Como as seguradoras podem reduzir a ameaça de riscos cibernéticos

seguro cibernético já foi visto como um ponto positivo para o setor de seguros, com índices de sinistralidade mais baixos e maior lucratividade do que outras grandes áreas de cobertura comercial. Isso mudou rapidamente à medida que as taxas de perda aumentam – até 50% em 2020 e bem acima disso em 2021.
Ransomware é o principal culpado por esse aumento e a ameaça está aumentando . Os ataques aumentaram mais de 125% no ano passado. Essas tendências estão fazendo com que algumas seguradoras se retirem completamente do mercado cibernético.
Há um abismo claro e crescente de transferência de riscos cibernéticos e isso requer a atenção das seguradoras e do setor. As seguintes iniciativas podem ajudar a fortalecer o mercado de seguros contra riscos cibernéticos e contribuir para controlar as ameaças cibernéticas:
1. Prevenção e mitigação de perdas 'Infosec'.
Embora o progresso nos dados atuariais de incidentes deixe muito a desejar, as estatísticas de segurança da informação (infosec) sobre as dimensões de ameaças e vulnerabilidades melhoraram.
Os relatórios dos principais fornecedores concordam que os vetores de ataque e as fontes mais populares de incidentes de ransomware são o protocolo de desktop remoto (RDP), phishing e spam de e-mail e vulnerabilidades não corrigidas.
Se as seguradoras puderem incentivar o “bloqueio e combate” básico nas empresas clientes, incluindo práticas de continuidade de negócios, como tecnologias de backup restauráveis, poderemos diminuir significativamente as exposições ao risco.
2. Coordenação da gestão de riscos.
Incentivar uma boa higiene de segurança é um começo, mas deve ser entrelaçado com métricas de segurança significativas para que os controles recomendados acompanhem o risco cibernético dinâmico.
Em vez de depender apenas de fatores como conformidade ou jurisprudência que se desenvolvem ao longo do tempo, adotar uma função de coordenação de gerenciamento de risco pode permitir que as seguradoras lutem contra o ransomware.
Um começo seria ter subscritores, corretores e profissionais de segurança da informação coordenando as métricas de risco de segurança com controles e resultados. A coordenação de métricas e resultados entre subscritores, corretores e a comunidade infosec pode alinhar melhor a ótica de risco, reduzir assimetrias de informação e escalar a vitimologia para além da atual dinâmica ad hoc.
A forma como a coordenação da gestão de risco pode ser assumida pelas seguradoras pode ser pensada como um espectro. Em um nível básico, simplesmente exigir que os segurados ajudem a fornecer ou verificar fundamentos e tecnografias traria uma avaliação de risco cibernética mais precisa. Na outra ponta do espectro, incentivar os segurados a compartilhar telemática de segurança interna pode adicionar o elo perdido na avaliação e medição de riscos cibernéticos.
3. Regulamento de divulgação de ransomware.
Como a regulamentação federal, litígios e leis estaduais que exigem relatórios e divulgação de violações de dados serviram como base fundamental sobre a qual a cobertura e a cobertura de violação de dados está ancorada, vale a pena perguntar: precisamos de uma função de imposição semelhante para nos adaptar ao risco de ransomware?
Multas regulatórias, requisitos de relatórios e custos de violação tornaram as perdas de violação de dados tangíveis, capturando assim a atenção do setor. É uma questão em aberto se os requisitos de divulgação existentes serão suficientes para uma subscrição robusta do risco de ransomware. O governo está situado exclusivamente para ser uma função forçante para a conscientização da amplitude do problema.
4. Controla o relatório de falhas.
Os componentes padrão de análise forense digital e relatórios de resposta a incidentes incluem informações sobre vetores de ataque e falhas de controle: como os invasores conseguiram acessar as redes da empresa e quais proteções técnicas ou administrativas foram deficientes. Embora a certeza dessas atribuições varie, as seguradoras em geral deixaram esses detalhes de reivindicações de ransomware no chão da sala de corte, renunciando a lições valiosas aprendidas e perpetuando uma abordagem fragmentada de subscrição. Quando se trata de risco cibernético, as táticas, técnicas e práticas do invasor definitivamente seguem padrões de menor resistência. Conhecer suas cartilhas pode ajudar bastante a reduzir as exposições.
De forma relevante, há uma tendência das seguradoras (principalmente no mercado de pequenas e médias empresas) de cortar custos coletando menos informações durante o processo de subscrição e eliminando campos de dados na notificação de sinistro. Essa tendência funciona contra o desenvolvimento de modelos de perda cibernética mais maduros para alinhar o risco com os prêmios de preço. A adaptação ao cenário de risco cibernético requer o comprometimento do maior número possível de dados disponíveis no registro atuarial. As seguradoras documentando e compartilhando dados de falhas de controles marcariam um passo significativo para poder quantificar as relações de ponta a ponta entre ameaças, conformidade de segurança e resultados de incidentes.
5. Modelos preditivos baseados em dados.
Como o ransomware é uma ameaça dinâmica cuja prevalência é desconhecida e porque opera em cenários de destino interconectados, o conhecimento dos ataques de ontem é insuficiente para nos informar sobre os resultados de amanhã. Qualquer previsão é, portanto, altamente valiosa para segmentação, avaliação, preços e defesa eficazes de riscos de ransomware. A previsão no seguro cibernético pode vir por meio de modelos preditivos que incorporam dados históricos e conhecimento especializado. Esses modelos preditivos podem, por sua vez, conduzir uma seleção de risco, precificação e diretrizes de subscrição mais robustas e confiáveis.
6. Reforma da política de pagamento de extorsão.
A criptomoeda é o combustível que impulsiona o crescimento do ransomware . Mas para criptomoedas, a pressão introduzida por incidentes e reclamações de ransomware não seria digna de nota. Uma questão em aberto é se os regulamentos e políticas atuais protegem adequadamente contra a facilitação de ransomware ou se são necessárias proibições mais robustas.
Intervenções governamentais em torno de pagamentos de ransomware e extorsão são razoáveis. As opções variam desde uma proibição total de pagamentos de ransomware até o objetivo de melhorar a atribuição e a aplicação contra agentes mal-intencionados. O setor de seguros deve considerar a melhor forma de apoiar ou mesmo liderar esses tipos de intervenções.
O impacto prejudicial que ataques cibernéticos e ransomware causaram em empresas e seguradoras exige algo diferente das respostas convencionais, como aumentar os prêmios e reduzir os limites para atender às taxas de sinistralidade aceitáveis.
Somente a inovação e a evolução nos níveis individual da empresa, do setor e do governo garantirão a resiliência do mercado de seguros contra riscos cibernéticos e, em última análise, contribuirão para controlar o risco de ransomware.
Erin Kenneally, ex-gerente de portfólio da divisão de segurança cibernética do Departamento de Segurança Interna dos EUA, agora é diretora de estratégia de risco cibernético da Guidewire , fornecedora líder de tecnologia para o setor de seguros P&C.
As opiniões aqui expressas são do próprio autor.