Están aumentando en frecuencia , gravedad y complejidad, lo que los convierte en una de las mayores amenazas de nuestro tiempo que enfrentan las empresas y sus aseguradoras
Los riesgos cibernéticos están aumentando en frecuencia , gravedad y complejidad, lo que los convierte en una de las mayores amenazas de nuestro tiempo que enfrentan las empresas y sus aseguradoras. Las violaciones de la seguridad cibernética se están produciendo a un ritmo rápido porque los actores maliciosos continúan evolucionando sus técnicas mientras se dirigen a nuevas víctimas en un esfuerzo por mantenerse un paso por delante de las mejores estrategias de mitigación de riesgos de la actualidad.
¿Cómo se traduce eso en dólares? El costo adicional colectivo y la pérdida de ingresos que enfrentan las empresas a raíz de los ciberataques podrían llegar a los 5,2 billones de dólares durante los próximos tres años, según un informe de Accenture plc. Mientras tanto, la empresa de datos y análisis GlobalData ha informado que se prevé que las primas brutas emitidas para el mercado de seguros cibernéticos alcancen los 20.600 millones de dólares en 2025.
Amenaza creciente
En 2020, “vimos una serie de importantes incidentes cibernéticos y ataques de ransomware, incluida la plataforma de compras Magento y los hacks de SolarWinds”, explica Kenneth Saldanha, líder global de seguros de Accenture. Solo este último afectó a 18.000 empresas, incluidas varias agencias gubernamentales de EE. UU., Y se ha estimado que podría costar a las aseguradoras cibernéticas 90 millones de dólares “.
Como resultado de las crecientes pérdidas cibernéticas, las tasas de cobertura en el sector de los seguros cibernéticos se han disparado año tras año a un ritmo significativo.
“Existe una amplia gama de actividad de tarifas por segmento, clase de industria y calidad de riesgo”, dice Thomas Kang, director norteamericano de cibernética, tecnología y medios de Allianz Global Corporate & Specialty (AGCS). “Sin embargo, el mercado en general está experimentando aumentos en las primas de entre un 20% y un 50%”.
El seguro cibernético se consideraba anteriormente una inversión opcional para empresas con un mínimo de datos sensibles.
“El aumento omnipresente del delito cibernético que afecta a todas las industrias y segmentos del mercado ha demostrado desde entonces que estar preparado para defenderse de las amenazas cibernéticas existenciales a una empresa ya no es opcional”, dice Kang. “Es fundamental que las empresas, en todos los segmentos de la industria, comprendan el riesgo comercial que presentan los ciberataques y garanticen una inversión adecuada para gestionar el riesgo”.
Estos problemas están generando desafíos de oferta y demanda en el mercado de seguros cibernéticos, dice Saldanha. Señala que el sector tiene un techo alto para las pérdidas individuales y el potencial de acumulación de riesgo, así como grandes requisitos de capital. Como resultado, menos aseguradoras están suscribiendo este tipo de pólizas y las que lo hacen no están dispuestas a asumir demasiado este riesgo.
“Al mismo tiempo, la capacidad de reaseguro cibernético es finita”, dice. “Esta creciente demanda ha llevado a la competencia por la capacidad, por lo tanto, al aumento de los precios”.
El mercado también está comenzando a ver sublímites, particularmente para las pérdidas de ransomware. Este no ha sido históricamente el caso, según Sandy Codding, jefe de cibernética de Swiss Re.
Codding explica que si bien las primas han aumentado, incluso duplicándose en algunos casos, queda una pregunta sin respuesta: ¿Son esos aumentos adecuados para la tasa a la que aumenta la exposición?
“Mi percepción es que todas las aseguradoras están experimentando aumentos drásticos en las pérdidas, principalmente debido al ransomware”, dice Codding
Preocupaciones por ransomware
El ransomware se ha convertido en el rostro de la pérdida cibernética, dice Timothy Zeilman, vicepresidente de ciberpropietarios de productos globales de Hartford Steam Boiler. El ransomware también es una de las principales razones por las que las organizaciones y las empresas ya no consideran que la cobertura cibernética sea opcional.
“Esa forma de pensar ha cambiado”, dice Zeilman. “Nadie está a salvo del ransomware. Es una amenaza de base amplia, y la conciencia de eso ha aumentado “.
Pero, agrega, “la conciencia de las amenazas de ciberseguridad aún podría ser mejor”.
Desafortunadamente, las sumas alucinantes que los piratas informáticos exigen están impulsando el conocimiento del riesgo cibernético. El informe Cyber Threatscape de Accenture encontró un aumento del 60% en el pago promedio de ransomware entre el primer y el segundo trimestre de 2020.
“Esto es especialmente preocupante para las aseguradoras, ya que estos saboteadores a menudo establecen el rescate en función del nivel de cobertura de seguro cibernético de la víctima”, dice Saldanha.
El aumento de los incidentes de ransomware hace que muchos se pregunten si pagar a los piratas informáticos es una medida prudente. De hecho, algunos sugieren que la industria está impulsando a los malos actores a pedir más dinero, sabiendo que el seguro cubrirá la pérdida.
Algunos actores de la industria están empezando a decir “no más”. En mayo de 2021, la aseguradora francesa AXA anunció que ya no emitiría pólizas que incluían cobertura de reembolso para pagos de extorsión de ransomware, según Associated Press, que señaló que era una primicia en la industria. El plan de AXA solo se aplica a Francia y no afecta las políticas existentes, ni afecta la cobertura para recuperarse de un ataque de ransomware.
Codding de Swiss Re dice que la decisión de pagar un rescate o no siempre es difícil.
“Siento, al menos por hoy, que no permitir el pago creará mucho dolor para las empresas porque muchas no están preparadas para un evento”, explica Codding. “Si no pueden o no pagan para recuperar datos, pueden pasar meses para restaurar las operaciones. Y ese es un problema sustancial. No es ideal pagarlo, pero a veces es realmente la mejor opción ”.
Este dilema apareció en los titulares recientemente cuando el operador de Colonial Pipeline Co., según los informes, intentó rechazar las demandas de los piratas informáticos después de que cerraron el gasoducto de combustible más grande del país. Sin embargo, rápidamente se demostró que esos primeros informes eran falsos y la compañía desembolsó casi $ 5 millones para restaurar las operaciones del oleoducto, informó Bloomberg.
Enlaces débiles
El año pasado también mostró vulnerabilidades en lo que respecta a proveedores externos, como el incidente de SolarWinds antes mencionado y la violación de MS Exchange, lo que provocó un aumento en los llamados “ataques a la cadena de suministro”.
Durante el primer trimestre de 2021, casi 140 organizaciones informaron haber sido afectadas por un incidente en la cadena de suministro. Estas infracciones experimentaron un aumento del 42% durante ese período en comparación con el trimestre anterior, según la organización sin fines de lucro Identity Theft Resource Center.
El verdadero problema de los ataques a la cadena de suministro es su potencial de causar daños generalizados. Por ejemplo, una sola infracción del proveedor de TI que Blackbaud detectó en mayo de 2020 afectó a más de 12 millones de personas y 550 organizaciones.
Los ataques a la cadena de suministro también pueden provocar un aumento en las reclamaciones de seguros, lo que se espera con el evento de MS Exchange, un incidente que afectó al servicio de correo electrónico más vendido de Microsoft. Es probable que las industrias de seguros y reaseguros vean una “larga cola de reclamaciones por desgaste” derivadas del incidente, según la firma de análisis cibernético CyberCube. Es probable que las reclamaciones asociadas se centren en los costos legales, forenses y de limpieza.
“La industria de seguros apenas está comenzando a comprender el alcance de los posibles daños. Es demasiado pronto para calcular las pérdidas potenciales por el robo de la propiedad intelectual de una corporación ”, dijo William Altman, consultor de ciberseguridad de CyberCube, en un comunicado. “Una acumulación de pérdidas podría resultar en que múltiples – teóricamente, decenas de miles – de compañías hagan reclamos de seguros para cubrir investigación, legal, interrupción del negocio y posibles multas regulatorias”.
Cuadro regulatorio
Como resultado de COVID-19, las exposiciones regulatorias en 2020 y en 2021 tuvieron menos impacto en el mercado de lo que se anticipó inicialmente, según Paul Needle, vicepresidente senior y suscriptor de tratados cibernéticos de Munich Re US.
Sin embargo, es poco probable que este sea el caso por mucho tiempo.
“La Oficina del Comisionado de Información (ICO), que es responsable de hacer cumplir el GDPR (Reglamento general de protección de datos) del Reino Unido, señaló públicamente que las sanciones corporativas, incluidas las multas emitidas a Marriott y British Airways, se redujeron significativamente debido al impacto de la pandemia en las entidades sancionadas ”, dice.
Sin embargo, cabe destacar la aprobación de la Ley de Derechos de Privacidad de California (CPRA), que actualiza y amplía las leyes de ciberseguridad del estado y aumenta la alineación entre la CCPA y el GDPR, explica Needle.
“Es probable que estas regulaciones tengan un impacto importante en el mercado de seguros en el futuro cercano”, dice. “Para las empresas con preocupaciones importantes de PII (información personal privada) y / o aquellas involucradas con la venta de datos, en particular, las regulaciones han creado un escrutinio adicional de suscripción”.
Poder de gestión de riesgos
Aunque los desafíos cibernéticos pueden parecer insuperables, existen herramientas de mitigación. Por ejemplo, el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología proporciona una guía esencial con respecto a la identificación, protección y detección de riesgos. También tiene una función de recuperación y respuesta a incidentes.
De manera similar, la Asociación Nacional de Comisionados de Seguros (NAIC) desarrolló una ley modelo de seguridad de datos. Más recientemente, se utilizó para crear la Ley de seguridad de datos de seguros de Maine, que describe los estándares para las aseguradoras con licencia en el estado, incluidos los requisitos para desarrollar, implementar y mantener programas escritos de seguridad de la información que se alineen con el tamaño y la complejidad de un negocio basado en un Evaluación de riesgos. Estas evaluaciones de riesgos deben realizarse anualmente para evaluar la eficacia de los controles de ciberseguridad, los sistemas de información y otras salvaguardas para gestionar las amenazas.
“Como la mayoría de las pólizas cibernéticas brindan cobertura para multas y sanciones regulatorias, la suscripción de riesgos cibernéticos se mueve a la par con las regulaciones de seguridad y privacidad de datos en evolución”, dice Kang de AGCS. “Ha habido acciones regulatorias y de los consumidores importantes basadas tanto en la CCPA como en el RGPD, y continuamos monitoreando la frecuencia y la gravedad de las reclamaciones en ambos casos”.
Los nuevos estatutos y regulaciones han tenido un impacto más amplio, ya que cambian las conversaciones de “seguridad razonable de datos sensibles a la protección de los derechos de privacidad de los consumidores”, dice. “A medida que los consumidores ejercen sus nuevos derechos con respecto a sus datos, también existen requisitos operativos para las empresas que procesan o almacenan dichos datos para responder a las solicitudes de los consumidores”.
Saldanha, de Accenture, explica que la protección cibernética de un extremo a otro se compone de cuatro elementos fundamentales: evaluaciones de riesgo cibernético completas y transparentes; servicios específicos previos al descanso para reducir la exposición al riesgo, incluido el monitoreo de amenazas en tiempo real y cercano; Cobertura de seguros a medida y otros productos que mantienen las primas y los términos alineados con el riesgo en su centro; y servicios de respuesta a violaciones que deberían incluir el desarrollo de un equipo flexible y accesible a nivel mundial que pueda restaurar rápidamente a las empresas a su estado anterior a la violación.
“A pesar de este panorama de riesgos en constante evolución y la creciente superficie de ataque, los riesgos cibernéticos siguen estando profundamente sin seguro en todo el mundo”, dice Saldanha. “Según McAfee, se calcula que las primas representan menos del 1% del costo anual estimado de 600.000 millones de dólares por delitos informáticos”.
Fijación de primas
Muchas compañías de seguros basan las tasas de cobertura en los ingresos y ganancias potenciales del asegurado. Cuanto más grande y exitosa sea la empresa, mayores serán las primas. Algunas aseguradoras también utilizan el número de empleados como factor determinante, ya que un mayor número de empleados resulta en primas más elevadas, según la consultora comercial AdvisorSmith.
El tipo de negocio también puede influir en los costos, según AdvisorSmith, que señaló que el riesgo de una empresa se puede segmentar en niveles bajo, moderado y alto.
Los niveles más bajos, o aquellos que no se ocupan mucho de la información de terceros y tienen menos registros de datos, disfrutan de las primas más bajas. Los pequeños fabricantes con pocos clientes y poca información sobre el cliente entran en esta categoría.
Las empresas de riesgo moderado tienen grandes cantidades de datos de clientes, pero es posible que no almacenen detalles muy confidenciales. Estos tipos de negocios incluyen minoristas que aceptan transacciones con tarjeta de crédito en la tienda.
El nivel de mayor riesgo incluye empresas que almacenan información confidencial, como números de seguro social, fechas de nacimiento y otra información financiera o personal. Las empresas de primer nivel incluyen consultorios médicos, contables, universidades y empresas de administración de propiedades. Las compañías de seguros, que están atrayendo más la atención de los piratas informáticos, también entran en esta categoría.
Además, la ubicación puede influir, ya que las tarifas varían según el estado. Por ejemplo, las empresas en Arizona enfrentaron fuertes aumentos en las primas, con un aumento del 39%, de 2019 a 2020, según AdvisorSmith. La firma señaló que las pólizas suscritas en Carolina del Norte vieron caer las primas un 12% durante el mismo período.
Muchas compañías de seguros también preguntarán sobre las prácticas de ciberseguridad de cada posible asegurado. Esto podría incluir una mirada a los procedimientos de prevención de pérdida de datos, los sistemas de autenticación de múltiples factores y las prácticas de cifrado. Además, también entra en juego la frecuencia y rapidez con la que una empresa puede detectar y parchear vulnerabilidades de software y si se utilizan proveedores externos para monitorear y evaluar problemas de seguridad, según AdvisorSmith.
Fuente: Property Casualty 360