O cyber ryzyku i zarządzaniu cyber ryzykiem w kontekście ubezpieczeniowym jest dzisiaj bardzo łatwo pisać, bo właśnie świat obiega informacja o wielkiej cyber wpadce amerykańskiego lidera ubezpieczeń „życiowych” i zdrowotnych firmie Anthem, któremu ukradziono dane 80 milionów obecnych i byłych klientów, zawierające wszelkie możliwe PII-e (Personally Identifiable Information): nazwiska, adresy, numery ubezpieczeń, wysokość wynagrodzeń. Smaczku tej cyber aferze dodaje „firma” prawdopodobnych sprawców, to chińska grupa hackerów „Deep Panda”, od jakiegoś czasu namierzająca biznes zdrowotny. Żeby tego było mało, Zakład właśnie zmienił nazwę z „WellPoint”, a nowy brand miał dać nowy impuls dla lepszej identyfikacji na rynku ubezpieczeniowym i promocji jego nowej strategii. To prawdziwy „koszmar prezesa”, gotowe case study na szkolenie.

Dyskusja na temat cyber ryzyka nabrała ostatnio tempa, to skądinąd klasyczny wyścig „armaty i pancerza”, a ubezpieczenia mają jak zawsze, kluczową rolę w zabezpieczeniu przed zagrożeniem. Jednak w porównaniu z innymi ryzykami biznesowymi wciąż stosunkowo niewielka liczba podmiotów korzysta z ubezpieczeniowej cyber ochrony. Dane Marsh’a i Willis’a dla USA i Europy z 2013 roku mówią o 6-10% firm, które wykupiły takie ubezpieczenia. Co gorsza nawet na rynkach
rozwiniętych do 25 % firm nie wie nawet o ich istnieniu cyber polis. W Polsce, choć badań brakuje, jest z pewnością o wiele gorzej.. Inna sprawa, że cyber ubezpieczenia na świecie to bardzo szybko rosnący rynek – nawet 10-25 % rocznie.

Nie tylko z punktu widzenia praktyki, ale również teorii ubezpieczeń cyber ryzyka to temat stosunkowo nowy, więc zaprojektowanie odpowiedniego produktu ubezpieczeniowego, zyskownego i zapewniającego klientowi pożądaną ochronę wciąż pozostaje wyzwaniem. Ostatnio, ciekawą analizę „adekwatności” ochrony ubezpieczeniowej opublikowali akademicy-praktycy ze szwajcarskiego Uniwersytetu St. Gallen, którzy już na wstępie opracowania pt. „Możliwość ubezpieczania cyber ryzyk: analiza empiryczna” zauważają, że projektowanie cyber ochrony odbywa się nieco po omacku, bo wciąż brakuje solidnych, podpartych obiektywnymi danymi kalkulacji. Dzieje się tak między innymi z powodu braku dobrze, naukowo udokumentowanych przypadków, dopiero niedawno w USA i Unii Europejskiej wprowadzone zostały regulacje nakazujące ujawnianie naruszeń bezpieczeństwa. Co więcej, niewiadoma ilość naruszeń pozostaje nieznana nie tylko dla ubezpieczeniowych analityków, ale nawet dla samych cyber ofiar. Nagłaśnianie przez media przypadki ataków hackerów, „bijące” po oczach publikacje dostawców cyber security budują co prawda pożyteczną atmosferę ogólnego zagrożenia, ich wartość badawcza często jest jednak ograniczona.

Inną przeszkodą utrudniająca systematyczną analizę efektywności cyber ubezpieczeń jest bardzo duża zmienność oferowanych warunków ochrony. Już tylko z powodu szybko ewoluującego rynku cyber ryzyk i jego otoczenia zawierane umowy są bardzo zróżnicowane, podobnie jak pobierane składki. Obiektywnie rzecz biorąc ma to swoje uzasadnienie, bo cyber ubezpieczenia muszą być zazwyczaj krojone ściśle na miarę, bywają unikatowe dla poszczególnych klientów w zależności od wielkości firmy, wielkości baz klientów, wykorzystywanej technologii, obecności w Internecie, rodzaju informacji wykorzystywanej i przetwarzanej itd. Nic więc dziwnego, że jeszcze w 2013 roku, wg. danych Willis’a nawet w sektorze finansowym cyber polisy miało tylko 20 % firm, podczas gdy w produkcji 2%, a najmniej w opiece zdrowotnej – 1%. To znowu nic dziwnego, bo ca. trzy czwarte cyber ataków dotyczy sektora finansowego.

No więc jednak jakieś szacunki są wcale nie tylo ubezpieczeniowe, jak zauważają ostatecznie badacze z St. Gallen, danych też aż tak nie brakuje jak dobrze poszukać, bo trochę już cyber złoczyńcy po świecie grasują. Jednak z punktu widzenia aktuarialnej wyceny cyber ryzyk, uzasadniającej ich „ubezpieczalność” podstawowymi wyzwaniem dla szwajcarskich analityków jest „modelowa” niezależność analizowanych cyber zdarzeń. Szczególnie, że niektórzy badacze przedmiotu właśnie w przypadku cyber ryzyk podważają tę niezależność wskazując, że systemy informatyczne są projektowane w ten sam sposób, czego efektem jest bardzo wysoka korelacja cyber incydentów. Przykładem niech będą popularne DDoS-y (Distributed Denial of Service), czyli masowe cyber ataki zatykające zasoby informatyczne ofiar/y. Na szczęście dla ubezpieczycieli badacze z St. Gallen ostatecznie zaprzeczają w swojej analizie jakiejś fundamentalnej cyber korelacji choć nie zaprzeczają, że w przypadku części incydentów ona istnieje.

W dodatku do problemu z korelacją utrudniającą analizę aktuarialną problemem jest również cyber reasekuracja, trudna ze względu na wciąż ograniczony rozmiar rynku i obiektywnie małą dzisiaj możliwość pożądanej dywersyfikacji ryzyka przez reasekuratora. Choć w przypadku cyber ryzyka, parafrazując poetę, „dzisiaj” to prawie już „wczoraj”.

Kolejny problemem związanym z ubezpieczeniową wyceną tego ryzyka jest wspomniana już niedostateczna, a często także asymetryczna informacja o incydentach. Pozostają szacunki i estymacje, a jak wiadomo GIGO (Garbage In, Garbage Out) jest w stanie „położyć” najbardziej wyszukany model wyceny. Także, biorąc pod uwagę wysoką niepewność co do aktuarialnej adekwatności wyceny ryzyka, ubezpieczyciele uwzględniają w umowach ponadnormatywny udział klienta w szkodzie. To zaś czyni ochronę ubezpieczeniową o wiele mniej efektywną i oczywiście, mniej korzystną z punktu widzenia korporacyjnego menadżera ryzyka. Gdyby dodać do tego jeszcze pędzący postęp technologiczny, który powoduje, że dane dotyczące cyber ryzyk sprzed kilku zaledwie lat „nie pasują” do profilu aktualnych zagrożeń, rysuje nam się zaiste olbrzymie wyzwanie dla ubezpieczyli, od których przecież wszyscy oczekują wyjścia naprzeciw wyzwaniom związanym z cyber niebezpieczeństwami.

ps. 
Już wkrótce nasza relacja z Konferencji “Cyberryzyko w finansach” ! Ubezpieczeniowe wyzwania…

Ubezpieczeniowe, ubezpieczeniowe…

Dodaj komentarz

1 Comment on "Ubezpieczeniowe wyzwania cyber ryzyka"

Notify of
avatar
Sort by:   newest | oldest | most voted
Marcin
Guest

bardzo dobry artykuł, czekam na relację z konferencji 😉

wpDiscuz