Σιωπηρός Κίνδυνος Κυβερνοχώρου (Silent Cyber)
Η “γκρίζα περιοχή” των ασφαλιστηρίων συμβολαίων Περιουσίας και Ευθύνης που ανησυχεί Ασφαλιστικές Eταιρείες και Ρυθμιστικές Αρχές.
Ο Σιωπηρός Κίνδυνος Κυβερνοχώρου (Silent Cyber) αναφέρεται στην έκθεση σε κινδύνους που περιέχονται εντός των παραδοσιακών ασφαλιστηρίων συμβολαίων περιουσίας και ευθύνης, τα οποία πιθανόν να μην καλύπτουν ούτε να εξαιρούν ρητά τον κίνδυνο κυβερνοχώρου. Αναφέρεται κάποιες φορές και ως μη επιβεβαιωμένος (non-affirmative) κίνδυνος κυβερνοχώρου.
Σε αντίθεση με τα standalone ασφαλιστήρια συμβόλαια κυβερνοχώρου, τα οποία ορίζουν ξεκάθαρα τις παραμέτρους της κάλυψης από κινδύνους κυβερνοχώρου, πολλά παραδοσιακά συμβόλαια περιουσίας και ευθύνης δεν αναφέρονται συγκεκριμένα στον κίνδυνο αυτό. Θεωρητικά, θα μπορούσε κανείς να συμπεράνει ότι αποζημιώνουν ζημιές από κίνδυνο κυβερνοχώρου σε ορισμένες περιπτώσεις που προκύπτει ζημιά, η οποία θα μπορούσε να καλύπτεται από το ασφαλιστήριο συμβόλαιο, τα αίτια της οποίας όμως ανάγονται στον κυβερνοχώρο, γεγονός το οποίο δεν είχε αξιολογηθεί κατά την ανάληψη του κινδύνου από τον ασφαλιστή και, ως εκ τούτου, η κάλυψή του δεν αποτελούσε πρόθεση του ασφαλιστή.
Αυτό μπορεί να προκύψει εάν:
- Οι κυβερνοεπιθέσεις ως αιτία ζημιάς δεν περιλαμβάνονται ρητά ούτε εξαιρούνται.
- Το λεκτικό της εξαίρεσης στο ασφαλιστήριο συμβόλαιο δεν είναι σαφές.
- Το λεκτικό της κάλυψης δεν είναι σαφές ή έρχεται σε αντίθεση με άλλο λεκτικό του ασφαλιστηρίου συμβολαίου.
Γιατί προβληματίζονται οι Ασφαλισμένοι για τον Σιωπηρό Κίνδυνο Κυβερνοχώρου
Η έλλειψη σαφήνειας σε κάποια τυποποιημένα ασφαλιστήρια συμβόλαια περιουσίας και ευθύνης μπορεί, επίσης, να οδηγήσει σε σύγχυση και παρανοήσεις σχετικά με την κάλυψη των κινδύνων κυβερνοχώρου. Ορισμένοι Ασφαλισμένοι μπορεί να θεωρούν ότι έχουν επαρκή κάλυψη για κινδύνους κυβερνοχώρου, ενώ στην πραγματικότητα αυτό δεν ισχύει. Επιπλέον, ένα λεκτικό «μη επιβεβαιωμένου» κινδύνου κυβερνοχώρου σε ένα παραδοσιακό συμβόλαιο, μπορεί να γίνει αντικείμενο διαφορετικών ερμηνειών από τις Ασφαλιστικές Εταιρείες, πράγμα το οποίο θα οδηγήσει σε διαμάχες.
Γιατί προβληματίζονται οι Ασφαλιστικές Εταιρείες
Οι Ασφαλιστικές Εταιρείες και οι Εθνικές Ρυθμιστικές Αρχές ανησυχούν για το ότι ο Σιωπηρός Κίνδυνος Κυβερνοχώρου μπορεί να αντιπροσωπεύει έναν σοβαρό και μη αναμενόμενο κίνδυνο στα χαρτοφυλάκια των Ασφαλιστών. Μια Ασφαλιστική Εταιρεία που χρησιμοποιεί ένα λεκτικό «μη επιβεβαιωμένου» κινδύνου κυβερνοχώρου δεν θα μπορούσε να είχε υπολογίσει τον πιθανό κίνδυνο κυβερνοχώρου που ακούσια καλύπτεται, και επομένως δεν μπορεί να έχει μετρήσει την αυξημένη έκθεση του Ασφαλισμένου ή να έχει προσαρμόσει το ασφάλιστρο ανάλογα ή να έχει υπολογίσει την πιθανή συγκέντρωση κινδύνου στο χαρτοφυλάκιό της.
Το πρόβλημα της συσσώρευσης (accumulation) Σιωπηρού Κινδύνου Κυβερνοχώρου
Σύμφωνα με τα ως άνω, το μεγαλύτερο πρόβλημα που παρουσιάζει για την ασφαλιστική αγορά ο Σιωπηρός Κίνδυνος Κυβερνοχώρου είναι ο κίνδυνος συσσώρευσης (accumulation).
Η συσσώρευση κινδύνου από μόνο το cyber ως αυτοτελώς ασφαλιζόμενος κίνδυνος είναι ήδη θέμα, αλλά αυτό είναι μικρό πρόβλημα μπροστά στη συγκέντρωση του κινδύνου cyber από διάφορους κλάδους ασφάλισης.
Σε έναν κόσμο που όλο και περισσότερο στηρίζεται στην ψηφιακή τεχνολογία, είναι δύσκολο να σκεφτούμε έναν κλάδο ασφάλισης που δεν επηρεάζεται με κάποιον τρόπο από τον κίνδυνο cyber. Όμως, το λεκτικό των περισσότερων ασφαλιστηρίων γράφτηκαν στην προ – ψηφιακή εποχή και, σε αρκετές περιπτώσεις, δεν έχει γίνει ακόμη επεξεργασία τους, ώστε να αντιμετωπίζουν ρητά την αναδυόμενη έκθεση που προκύπτει από τη χρήση της ψηφιακής τεχνολογίας. Αυτό οδηγεί σε μια τεράστια γκρίζα περιοχή, όπου η κάλυψη του κινδύνου cyber πιθανόν να παρέχεται από συμβόλαια, τα οποία αρχικά δεν σχεδιάστηκαν για αυτή την κάλυψη.
Αξίζει να τονιστεί ότι ο κίνδυνος cyber δεν γνωρίζει γεωγραφικά όρια, πράγμα που τον κάνει δυνητικά τον πιο επικίνδυνο από άποψη συσσώρευσης. Για τους καταστροφικούς κινδύνους φυσικών φαινομένων, όπως για παράδειγμα οι τυφώνες, η συγκέντρωση κινδύνου είναι περιορισμένη από γεωγραφικές παραμέτρους. Ο κίνδυνος cyber, όμως, δεν έχει γεωγραφικούς περιορισμούς –ολόκληρη η γη είναι μια ζώνη CAT ως προς το cyber. Αυτό επιδεινώνει τους κινδύνους από τον Σιωπηρό Κίνδυνο Κυβερνοχώρου και το καθιστά μείζον θέμα, που απασχολεί ασφαλιστές, αντασφαλιστές, ρυθμιστικές αρχές και οίκους αξιολόγησης.
Τι πρέπει να κάνουν οι Ασφαλιστικές Εταιρείες
Οι Ασφαλιστικές Εταιρείες έχουν αρχίσει να ασχολούνται με το θέμα του silent cyber. Σε ορισμένες χώρες, αυτό έχει ζητηθεί από τις Εθνικές Ρυθμιστικές Αρχές.
Κάποιες Ασφαλιστικές Εταιρείες έχουν κάνει ξεκάθαρη την πρόθεσή τους, με το να ορίσουν τον κίνδυνο του κυβερνοχώρου και κατόπιν να τον εξαιρέσουν από τα non cyber ασφαλιστήρια συμβόλαια. Άλλες Ασφαλιστικές Εταιρείες αρχίζουν να χρησιμοποιούν νέο λεκτικό και νέες οδηγίες ανάληψης.
Για παράδειγμα, στο Ηνωμένο Βασίλειο ήδη η Ρυθμιστική Αρχή (Prudential Regulation Authority) είχε ζητήσει από το 2019 ένα σχέδιο δράσης από τους Ασφαλιστές, ενώ οι Lloyd’s έχουν ζητήσει από τους Ασφαλιστές είτε να εξαιρούν ρητά είτε να καλύπτουν ρητά τον κίνδυνο cyber στα παραδοσιακά ασφαλιστήρια, από τον Ιανουάριο του 2020.
Η σύντομη προθεσμία οδήγησε τους περισσότερους στο να περιλάβουν εξαιρέσεις στα παραδοσιακά συμβόλαια. Όμως, σε αρκετές περιπτώσεις, το λεκτικό είναι ασαφές, έρχεται σε αντίθεση με άλλα σημεία του συμβολαίου και σε κάποιες περιπτώσεις τόσο ευρύ, ώστε καταλήγει να εξαιρεί αιτίες ζημιάς που καλύπτονταν πριν την εξαίρεση, μόνο και μόνο επειδή στην αλυσίδα της αιτίας ζημίας εμπλέκεται η τεχνολογία. Το νέο λεκτικό δεν πρέπει να παραβλέπει το γεγονός ότι η τεχνολογία είναι ενσωματωμένη στις επιχειρηματικές διαδικασίες και λειτουργίες όλων των τομέων δραστηριότητας.
Κατά την προσέγγιση του κινδύνου κυβερνοχώρου, πρέπει να ληφθεί μέριμνα να περιοριστούν τα κενά και οι επικαλύψεις και να μεγιστοποιηθεί το εύρος της κάλυψης. Σε περίπτωση κάλυψης, πρέπει να υιοθετηθεί θετική φρασεολογία, η οποία να παρέχει πλήρη κάλυψη στα παραδοσιακά συμβόλαια, δηλαδή για παράδειγμα, να διασφαλίζεται ότι καλύπτεται υλική ζημιά ανεξάρτητα από την εμπλοκή τεχνολογίας στην αιτία της ζημιάς. Επίσης, πρέπει να ορίζονται οι κακόβουλες και μη κακόβουλες πράξεις και να περιγράφεται η φυσική και μη φυσική ζημιά. Η μη φυσική ζημιά μπορεί να εξαιρείται, εάν καλύπτεται από ασφαλιστήριο συμβόλαιο κυβερνοχώρου.
Η αξιολόγηση κινδύνων που δεν αναγράφονται καταφατικά στα ασφαλιστήρια συμβόλαια περιουσίας, ευθυνών και διαφόρων κινδύνων, όπως για παράδειγμα marine και aviation, είναι ένας διαρκής κύκλος. Νέοι κίνδυνοι προκύπτουν και θα προκύπτουν συνέχεια, όσο η τεχνολογία προχωράει και εξελίσσεται.
Πηγή: «Οδηγός Ασφάλισης Cyber» της Ένωσης Ασφαλιστικών Εταιρειών Ελλάδος
Ακολουθήστε την Ασφαλιστική Αγορά στο Google News