Μελέτες

Geneva Association: Απαιτούνται συνέργειες για την κάλυψη κυβερνοεπιθέσεων ευρείας κλίμακας

Η ασφάλιση δεν θα είναι από μόνη της αρκετή, εάν συμβεί μια άνευ προηγουμένου κυβερνοεπίθεση, που θα πλήξει, πολλαπλά, μεγάλα τμήματα της παγκόσμιας οικονομίας. Αυτό υποστηρίζει η Έκθεση με τίτλο: «Cyber Risk Accumulation: Fully tackling the insurability challenge», που δημοσίευσε πρόσφατα η Geneva Association, η οποία εξετάζει τη συσσώρευση των κινδύνων στον κυβερνοχώρο και τις δυσκολίες που αντιμετωπίζουν οι ασφαλιστές να τους καλύψουν. Στην Έκθεση υποστηρίζεται ότι η βελτίωση της μοντελοποίησης κινδύνου, οι συνέργειες με κυβερνητικές υπηρεσίες ασφαλείας και εταιρείες τεχνολογίας, η αυστηροποίηση του νομοθετικού πλαισίου όσον αφορά την ευθύνη, ενδεχομένως και κυβερνητικά μέτρα στήριξης, θα αποτελέσουν το κλειδί για να καταστούν τα ακραία περιστατικά στον κυβερνοχώρο περισσότερο ασφαλίσιμα.

Οι αυξανόμενες γεωπολιτικές εντάσεις και η χρήση ψηφιακών τεχνολογιών ενισχύουν τους κινδύνους στον κυβερνοχώρο, με τις κυβερνοεπιθέσεις να έχουν αυξηθεί κατά 38% το 2022 σε σύγκριση με το 2021, σε παγκόσμιο επίπεδο1. Παρόλο που η ειδική αγορά ασφάλισης του κυβερνοχώρου έχει αναπτυχθεί ραγδαία τα τελευταία χρόνια, το κενό προστασίας παραμένει τεράστιο. ιδίως εάν συμβεί ένα πρωτοφανές, ακραίο περιστατικό στον κυβερνοχώρο, που θα πλήξει, πολλαπλά, μεγάλα τμήματα της παγκόσμιας οικονομίας.

Η προοπτική μιας τόσο σοβαρής κυβερνοεπίθεσης αναστέλλει σημαντικά τη διάθεση των αντασφαλιστών να αναλάβουν τέτοιους κινδύνους. Ένα σημαντικό περιστατικό θα μπορούσε να προκαλέσει απαιτήσεις από ασφαλισμένους σε διάφορους επιχειρηματικούς κλάδους, οδηγώντας σε σημαντική συσσώρευση ζημιών στα χαρτοφυλάκια των αντασφαλιστών.

Όπως επισημαίνεται στην έκθεση της Geneva Association, οι κυβερνοκίνδυνοι είναι πολύπλοκοι και δοκιμάζουν πολλές από τις παραδοσιακές αναλογιστικές παραδοχές που συνήθως εφαρμόζονται στην ασφάλιση, για την ποσοτικοποίηση των πιθανών ζημιών που μπορεί να προκύψουν από ένα περιστατικό. Ειδικότερα, εξακολουθούν να υπάρχουν ανησυχίες ότι η έκταση των πιθανών συσσωρευμένων απαιτήσεων που προκύπτουν από ορισμένους κινδύνους στον κυβερνοχώρο –σε επίπεδο ασφαλισμένων, γεωγραφικών περιοχών, ασφαλιστικών κλάδων κ.λπ.– είναι απλώς πολύ μεγάλες ή/και αβέβαιες, για να τις αναλάβουν οι αντ/ασφαλιστές. Οι φόβοι αυτοί έχουν ενισχυθεί από το όλο και πιο εχθρικό τοπίο κυβερνοαπειλών, ιδίως υπό το πρίσμα της συνεχιζόμενης απειλής ransomware και του ξεσπάσματος του πολέμου Ουκρανίας-Ρωσίας, που έχουν αναδείξει σημαντικά τρωτά σημεία της κυβερνοασφάλειας εντός των φυσικών και ψηφιακών αλυσίδων εφοδιασμού, καθώς και των κρίσιμων υποδομών.

Μέχρι στιγμής δεν έχουμε γίνει (ευτυχώς) μάρτυρες ενός πραγματικά καταστροφικού περιστατικού στον κυβερνοχώρο. Παρόλα αυτά, δεν είναι καθόλου περίεργο, αντίθετα είναι απολύτως λογικό για τους αντ/ασφαλιστές, να αναπροσαρμόσουν το κόστος και τη διαθεσιμότητα των καλύψεων, ώστε να αντανακλούν το νέο τοπίο κινδύνου. Αυτό περιλαμβάνει:

  • την αυστηροποίηση της γλώσσας των συμβολαίων, ώστε να αποκλείεται η κάλυψη των κρατικών κυβερνοεπιθέσεων, που οδηγούν σε υπερμεγέθεις απώλειες.
  • τη διατήρηση χαμηλών ασφαλιστικών ορίων για την προστασία από δευτερεύουσες, αλλά παρόλα αυτά σημαντικές αξιώσεις, καθώς και
  • τη μείωση της σιωπηρής έκθεσης στον κυβερνοχώρο, για την οποία η κάλυψη ούτε προοριζόταν ούτε τιμολογήθηκε ποτέ.

Απαραίτητη η βελτίωση της μοντελοποίησης κινδύνου

Η πρόοδος στη μοντελοποίηση κινδύνων και στην ποσοτικοποίηση της πιθανής συσσώρευσης ζημιών αποτελεί σημαντικό στοιχείο, για να καταστούν οι κίνδυνοι στον κυβερνοχώρο περισσότερο ασφαλίσιμοι. Και υπάρχουν απτές ενδείξεις ότι η γνώση και η κατανόηση σε αυτό το πεδίο προχωρούν, καθώς οι πληροφορίες και η εμπειρογνωμοσύνη σχετικά με τους παράγοντες που οδηγούν σε ζημιές ευρείας κλίμακας στον κυβερνοχώρο συνεχίζουν να αναπτύσσονται.

Σύμφωνα με την Έκθεση, οι παράγοντες που οδηγούν σε ακραίες ζημιές στον κυβερνοχώρο δεν μπορούν τυπικά να μοντελοποιηθούν με τις συνήθεις στατιστικές προσεγγίσεις, κυρίως επειδή η έκταση αυτών των ζημιών εξαρτάται σε μεγάλο βαθμό από την αλληλεπίδραση μεταξύ των κινήτρων και των πόρων, τόσο των επιτιθέμενων όσο και των θυμάτων, τα οποία δεν είναι εύκολο να βαθμονομηθούν και να ποσοτικοποιηθούν.

«Oι τρέχουσες προσεγγίσεις παραμένουν ανώριμες και τα αποτελέσματά τους μπορεί να είναι ευμετάβλητα και ασυνεπή, γεγονός που δείχνει ότι πρέπει να είμαστε προσεκτικοί όταν στηριζόμαστε αποκλειστικά στις γνώσεις που παρέχουν τα τελευταία μοντέλα κινδύνου που αφορούν τον κυβερνοχώρο», επισημαίνει ο κ. Darren Pain, Δ/ντής Cyber της Geneva Association και συντάκτης της Έκθεσης.

«Επιπλέον, παρόλο που τα πιο βελτιωμένα μοντέλα κινδύνου είναι απαραίτητα, πιθανότατα δεν θα είναι επαρκή για την προσέλκυση σημαντικού πρόσθετου κεφαλαίου απορρόφησης κινδύνου. οι εναπομείνασες αβεβαιότητες στον κυβερνοχώρο περιορίζουν το τι είναι δυνατόν να γνωρίζουμε και τι μπορεί να μοντελοποιηθεί με αξιόπιστο βαθμό ακρίβειας. Συνεπώς, μπορεί να απαιτηθούν και άλλες θεσμικές καινοτομίες, προκειμένου να προωθηθεί μια μεγαλύτερη, βιώσιμη αγορά αντ/ασφάλισης στον κυβερνοχώρο, ικανή να καλύψει τις μελλοντικές ανάγκες προστασίας των ασφαλισμένων», τονίζει.

Σημαντική η ανταλλαγή γνώσεων

Σύμφωνα με την Έκθεση, οι συμπράξεις, για την ανταλλαγή γνώσεων, με κυβερνητικές υπηρεσίες ασφαλείας, φορείς εκμετάλλευσης κρίσιμων υποδομών και εταιρείες τεχνολογίας, μπορεί να βοηθήσουν τους αντασφαλιστές να κατανοήσουν καλύτερα τις απειλές στον κυβερνοχώρο, επιτρέποντάς τους να διευρύνουν το πεδίο παροχής ασφαλιστικής προστασίας.

Όπως τονίζεται, οι πρόσφατες πρωτοβουλίες των αντ/ασφαλιστών που επιδιώκουν να συντονίσουν την ανταλλαγή πληροφοριών και γνώσεων σχετικά με τη φύση και το μέγεθος των κυβερνοκινδύνων, συμπεριλαμβανομένης της συμμετοχής εταιρειών τεχνολογίας με ειδικές γνώσεις σχετικά με τις εξελισσόμενες απειλές και τα τρωτά σημεία, αποτελούν θετική κίνηση προς αυτή την κατεύθυνση. Ομοίως, με βάση την επιτυχία των πρόσφατων συμφωνιών ILS για τον κυβερνοχώρο, η καλλιέργεια του ευρύτερου ενδιαφέροντος της χρηματοπιστωτικής αγοράς, μέσω του σχεδιασμού εργαλείων που ανταποκρίνονται καλύτερα στις προτιμήσεις των επενδυτών, θα είναι πολύ σημαντική για τη διασπορά και τη μεταφορά των κινδύνων αιχμής του κυβερνοχώρου σε εκείνους που είναι σε θέση να τους απορροφήσουν καλύτερα. Παράλληλα, η προώθηση πρωτοβουλιών για τη δημιουργία μηχανισμών συλλογικής διαχείρισης των κυβερνοκινδύνων μεταξύ των φορέων ανάληψης κινδύνων θα μπορούσε να συμβάλει στη διεύρυνση της χρηματοδότησης και στην αύξηση του capacity της αγοράς αντ/ασφάλισης.

Κομβικός ο ρόλος των κυβερνήσεων

Κομβικό ρόλο μπορούν, επίσης, να διαδραματίσουν οι κυβερνήσεις. Ήδη το κάνουν, βέβαια, με το να ενθαρρύνουν τη συλλογή και διάδοση πληροφοριών σχετικά με τις απειλές στον κυβερνοχώρο, καθώς και με τη θέσπιση και εφαρμογή νόμων και κανονισμών που καθορίζουν την ευθύνη και επιβάλλουν κυρώσεις σε όσους προκαλούν βλάβη σε άλλους. Ωστόσο, υπάρχει περιθώριο να προχωρήσουν περαιτέρω και να θεσπίσουν αυξημένες υποχρεώσεις για τον τομέα της πληροφορικής, ώστε να προωθηθούν πιο ισχυρά πρωτόκολλα κυβερνοασφάλειας σε επίπεδο software και hardware.

Geneva Association: Απαιτούνται συνέργειες για την κάλυψη κυβερνοεπιθέσεων ευρείας κλίμακας

Εξίσου σημαντικός είναι ο ρόλος τους και όσον αφορά τη χρηματοδότηση, καθώς υπάρχουν όρια στο ύψος των οικονομικών ζημιών που μπορεί να απορροφήσει με ασφαλή και εύλογο τρόπο ο αντασφαλιστικός κλάδος. Η Έκθεση της Geneva Association υποστηρίζει ότι ένα κυβερνητικό “στήριγμα” για μεγάλα περιστατικά στον κυβερνοχώρο θα μπορούσε να ενθαρρύνει τους αντασφαλιστές να επεκτείνουν την κάλυψη και να αυξήσουν τη δυνατότητα απορρόφησης κινδύνων (capacity).

«Η κρατική χρηματοδότηση για την κάλυψη ζημιών ευρείας κλίμακας θα μπορούσε να ενθαρρύνει τον ιδιωτικό αντασφαλιστικό τομέα να αναλάβει περισσότερα ρίσκα στον κυβερνοχώρο, γνωρίζοντας ότι οι απώλειές του θα είναι περιορισμένες. Ορισμένοι μπορεί να ανησυχούν για τις ακούσιες συνέπειες της περαιτέρω κρατικής εμπλοκής και να προσβλέπουν στην υπεροχή των λύσεων που προσφέρει ο ιδιωτικός τομέας. Ωστόσο, με τους φορολογούμενους να καλούνται τελικά να απορροφήσουν σημαντικό μέρος των ανασφάλιστων ζημιών από μια καταστροφή στον κυβερνοχώρο, είναι λογικό να εξετάσουμε μέτρα που θα μπορούσαν να προωθήσουν τη συνεργασία της αντασφαλιστικής αγοράς», τονίζει ο κ. Pain, προσθέτοντας: «Αντί να περιμένουμε να συμβεί ένα καταστροφικό γεγονός και να σκεφτούμε πώς θα αντιμετωπίσουμε τις απώλειες εκ των υστέρων, είναι προτιμότερο να εξετάσουμε μέτρα που προβλέπουν ένα τέτοιο ενδεχόμενο και μπορούν να σχεδιαστούν και να εκτελεστούν κατάλληλα, ώστε να ενθαρρύνουν την καλύτερη, εκ των προτέρων, διασπορά των κινδύνων».

Στην ίδια κατεύθυνση και ο κ. Jad Ariss, Δ/νων Σύμβουλος της Geneva Association, δήλωσε: «Αν η πανδημία COVID-19 δίδαξε κάτι στους διαχειριστές κινδύνων, είναι ότι πρέπει να προετοιμαζόμαστε για καταστροφικά γεγονότα. δεν μπορούμε να βασιζόμαστε μόνο σε μηχανισμούς αντιμετώπισης εκ των υστέρων. Αυτός είναι ο λόγος για τον οποίο οι αντ/ασφαλιστές, οι κυβερνήσεις και άλλοι εμπλεκόμενοι φορείς πρέπει να δημιουργήσουν τώρα τις σωστές συνέργειες στον κυβερνοχώρο –όχι μόνο για να είναι οι ασφαλιστές σε θέση να προσφέρουν μεγαλύτερη προστασία από τους κυβερνοκινδύνους, αλλά και για να υπάρχουν βιώσιμες οικονομικές και επιχειρησιακές λύσεις, σε περίπτωση που όντως συμβεί μια εκτεταμένη, καταστροφική κυβερνοεπίθεση».

Κρίσιμες υποδομές και ασφάλιση στον κυβερνοχώρο

Στην Έκθεση γίνεται ιδιαίτερη αναφορά στη συσσώρευση ζημιών στον κυβερνοχώρο, οι οποίες μπορούν να προκύψουν: από αστοχίες σε κρίσιμες υποδομές, από διαταραχές στην αλυσίδα εφοδιασμού, από αξιώσεις αστικής ευθύνης και από ευπάθειες σε ευρέως χρησιμοποιούμενο λογισμικό.

Προκειμένου να αξιολογηθεί το ενδεχόμενο συσσώρευσης ζημιών, οι αντ/ασφαλιστές πρέπει να κατανοήσουν τους τρόπους με τους οποίους περισσότεροι ασφαλισμένοι μπορούν να επηρεαστούν αρνητικά από ένα περιστατικό στον κυβερνοχώρο και την επακόλουθη ζημία που μπορεί να προκύψει, καθώς και ποια ασφαλιστήρια συμβόλαια θα μπορούσαν να επηρεαστούν.

Ενώ οι κυβερνοεπιθέσεις είναι συχνά η πιο σημαντική αιτία, τα τυχαία (δηλ. μη κακόβουλα) περιστατικά, συμπεριλαμβανομένων των αστοχιών του συστήματος, των ανθρώπινων λαθών ή των σφαλμάτων προγραμματισμού, μπορούν επίσης να προκαλέσουν εκτεταμένες αλληλένδετες ζημιές.

Η καταστροφή κρίσιμων υποδομών –του συνόλου, δηλαδή, των συστημάτων, των δικτύων και των περιουσιακών στοιχείων που απαιτούνται για να διασφαλιστεί η ασφάλεια ενός κράτους, της οικονομίας του και της δημόσιας υγείας ή/και ασφάλειας–, συνεπεία ενός κυβερνοατύχηματος ή μιας παραβίασης στον κυβερνοχώρο, αποτελεί χαρακτηριστικό παράδειγμα συσσώρευσης ζημιών. Οι εν λόγω οργανισμοί είναι όλο και περισσότερο αλληλένδετοι με άλλα δίκτυα, πράγμα που σημαίνει ότι μια μεμονωμένη αστοχία θα μπορούσε να προκαλέσει εκτεταμένη βλάβη/δυσλειτουργία, ιδίως δεδομένου ότι τα κακόβουλα μέρη αρκεί να διεισδύσουν μόνο σε μία σύνδεση για να προκαλέσουν δυνητικά μαζική ζημιά.

Ωστόσο, δεν είναι δυνατόν όλες οι ζημιές που προκύπτουν από αστοχία σε κρίσιμες υποδομές να ασφαλιστούν.

Τα περισσότερα ασφαλιστήρια συμβόλαια για τον κυβερνοχώρο αποζημιώνουν τους ασφαλισμένους για τις οικονομικές απώλειες που προκύπτουν ως άμεσο αποτέλεσμα ενός περιστατικού, καθώς και για τα νομικά έξοδα που απορρέουν από αξιώσεις τρίτων, συμπεριλαμβανομένης οποιασδήποτε αποζημίωσης. Ωστόσο, είναι κοινή πρακτική να εξαιρούνται από τα μεμονωμένα συμβόλαια οι δαπάνες που προκύπτουν από τις αστοχίες σημαντικών κρίσιμων υποδομών, εκτός από τις πρωταρχικές οικονομικές απώλειες ενός αντισυμβαλλομένου, που είναι και ο φορέας που παρέχει τις υπηρεσίες υποδομών.

Οι κρίσιμες υποδομές δεν προσδιορίζονται συνολικά και το πεδίο κάλυψης ποικίλλει ανάλογα με τους ακριβείς όρους του ασφαλιστηρίου συμβολαίου. Κατ’ ελάχιστον, η ασφάλιση στον κυβερνοχώρο αποκλείει ζημιές που προκύπτουν από δυσλειτουργίες σε ζωτικής σημασίας υπηρεσίες κοινής ωφέλειας, όπως η ηλεκτρική ενέργεια, το νερό και οι τηλεπικοινωνίες, ιδίως όταν οι εν λόγω βασικές υπηρεσίες δεν βρίσκονται υπό τον έλεγχο, τη λειτουργία ή την ιδιοκτησία του ασφαλισμένου. Οι εξαιρέσεις των ασφαλιστηρίων συμβολαίων επεκτείνονται συνήθως και στην εσωτερική δομή του διαδικτύου, συμπεριλαμβανομένων των παρόχων υπηρεσιών συστημάτων domain name (DNS) και των παρόχων υπηρεσιών ελέγχου και πιστοποίησης, χωρίς τις οποίες τα ψηφιακά δίκτυα δεν θα μπορούσαν να λειτουργήσουν. Ομοίως, η κάλυψη αποκλείεται μερικές φορές όταν αφορά διακοπή της λειτουργίας βασικών οργανισμών που διευκολύνουν τις χρηματοπιστωτικές αγορές και τη διαπραγμάτευση κινητών αξιών.

Κατά γενικό κανόνα, τα ειδικά ασφαλιστήρια συμβόλαια για τον κυβερνοχώρο αποκλείουν τόσο τις σωματικές βλάβες όσο και τις υλικές ζημιές. Επομένως, οποιαδήποτε κυβερνοεπίθεση ή περιστατικό σχετιζόμενο με τον κυβερνοχώρο που προκαλεί υλικές ζημιές σε κρίσιμες υποδομές δεν καλύπτεται, ακόμη και για τον εκάστοτε φορέα, αν και θα μπορούσε να καλυφθεί από τα παραδοσιακά συμβόλαια P&C (ανάλογα με τη διατύπωση των τυχόν εξαιρέσεων).

Ωστόσο, οι οικονομικές απώλειες που υφίστανται οι τρίτοι χρήστες ορισμένων κρίσιμων ψηφιακών υπηρεσιών είναι συνήθως ασφαλίσιμες. Για παράδειγμα, τα συμβόλαια συχνά παρέχουν αποθετική κάλυψη (κάλυψη των διαφυγόντων κερδών) σε περίπτωση προσωρινής, μεμονωμένης διακοπής της λειτουργίας κρίσιμων επιχειρήσεων που εξαρτώνται από το διαδίκτυο, όπως οι πάροχοι υπηρεσιών Διαδικτύου (ISP), οι οποίοι διευκολύνουν την πρόσβαση στον Παγκόσμιο Ιστό, ή οι CSP [π.χ. Google Cloud ή Amazon Web Services (AWS)], αν και η κάλυψη ανταποκρίνεται συνήθως μετά από μια ελάχιστη περίοδο αναμονής και για αποδεδειγμένες δαπάνες.

  1. Checkpoint 2023. ↩︎

Ακολουθήστε την ασφαλιστική αγορά στο Google News

Εγγραφείτε στο NewsLetter μας