[DEBATT] Cybersäkerhetsförsäkringar har ökat i popularitet de senaste åren. Föga förvånande – eftersom de flesta storskaliga cyberattacker riskerar att få allvarliga effekter vänder sig allt fler organisationer till försäkringsbolag.
2019 värderades den globala cyberförsäkringsmarknaden till 5,95 miljarder dollar. 2027 beräknas den nå 32,5 miljarder dollar.
Samtidigt har denna ökade efterfrågan skapat ett unikt problem för branschen. För medan amerikanska cyberpremier ökade med 22 procent under 2020, ökade även de direkta förlustkostnaderna och försvars- och kostnadskontrollförhållandet (DCC) – den andel av ett försäkringsbolags inkomst som betalas ut till fordringar. När DCC-förhållandet når 80 procent börjar försäkringsbolagen förlora pengar. Förra året nådde det 73 procent, en ökning från 47 procent året innan.
Varför cyberrisk är annorlunda
Att utbetalningar påverkar försäkringsgivarens vinster är naturligtvis inget nytt. Detta gäller alla typer av försäkringar, från bilar till resor.
Vanligtvis lindras detta genom att tilldela varje försäkringstagare en risknivå och lämplig premiesats. Exempelvis löper yngre människor, statistiskt sett, större sannolikhet att vara involverade i bilolyckor. Just därför tenderar premien att vara högre för yngre förare.
Att på detta sätt kvantifiera risker har utgjort ryggraden i försäkringsbranschen i åratal. Men få av dessa principer kan på ett enkelt sätt överföras för att bestämma potentiella risker vid cyberangrepp.
Många försäkringar bygger på sannolikheten för en slumpmässig händelse, inte ett hot som är målmedvetet och skadligt. Lägg därtill de olika nivåerna av säkerhetsmedvetenhet och försvar i organisationer och en konsekvent kvantifiering av risknivåer blir extremt svårt.
Dessutom är det svårt att avgöra vilka följder en attack får. Skulle en organisation falla offer för ett allvarligt cyberbrott kan efterföljande ekonomiska förlust och skada i anseende också påverka leverantörer, kunder, aktieägare, banker och ett stort antal andra parter.
Eftersom it-kriminalitet inte heller har några geografiska gränser förväntas försäkringsgivare ta hänsyn till en slags dominoeffekt. I kölvattnet av SolarWinds-attacken noterade New York State Department of Financial Services att försäkringsgivare måste ta hänsyn till den systemrisk som uppstår ”… när en utbredd cyberincident påverkar många försäkringstagare samtidigt”.
Hur kommer försäkringsgivarna att reagera?
Istället har försäkringsgivare börjat införa striktare villkor eller erbjuda rabatter till de organisationer som redan har en viss nivå av skydd på plats. Sådana villkor är långt ifrån ett nytt koncept. Ett välkänt exempel går tillbaka till början av 1900-talet. Som svar på en kraftig ökning av explosioner i ångpannor fick Hartford Steam and Boiler Inspection and Insurance Company i uppdrag att använda en speciell rörkonfiguration för alla som vill teckna en pannförsäkring. Den speciella rörkonfigurationen blev snabbt känd som Hartford Loop och används fortfarande idag.
Genom att definiera minsta acceptabla standard ökade företaget lönsamheten och förbättrade säkerheten för hela branschen. Cyberförsäkringsbolag har nu möjlighet att styra branschen i samma riktning.
Om det görs rätt finns möjlighet att öka säkerhetsstandarderna både för stora och små organisationer. Det skulle inte bara hjälpa till att hålla oss alla säkrare utan också underlätta riskbedömningen för tredje part, oavsett om det gäller leverantörer, partners eller entreprenörer.
Om det däremot görs fel lär snart ett erbjudande som en gång i tiden var mycket lönsamt istället bli ekonomiskt katastrofalt. Och det kan potentiellt utsätta organisationer och individer för enorma – och oförsäkrade – ekonomiska konsekvenser.
Naturligtvis är problemet med cyberförsäkringsbolag mer invecklat än det som mötte Hartford Steam and Boiler Inspection and Insurance Company. Framför allt eftersom cyberkriminella ständigt utvecklas och förnyas.
Men bara för att det är utmanande betyder det inte att det inte ska göras. När 64 procent av organisationerna riskerar en materiell cyberattack under de kommande 12 månaderna är det osannolikt att den knappa buffert som i dag existerar i DCC-förhållandet håller så mycket längre. Något måste göras, och det snabbt.
Andrew Rose, resident CISO, EMEA, Proofpoint