Cyber Insurance: Οι εξελίξεις που φέρνει το 2023

Tης Ελισάβετ Μπακόλα Head - Financial Lines, Howden Hellas SA

Με τη συχνότητα και τη σφοδρότητα των επιθέσεων ransomware, phishing και άρνησης πρόσβασης να εντείνεται συνεχώς, η ζήτηση για ασφάλιση κυβερνοχώρου αυξάνεται µε µεγάλη ταχύτητα. Το 2021 τα ασφάλιστρα ανήλθαν σε περίπου 6,5 δισ. δολάρια, παρουσιάζοντας αύξηση 61% σε σχέση µε το προηγούµενο έτος, κι αυτό µόνο για τις ΗΠΑ. 

Παράλληλα, οι εταιρείες που θεωρούν τη συγκεκριµένη ασφαλιστική κάλυψη αναπόσπαστο κοµµάτι της στρατηγικής διαχείρισης κινδύνων πληθαίνουν µέρα µε τη µέρα. Η ζήτηση είναι πλέον τόσο µεγάλη, που –σύµφωνα µε τους ειδικούς– µπορεί να µην καλυφθεί επαρκώς µέσα στο 2023. Ήδη τα στελέχη των επιχειρήσεων διαπιστώνουν ότι το κόστος ασφάλισης αυξάνεται συνεχώς, ενώ, συγχρόνως, οι ασφαλιστές ζητούν ολοένα και περισσότερες αποδείξεις εφαρµογής µοντέλων Cyber Security προτού συµφωνήσουν να παρέχουν κάλυψη. Αυτή η δυναµική της αγοράς καταδεικνύει και τον σαφώς αναβαθµισµένο ρόλο των CISOs σε ό,τι αφορά την ασφάλεια, αλλά και την ασφάλιση κυβερνοχώρου. Πολλές είναι σήµερα και οι εταιρείες που "υποχρεούνται" να διαθέτουν τη συγκεκριµένη κάλυψη, αφού για πολλούς από τους επιχειρηµατικούς τους εταίρους αποτελεί αναγκαία προϋπόθεση συνεργασίας. 

Αυξάνονται διαρκώς οι ελάχιστες απαιτήσεις ασφάλισης

Tα νέα δεδοµένα είναι συντριπτικά: σε έρευνα που πραγµατοποίησε πρόσφατα ο διεθνής ασφαλιστής Hiscox, διαπιστώθηκε ότι το ποσοστό των εταιρειών που υπέστησαν κυβερνοεπίθεση τους προηγούµενους 12 µήνες αυξήθηκε κατά 48% το 2022 σε σύγκριση µε 43% το 2021, το µέσο κόστος µιας επίθεσης αυξήθηκε κατά 29%, ενώ το 20% των εταιρειών που δέχτηκαν επίθεση δήλωσαν ότι "απειλήθηκε" η οικονοµική τους φερεγγυότητα.

Με το 80% των εταιρειών που διαθέτουν ασφάλιση έναντι κινδύνων κυβερνοχώρου να έχουν ενεργοποιήσει τα συµβόλαιά τους, και µάλιστα περισσότερες από µία φορές, οι ασφαλιστές προσπαθούν να ανταποκριθούν στον αυξανόµενο αριθµό και κόστος των αποζηµιώσεων θεσµοθετώντας ένα πλαίσιο ελάχιστων απαιτήσεων Cyber Security. Παράλληλα, έχουν ενταθεί και οι έλεγχοι των συστηµάτων ασφαλείας, ενώ, για παράδειγµα, χωρίς την εγκατάσταση λογισµικού MFA (Ταυτοποίηση Πολλαπλών Παραµέτρων), δεν γίνεται εφικτή η ασφαλιστική κάλυψη ενός οργανισµού. 

Οι απαιτήσεις Cyber Security από την πλευρά των ασφαλιστών θα αυξηθούν περαιτέρω µέσα στο 2023 και θα αυξάνονται συνεχώς, παράλληλα µε τις εξελίξεις που παρατηρούνται στο κυβερνοέγκληµα. Τα ερωτηµατολόγια θα γίνονται πιο σύνθετα και απαιτητικά σε επίπεδο αποδεικτικών στοιχείων. Η συµµόρφωση µε το SOC 2 είναι προαπαιτούµενο, ενώ εξετάζεται διεξοδικά και η γενικότερη ευαισθητοποίηση της επιχείρησης σε ό,τι αφορά την κυβερνοασφάλεια: Κάθε πότε διενεργούνται έλεγχοι ασφαλείας; Υπάρχουν προγράµµατα εκπαίδευσης και αφύπνισης για όλο το προσωπικό; Υπάρχει σχέδιο έκτακτης ανάγκης και αποκατάστασης της οµαλής λειτουργίας; 

Όλα τα παραπάνω δείχνουν ότι πλέον οι CISOs θα πρέπει να συµµετέχουν περισσότερο στη διαδικασία ασφάλισης, αποδεικνύοντας το επίπεδο της ετοιµότητάς τους και προχωρώντας στις αναγκαίες προσαρµογές της στρατηγικής τους, µε βάση τις νέες απαιτήσεις.

Aυστηρές προδιαγραφές και "ακριβότερο" ασφάλιστρο

Οι δυναµικές που επικρατούν σήµερα στην αγορά της ασφάλισης κατά κινδύνων κυβερνοχώρου δεν επιφέρουν µόνον αυστηρότατα κριτήρια ανάληψης κινδύνων, αλλά και σηµαντική επιβάρυνση του κόστους ασφάλισης. Η τεράστια αύξηση στις επιθέσεις για λύτρα (ransomware), αλλά και άλλων τύπων επιθέσεων και παραβιάσεων, διογκώνει το κόστος των αποζηµιώσεων και εκτοξεύει στα ύψη τα ασφάλιστρα.

Περίπου το 75% των ασφαλισµένων έχουν διαπιστώσει σηµαντική αύξηση στα ασφάλιστρα συγκριτικά µε την προηγούµενη ανανέωση, ενώ υπάρχουν  και διαφορές ως προς το εύρος, τους όρους και τις προϋποθέσεις κάλυψης. Οι περιορισµοί αφορούν κυρίως την αποζηµίωση ransomware, καθώς και την ίδια τη διαδικασία της διαπραγµάτευσης µε τους κυβερνοεγκληµατίες. Επιπλέον, λιγότερα από τα µισά ασφαλιστήρια καλύπτουν πλέον την ανάκτηση δεδοµένων, ενώ ακόµα λιγότερα είναι αυτά που περιλαµβάνουν τα κανονιστικά πρόστιµα και τις ζηµίες τρίτων.  

Η µακροπρόθεσµη αξία του εξειδικευµένου Cyber Insurance Βroker

Μοιραία, κάθε επιχείρηση καλείται να απαντήσει στο "καυτό" ερώτηµα "αξίζει να πληρώνω τόσα χρήµατα για ασφάλιση κυβερνοχώρου;".

Η αξία ενός ασφαλιστηρίου συµβολαίου είναι αδιαµφισβήτητη γιατί "απορροφά" τον κίνδυνο, υποστηρίζει την ανάκαµψη και την επιστροφή των οργανισµών στην κανονικότητα έπειτα από ένα "χτύπηµα" και βοηθά στο να είναι η επιχείρηση πιο ανταγωνιστική, όταν αποτελεί προϋπόθεση συνεργασίας µε προµηθευτές και πελάτες.  

Όµως, στην πραγµατικότητα, σωστές απαντήσεις σε καίρια ερωτήµατα όπως "δεν έχω τους πόρους για αγοράσω τέτοια κάλυψη", "δεν είµαι σε θέση να ανταποκριθώ στα πρωτόκολλα ασφαλείας που απαιτούν οι ασφαλιστές", "προτιµώ να επενδύσω τα χρήµατα αυτά στο IT Security της επιχείρησης" ή "θα βάλω το ποσό των ασφαλίστρων στην άκρη για να αντιµετωπίσω εσωτερικά µια επίθεση" µπορούν να δοθούν µόνο σε συνεργασία µε έναν έµπειρο και εξειδικευµένο Cyber Insurance Broker, όπως η Howden, που διαθέτει την τεχνογνωσία αλλά και τα εργαλεία αποτύπωσης του κινδύνου που διατρέχει ο εκάστοτε οργανισµός. 

Μόνον αξιολογώντας τα πρωτόκολλα ασφαλείας, µόνον έχοντας ξεκάθαρη εικόνα του τοπίου των απειλών και µόνο µέσα από την ποσοτικοποίηση των κινδύνων, µόνον τότε µπορείς να πάρεις την απόφαση κόστους-οφέλους, δηλαδή την απόφαση που µπορείς να αντέξεις οικονοµικά.