieczyciele będą w stanie podnieść jakość oceny ryzyka i w efekcie obniżyć częstość i wysokość szkód? Jeśli pracujemy na standardowych formularzach, jednakowych dla wszystkich, to trudno zakładać, że jest to efektywne. Przecież ryzyka klientów różnią się znacząco w zależności od branży, infrastruktury IT lub rodzaju działalności w przypadku firm IT.
Zdajemy sobie sprawę, że ważnym efektem podejścia opartego na coraz bardziej rozbudowanych formularzach oceny ryzyka jest większa czasochłonność po stronie klientów, pośredników i na koniec underwriterów. Ma to niestety również wpływ na czas przetwarzania zapytań oraz rosnący odsetek klientów, którym rynek nie jest w stanie przedstawić oferty.
W tym obszarze pozytywna wydaje się natomiast coraz bliższa współpraca ubezpieczycieli z firmami zajmującymi się bezpieczeństwem IT. Część procesów oceny ryzyka dzieje się dzisiaj „w tle” i nie angażuje klientów ani pośredników. Do pewnego stopnia może przełożyć się to na lepszą selekcję ryzyka po stronie ubezpieczycieli. Ma jednak znaczący wpływ na koszty underwritingu, a co za tym idzie – na końcowy koszt ubezpieczeń.
Na koniec zdradzę coś zza kulis underwritingowych naszego zespołu. Często zdarza nam się otrzymywać wypełnione formularze oceny ryzyka innych ubezpieczycieli. Nie miejsce, aby to oceniać, ale z wielostronicowych formularzy wyciągamy jedynie pięć–siedem odpowiedzi, które nas interesują i które następnie pogłębiamy. Reszta nie ma dla naszej oceny ryzyka żadnego znaczenia.
Proszę nie odbierać tego opisu jako krytyki żadnego z konkurentów. W Findia również używamy rozbudowanych formularzy oceny ryzyka. Nawet jeżeli są one oparte w 100% na systemie IT, a zestawy pytań dostosowywane per klient, to nie zmienia to faktu, że nasze formularze są także zbyt długie i skomplikowane dla klientów. Mogę tylko dodać, że traktujemy to jako nasze największe wyzwanie i mocno inwestujemy w rozwiązania technologiczne, aby to zmienić.
Jest jeszcze jeden obszar rozwojowy wart omówienia. Są to usługi bezpieczeństwa IT, mające wpływ na ocenę ryzyka przed ubezpieczeniem oraz, co równie ważne, pomagające w mitygacji ryzyka w trakcie trwania umowy ubezpieczenia.
Tym obszarem, jak również pytaniem, jak pośrednicy mogą pomóc klientom i ubezpieczycielom w uproszczeniu oceny ryzyka w ubezpieczeniach cyber, zajmiemy się w kolejnych artykułach.
Tomasz Gaj
prezes zarządu Findia
