Ubezpieczenie cybernetyczne

Cyberubezpieczenie to specjalistyczny produkt ubezpieczeniowy mający na celu ochronę przedsiębiorstw przed zagrożeniami związanymi z Internetem , a bardziej ogólnie przed zagrożeniami związanymi z infrastrukturą i działalnością informatyczną . Ryzyka tego rodzaju są zwykle wyłączone z tradycyjnych komercyjnych polis odpowiedzialności cywilnej lub przynajmniej nie są szczegółowo zdefiniowane w tradycyjnych produktach ubezpieczeniowych. Ochrona zapewniana przez polisy ubezpieczenia cybernetycznego może obejmować ubezpieczenie pierwszej strony od strat, takich jak zniszczenie danych, wymuszenie, kradzież, włamanie i ataki typu „odmowa usługi” ; ubezpieczenie od odpowiedzialności cywilnej chroniące firmy przed stratami poniesionymi przez inne osoby, spowodowanymi na przykład błędami i pominięciami, niezabezpieczeniem danych lub zniesławieniem; oraz inne korzyści, w tym regularne audyty bezpieczeństwa , public relations po incydencie i wydatki na dochodzenia oraz fundusze na nagrody karne.

Zalety

Ponieważ rynek cyberubezpieczeń w wielu krajach jest stosunkowo niewielki w porównaniu z innymi produktami ubezpieczeniowymi, jego ogólny wpływ na pojawiające się cyberzagrożenia jest trudny do oszacowania. Ponieważ wpływ cyberzagrożeń na ludzi i firmy jest również stosunkowo szeroki w porównaniu z zakresem ochrony zapewnianej przez produkty ubezpieczeniowe, firmy ubezpieczeniowe stale rozwijają swoje usługi. Według ankiety 46% wszystkich naruszeń ma wpływ na firmy zatrudniające mniej niż 1000 pracowników. W takim przypadku konieczne mogą być silne środki bezpieczeństwa i ubezpieczenie od odpowiedzialności cywilnej.

W miarę jak ubezpieczyciele wypłacają odszkodowania za straty cybernetyczne, a cyberzagrożenia rozwijają się i zmieniają, produkty ubezpieczeniowe są coraz częściej kupowane wraz z istniejącymi usługami bezpieczeństwa IT. Rzeczywiście, kryteria ubezpieczeniowe dla ubezpieczycieli w zakresie oferowania produktów cyberubezpieczeń są również na wczesnym etapie rozwoju, a ubezpieczyciele aktywnie współpracują z firmami zajmującymi się bezpieczeństwem IT w celu opracowania swoich produktów.

Oprócz bezpośredniej poprawy bezpieczeństwa, cyberubezpieczenie jest niezwykle korzystne w przypadku naruszenia bezpieczeństwa na dużą skalę. Ubezpieczenia zapewniają płynny mechanizm finansowania odzyskiwania po poważnych stratach, pomagając firmom w powrocie do normalności i zmniejszając potrzebę pomocy rządowej.

Dodatkową korzyścią może być to, że polisy cyberubezpieczeń wymagają od podmiotów starających się o polisy cyberubezpieczeń udziału w audycie bezpieczeństwa IT, zanim ubezpieczyciel zwiąże polisę. Pomoże to firmom określić ich aktualne słabości i pozwoli ubezpieczycielowi ocenić ryzyko, które podejmują, oferując polisę podmiotowi. Po ukończeniu audytu bezpieczeństwa IT podmiot nabywający polisę będzie w niektórych przypadkach zobowiązany do wprowadzenia niezbędnych ulepszeń w swoich lukach w zabezpieczeniach IT, zanim będzie można uzyskać polisę cyberubezpieczenia. To z kolei pomoże zmniejszyć ryzyko cyberprzestępczości wobec firmy zamawiającej cyberubezpieczenie.

Wreszcie, ubezpieczenie pozwala na sprawiedliwą dystrybucję ryzyka związanego z bezpieczeństwem cybernetycznym, przy czym koszt składek jest współmierny do wielkości oczekiwanej straty z tytułu takiego ryzyka. Pozwala to uniknąć potencjalnie niebezpiecznych koncentracji ryzyka, a jednocześnie zapobiega jeździe na gapę.

Niedogodności

Technologia informacyjna jest nieodłącznym aspektem praktycznie wszystkich nowoczesnych firm, wymóg oddzielnego produktu istnieje tylko dzięki celowemu badaniu zakresu, który wykluczył kradzież i szkody związane z nowoczesnymi technologiami z istniejących linii produktów.

Bruce Schneier postulował, że istniejące praktyki ubezpieczeniowe mają tendencję do podążania za modelem „powodzi lub pożaru”, jednak zdarzenia cybernetyczne nie wydają się być modelowane przez żaden z tych typów zdarzeń, co doprowadziło do sytuacji, w której zakres ubezpieczenia cybernetycznego jest dalej ograniczone do zmniejszenia ryzyka ubezpieczycieli. Do tego dochodzi niedostatek danych dotyczących rzeczywistych szkód skorelowanych z rodzajem zdarzenia, brak standardów związanych z klasyfikacją zdarzeń oraz brak dowodów związanych ze skutecznością „najlepszych praktyk branżowych”.

Ubezpieczenia opierają się na solidnych danych aktuarialnych na w dużej mierze statycznym tle ryzyka. Biorąc pod uwagę, że obecnie takie nie istnieją, jest mało prawdopodobne, aby nabywcy tych produktów osiągnęli pożądaną wartość. Ten pogląd na rynek znajduje odzwierciedlenie w obecnym stanie rynku, na którym standardowe wyłączenia skutkują sytuacją, w której „ubezpieczyciel mógłby argumentować, że mają one zastosowanie do prawie każdego naruszenia danych”.

Według Josephine Wolff ubezpieczenie cybernetyczne było „nieskuteczne w ograniczaniu strat związanych z cyberbezpieczeństwem, ponieważ normalizuje płacenie okupów online, podczas gdy cel cyberbezpieczeństwa jest odwrotny - zniechęcanie do takich płatności, aby oprogramowanie ransomware było mniej opłacalne”.

Historia

Wczesne prace z lat 90. koncentrowały się na ogólnych zaletach cyberubezpieczeń. Pod koniec lat 90., kiedy perspektywa biznesowa bezpieczeństwa informacji stała się bardziej widoczna, sformułowano wizje cyberubezpieczeń jako narzędzia zarządzania ryzykiem . Chociaż jego korzenie w latach 80. wyglądały obiecująco, rynek ubezpieczeń cybernetycznych, zniszczony przez wydarzenia takie jak rok 2000 i ataki z 11 września , nie rozwijał się i pozostawał w niszy dla nietypowych wymagań. Zasięg jest ściśle ograniczony, a wśród klientów są małe i średnie firmy, które potrzebują ubezpieczenia, aby zakwalifikować się do przetargów, lub banki społecznościowe, które są zbyt małe, aby zabezpieczyć się przed ryzykiem związanym z operacjami bankowości internetowej .

Jeśli nie pierwsza, to przynajmniej jedna z pierwszych polis odpowiedzialności za cyberprzestępczość, jak je teraz nazywamy, została opracowana dla rynku Lloyd's of London w 2000 r. Polisa została zainicjowana przez Keitha Danielsa i Roba Hamesfahra, wówczas prawników w firmie prawniczej z Chicago w stanie Illinois. firmy Blatt, Hammesfahr & Eaton. Ściśle współpracując z Ianem Hackerem, wówczas ubezpieczycielem Lloyd's, oraz Tedem Doolittle i Kinseyem Carpenterem, a następnie brokerami z Kinsey Carpenter, brokerem ubezpieczeniowym z San Francisco w Kalifornii, polisa zapewniała ochronę osób trzecich wraz z ochroną przed przerwami w działalności. W tamtych wczesnych latach uważano, że duże ryzyko dla firmy wiązałoby się z niedbałym przekazaniem wirusa, który mógłby zainfekować systemy innych firm, które następnie wniosłyby pozew przeciwko oryginalnej firmie, a także przerwały działalność. Polisa była również jedną z pierwszych, która obejmowała ubezpieczenia pierwszej i trzeciej strony w tej samej formie. Chociaż takie błędy i przeoczenia prawdopodobnie się zdarzały, pozwy przeciwko organizacjom na tej podstawie okazały się rzadkie. Formularze, które rozwinęły się od 2000 r., koncentrowały się na przerwach w działalności gospodarczej, płatnościach grzywien i kar, kosztach monitorowania kredytu, kosztach public relations oraz kosztach przywracania lub odbudowy danych prywatnych, a dziś nadal się rozwijają i ewoluują. Ponadto polisy dotyczące błędów i zaniedbań technologicznych są obecnie sprzedawane organizacjom, takim jak programiści i instalatorzy technologii, którzy mogą zostać pozwani, jeśli ich porady lub produkt nie będą satysfakcjonujące dla ich klientów. Inni pierwsi uczestnicy rynku cybernetycznego to American International Group (AIG) i Chubb. Obecnie na rynku cybernetycznym konkuruje ponad 80 firm.

Nawet konserwatywna prognoza z 2002 r., która przewidywała, że ​​światowy rynek ubezpieczeń cybernetycznych będzie wart 2,5 miliarda dolarów w 2005 r., okazała się pięciokrotnie wyższa niż wielkość rynku z 2008 r. Ogólnie rzecz biorąc, rynek ubezpieczeń cybernetycznych skurczył się w ujęciu względnym wraz z rozwojem gospodarki internetowej.

W praktyce kilka przeszkód uniemożliwiło osiągnięcie przez rynek ubezpieczeń cybernetycznych dojrzałości; brak wiarygodnych danych aktuarialnych do obliczania składek ubezpieczeniowych, brak świadomości wśród decydentów przyczyniający się do zbyt małego popytu, a także przeszkody prawne i proceduralne zostały zidentyfikowane w pierwszej generacji” literatury cyberubezpieczeniowej do około 2005 roku. może powodować frustrację podczas dochodzenia odszkodowania za szkody.Ponadto podmioty rozważające cyberubezpieczenie muszą przejść szereg często inwazyjnych procedur oceny bezpieczeństwa, ujawniając swoją infrastrukturę IT i politykę.Tymczasem będąc świadkiem tysięcy luk w zabezpieczeniach, milionów ataków i znacznej poprawy w definiowaniu standardy bezpieczeństwa i informatyka śledcza podają w wątpliwość ważność tych czynników, aby przyczynowo wyjaśnić brak rynku ubezpieczeniowego. [ Konieczna weryfikacja ]

typy

  • Bezpieczeństwo sieci — ubezpieczenie od strat wynikających z incydentu cybernetycznego lub hakerskiego.
  • Kradzież i oszustwo . Obejmuje utratę środków pieniężnych (lub podobnego instrumentu pieniężnego) wynikającą z kradzieży takich aktywów przez złośliwą osobę(-y), której oszukańcza działalność, przede wszystkim nieautoryzowany dostęp do systemów posiadacza polisy, umożliwia takiemu podmiotowi uzyskanie takich aktywów w drodze oszukańczego transferu.
  • Dochodzenie kryminalistyczne . Obejmuje usługi prawne, techniczne lub kryminalistyczne niezbędne do oceny, czy doszło do cyberataku, oceny skutków ataku i powstrzymania ataku.
  • Przerwa w działalności . Obejmuje utracone dochody i powiązane koszty w przypadku, gdy ubezpieczający nie jest w stanie prowadzić działalności z powodu zdarzenia cybernetycznego lub utraty danych.
  • Wymuszenie . Zapewnia pokrycie kosztów związanych z badaniem zagrożeń popełnienia cyberataków na systemy ubezpieczających oraz płatności na rzecz szantażystów grożących uzyskaniem i ujawnieniem informacji wrażliwych.
  • Ubezpieczenie reputacji : Ubezpieczenie od ataków na reputację i cyberzniesławienie.
  • Utrata i przywracanie danych komputerowych . Obejmuje fizyczne uszkodzenie lub utratę możliwości korzystania z aktywów związanych z komputerem, w tym koszty odzyskania i przywrócenia danych, sprzętu, oprogramowania lub innych informacji zniszczonych lub uszkodzonych w wyniku cyberataku.
  • Przywracanie danych . Obejmuje wydatki związane z przywracaniem lub odtwarzaniem danych, które zostały utracone z powodu awarii bezpieczeństwa lub systemu.

Bieżąca potrzeba

Infrastruktura, użytkownicy i usługi oferowane w sieciach komputerowych są obecnie narażone na różnorodne zagrożenia stwarzane przez zagrożenia, które obejmują rozproszone ataki typu „odmowa usługi” , różnego rodzaju włamania , podsłuchiwanie, hakowanie , phishing , robaki , wirusy , spam itp. Aby przeciwdziałać zagrożeniom stwarzanym przez te zagrożenia, użytkownicy sieci tradycyjnie uciekają się do oprogramowania antywirusowego i antyspamowego , zapór sieciowych , systemów wykrywania włamań (IDS) i innych dodatków w celu zmniejszenia prawdopodobieństwa narażenia na ataki groźby. W praktyce duża branża (firmy takie jak Symantec, McAfee itp.) oraz znaczne wysiłki badawcze koncentrują się obecnie na opracowywaniu i wdrażaniu narzędzi i technik wykrywania zagrożeń i anomalii w celu ochrony infrastruktury cybernetycznej i jej użytkowników przed wynikającymi z nich negatywny wpływ anomalii.

Pomimo ulepszeń technik ochrony przed ryzykiem w ciągu ostatniej dekady dzięki sprzętowi, oprogramowaniu i metodom kryptograficznym osiągnięcie idealnej/prawie idealnej ochrony cyberbezpieczeństwa jest niemożliwe. Niemożność wynika z kilku powodów:

  • Rzadkie istnienie solidnych rozwiązań technicznych.
  • Trudność w zaprojektowaniu rozwiązań odpowiadała różnym intencjom ataków sieciowych.
  • Niewłaściwe zachęty między użytkownikami sieci, dostawcami produktów zabezpieczających i organami regulacyjnymi w zakresie ochrony sieci.
  • Użytkownicy sieci korzystający z pozytywnych efektów bezpieczeństwa generowanych przez inwestycje innych użytkowników w bezpieczeństwo, z kolei sami nie inwestują w bezpieczeństwo i powodują problem „pasażerstwa”.
  • Unieruchomienie klienta i efekt pierwszego gracza w przypadku wrażliwych produktów zabezpieczających.
  • Trudności w mierzeniu ryzyka skutkujące wyzwaniami przy projektowaniu odpowiednich rozwiązań usuwania ryzyka.
  • Problem rynku cytryn, na którym sprzedawcy zabezpieczeń nie mają motywacji do wypuszczania na rynek solidnych produktów.
  • Gry o odpowiedzialności, w które grają sprzedawcy produktów.
  • Naiwność użytkowników w optymalnym wykorzystaniu zalet rozwiązań technicznych.

Biorąc pod uwagę wyżej wymienione nieuchronne bariery na drodze do niemal 100% ograniczenia ryzyka, pojawia się zapotrzebowanie na alternatywne metody zarządzania ryzykiem w cyberprzestrzeni. Aby podkreślić znaczenie poprawy obecnego stanu bezpieczeństwa cybernetycznego, prezydent USA Barack Obama wydał w lutym 2013 r. zarządzenie wykonawcze dotyczące bezpieczeństwa cybernetycznego, w którym podkreślono potrzebę ograniczenia cyberzagrożeń i uodpornienia się na nie. W związku z tym niektórzy badacze bezpieczeństwa w niedawnej przeszłości zidentyfikowali cyberubezpieczenia jako potencjalne narzędzie skutecznego zarządzania ryzykiem.

Cyberubezpieczenie to technika zarządzania ryzykiem, za pomocą której ryzyko użytkownika sieci jest przenoszone na firmę ubezpieczeniową w zamian za opłatę, tj. składkę ubezpieczeniową. Przykładami potencjalnych cyberubezpieczycieli mogą być dostawcy usług internetowych, dostawcy usług w chmurze, tradycyjne organizacje ubezpieczeniowe. Zwolennicy cyberubezpieczeń uważają, że cyberubezpieczenia prowadziłyby do projektowania umów ubezpieczeniowych, które przerzucałyby na klientów odpowiednie kwoty odpowiedzialności z tytułu samoobrony, czyniąc w ten sposób cyberprzestrzeń bardziej niezawodną. W tym przypadku termin „samoobrona” oznacza wysiłki podejmowane przez użytkownika sieci w celu zabezpieczenia jego systemu za pomocą rozwiązań technicznych, takich jak oprogramowanie antywirusowe i antyspamowe, zapory ogniowe, korzystanie z bezpiecznych systemów operacyjnych itp. Cyberubezpieczenie może również być rozwiązaniem rynkowym, które może być zgodne z zachętami ekonomicznymi cyberubezpieczycieli, użytkowników (osób fizycznych/organizacji), decydentów i dostawców oprogramowania zabezpieczającego. tzn. cyberubezpieczyciele będą zarabiać na odpowiednio ustalanych składkach, użytkownicy sieci będą dążyć do zabezpieczenia się przed potencjalnymi stratami poprzez wspólne kupowanie ubezpieczeń i inwestowanie w mechanizmy samoobrony, decydenci zapewnią wzrost ogólnego bezpieczeństwa sieci, a dostawcy oprogramowania zabezpieczającego będą mogli doświadczają wzrostu sprzedaży swoich produktów poprzez tworzenie aliansów z cyberubezpieczycielami.

Kluczowym obszarem zarządzania ryzykiem jest ustalenie, jakie ryzyko jest akceptowalne dla każdej organizacji lub jakie jest „rozsądne bezpieczeństwo” dla ich konkretnego środowiska pracy. Praktykowanie „ obowiązku staranności ” pomaga chronić wszystkie zainteresowane strony – kadrę kierowniczą, organy regulacyjne, sędziów, społeczeństwo, na które może mieć wpływ to ryzyko. Norma dotycząca analizy ryzyka w zakresie należytej staranności (DoCRA) zawiera praktyki i zasady, które pomagają zrównoważyć zgodność, bezpieczeństwo i cele biznesowe podczas opracowywania kontroli bezpieczeństwa.

Ustawodawstwo

W 2022 r. stany Kentucky i Maryland przyjęły przepisy dotyczące bezpieczeństwa danych ubezpieczeniowych na podstawie ustawy National Association of Insurance Commissioners („NAIC”) dotyczącej modeli bezpieczeństwa danych ubezpieczeniowych (MDL-668). Ustawa SB 207 stanu Maryland wchodzi w życie 1 października 2023 r. Ustawa Kentucky's House Bill 474 wchodzi w życie 1 stycznia 2023 r.

Istniejące problemy

W związku z tym w 2005 r. pojawiła się „druga generacja” literatury na temat cyberubezpieczeń, której celem było zarządzanie ryzykiem w obecnych sieciach cybernetycznych. Autorzy takiej literatury łączą nieprawidłowości w funkcjonowaniu rynku z podstawowymi właściwościami technologii informacyjnej, szczególnie skorelowanymi asymetriami informacji o ryzyku między ubezpieczycielami a ubezpieczycielami i współzależności.

Asymetria informacji ma istotny negatywny wpływ na większość środowisk ubezpieczeniowych, w których typowymi przesłankami są niemożność rozróżnienia typów użytkowników (wysokiego i niskiego ryzyka), czyli tzw. prawdopodobieństwa wystąpienia szkody po zawarciu umowy ubezpieczenia, czyli tzw. problem pokusy nadużycia. Wyzwanie związane ze współzależnością i skorelowanym charakterem zagrożeń cybernetycznych dotyczy szczególnie cyberubezpieczeń i odróżnia tradycyjne scenariusze ubezpieczeniowe (np. ubezpieczenie samochodu lub ubezpieczenia zdrowotnego) od tych pierwszych. W dużym systemie rozproszonym, takim jak Internet, zagrożenia obejmują duży zestaw węzłów i są skorelowane. Zatem inwestycje użytkowników w zabezpieczenia w celu przeciwdziałania zagrożeniom generują pozytywne efekty zewnętrzne dla innych użytkowników w sieci. Celem cyberubezpieczenia jest tutaj umożliwienie poszczególnym użytkownikom internalizacji efektów zewnętrznych w sieci, tak aby każdy użytkownik optymalnie zainwestował w rozwiązania bezpieczeństwa, zmniejszając w ten sposób pokusę nadużycia i poprawiając bezpieczeństwo sieci. W tradycyjnych scenariuszach ubezpieczeniowych rozpiętość ryzyka jest dość mała (czasami obejmuje tylko jeden lub dwa podmioty) i nieskorelowana, a więc internalizacja efektów zewnętrznych generowanych przez inwestycje użytkownika w bezpieczeństwo jest znacznie łatwiejsza.

Niejasności pod względem

FM Global w 2019 roku przeprowadziło badanie dyrektorów finansowych w firmach o obrotach powyżej 1 miliarda dolarów. Badanie wykazało, że 71% dyrektorów finansowych uważa, że ​​ich ubezpieczyciel pokryje „większość lub całość” strat, jakie poniosłaby ich firma w wyniku ataku cybernetycznego lub przestępstwa. Niemniej jednak wielu z tych dyrektorów finansowych zgłosiło, że spodziewa się szkód związanych z cyberatakami, które nie są objęte typowymi zasadami dotyczącymi cyberataków. Konkretnie, 50% dyrektorów finansowych wspomniało, że spodziewa się po cyberataku dewaluacji marki swojej firmy, podczas gdy ponad 30% spodziewa się spadku przychodów.

Klauzule wykluczające wojnę

Podobnie jak inne polisy ubezpieczeniowe, ubezpieczenie cybernetyczne zazwyczaj zawiera klauzulę o wyłączeniu wojny – wyraźnie wykluczającą szkody spowodowane działaniami wojennymi. Podczas gdy większość roszczeń z tytułu ubezpieczenia cybernetycznego będzie dotyczyć prostych zachowań przestępczych, firmy coraz częściej padają ofiarą cyberwojny ataków ze strony państw narodowych lub organizacji terrorystycznych – niezależnie od tego, czy są one specjalnie ukierunkowane, czy po prostu szkodą uboczną. Po Stanach Zjednoczonych i Wielkiej Brytanii rządy scharakteryzowały NotPetya jako rosyjski cyberatak wojskowy, ubezpieczyciele argumentują, że nie obejmują takich zdarzeń.

Dlaczego rynki cyberubezpieczeń i cyberreasekuracji nie są wystarczająco popularne pod względem komercyjnym?

Powszechnie wiadomo z praktyki rynkowej, że rynki cyberubezpieczeń nie rozkwitły pod względem napływu składek, jak na swój wizjonerski potencjał. Istnieje duża, wielomiliardowa luka podażowo-popytowa, wskazująca na niewydolność rynku w sensie ekonomicznym. Podczas gdy badania polityczne i prawne miały solidny wpływ na to, dlaczego tak jest, to dziedzina badań nad modelowaniem matematycznym formalnie ustaliła fakt, dlaczego tak jest.

Przykłady przełomowych prac modelarskich badających efektywność ekonomiczną niekumulującego się cyberryzyka obejmującego rynki ubezpieczeń cybernetycznych obejmują (i) Lelarge i Bolot, (ii) Pal i in., (iii) Pal i in., (iv) Pal i in. ., (v) Johnson i in., oraz (vi) Shetty i in. Prace te najpierw pokazują zachowania użytkowników Internetu (głównie użytkowników i organizacji) na gapę bez obecności cyberubezpieczeń, a następnie badają, w jaki sposób ubezpieczenia mogą ograniczyć jazdę na gapę w sieci organizacji.

Prace Lelarge'a i Bolota; oraz Shetty i in. przedstawienie korzyści płynących z cyberubezpieczeń w zachęcaniu użytkowników Internetu do odpowiedniego inwestowania w bezpieczeństwo. Jednak ich prace dotyczą ograniczonych typów rynków, które uwzględniają jedynie niezależne szczątkowe zagrożenia cybernetyczne pochodzące z różnych źródeł użytkowników docierające do cyberubezpieczycieli. Lelarge i in. nie modelują asymetrii informacji w swojej pracy. Chociaż Shetty i in. udowodnienia, że ​​rynki cyberubezpieczeń są nieefektywne w warunkach asymetrii informacji, ich wyniki na ogół nie obejmują sytuacji, w których ubezpieczone organizacje są ze sobą połączone w sieć. Johnson i in. omawiają rolę wspólnego istnienia samoubezpieczeń i ubezpieczeń rynkowych na przyjmowanie różnych rodzajów ubezpieczeń przez użytkowników, ale nie modelują sieci współzależnych organizacji. W najnowszej pracy Pal i wsp. w serii wspólnych artykułów dowodzą nieefektywności rynków cyberubezpieczeń w warunkach częściowej asymetrii informacji i skorelowanych ryzyk oraz wykazują istnienie efektywnych rynków (zarówno regulowanych, jak i nieuregulowanych) w warunkach dyskryminacji składek.

Ostatnie prace nad matematycznym modelowaniem cyberryzyka w celu zbadania stabilności rynkowej pokrycia zagregowanego cyberryzyka przez cyber(re-)ubezpieczycieli zostały podjęte jedynie przez Pal i in. . Oparta na serii rygorystycznych analiz modelowania w wymiarach ekonomii i statystyki. dowodzą, że tylko w przypadku agregacji przypadkowych i niezależnych cyberryzyk (praktycznie mniej prawdopodobne zdarzenie) wydajne rynki cyberubezpieczeń będą zrównoważone. We wszystkich innych przypadkach rynki cyber(reasekuracji) będą istnieć, ale będą w dużej mierze nieefektywne z objawami takimi jak zastrzyk niskich składek, rynek cytryn, duża luka podaży i popytu oraz niewielka liczba reasekuratorów. Asymetria informacji między ubezpieczonym a ubezpieczycielem oraz skorelowany charakter zagrożeń cybernetycznych to główne przyczyny takiej nieefektywności rynku.

Cunningham, Pfleeger, Pal, Liu i in. oraz Liu i in. obliczeniowo argumentują przeciwko istnieniu zrównoważonych cyberrynków (reasekuracji) w warunkach asymetrii informacyjnej. Wspólny wniosek płynący z ich badań jest taki, że systemy oparte na technologiach informatycznych mają zbyt wiele luk w zabezpieczeniach, aby komputery mogły je wykryć (eliminując w ten sposób asymetrię informacji) w praktycznie możliwym czasie – zostawmy ludzi w spokoju. Podczas gdy Cunningham logicznie argumentuje, że ten problem to Turing Undecidable, Pal i in. oraz Liu i in. , jako pierwsi formalnie udowodnili, że problem jest NP-trudny i wyprowadzili rozwiązanie przybliżone, aby złagodzić problem asymetrii informacji. Wyniki uzasadniają, dlaczego rynki cyber(re)asekuracji były tak rzadkie w ciągu ostatniej dekady.


Dostępność

Od 2014 r. 90% wolumenu składek na ubezpieczenia cybernetyczne pokrywało ekspozycję w Stanach Zjednoczonych. Chociaż co najmniej 50 firm ubezpieczeniowych oferuje produkty z zakresu cyberubezpieczeń, faktyczne pisanie jest skoncentrowane w grupie pięciu ubezpieczycieli. Wiele firm ubezpieczeniowych wahało się przed wejściem na ten rynek ubezpieczeń, ponieważ nie ma wiarygodnych danych aktuarialnych dotyczących cybernarażenia. Utrudnieniem w opracowywaniu tych danych aktuarialnych jest niewystarczające ujawnianie cyberataków przez osoby, których one dotyczą. Jednak po poważnym incydencie ze złośliwym oprogramowaniem w 2017 r. Reckitt Benckiser opublikował informacje o tym, jak bardzo cyberatak wpłynie na wyniki finansowe, co skłoniło niektórych analityków do przekonania, że ​​firmy mają tendencję do większej przejrzystości danych z incydentów cybernetycznych.

Oczekuje się, że składki na ubezpieczenia cybernetyczne wzrosną z około 2 miliardów dolarów w 2015 r. do około 20 miliardów dolarów lub więcej do 2025 r., ubezpieczyciele i reasekuratorzy nadal udoskonalają wymagania ubezpieczeniowe. Niedojrzałość rynku i brak standaryzacji to dwa powody, dla których dzisiejsze cyberprodukty sprawiają, że jest to interesujące miejsce w świecie ubezpieczeń. Nie tylko masz rynek ubezpieczeń, który stara się osiągnąć standard i zaspokoić potrzeby dzisiejszych ubezpieczonych, ale jednocześnie dysponujesz szybko rozwijającym się obszarem ekspozycji i dostępnymi możliwościami.

cennik

Od 2019 r. Średni koszt ubezpieczenia od odpowiedzialności cywilnej za cyberprzestępczość w Stanach Zjednoczonych oszacowano na 1501 USD rocznie za 1 milion USD ubezpieczenia od odpowiedzialności cywilnej, z odliczeniem w wysokości 10 000 USD. Średnia roczna składka za limit odpowiedzialności za cyberprzestępczość w wysokości 500 000 USD z odliczeniem w wysokości 5 000 USD wyniosła 1146 USD, a średnia roczna składka za limit odpowiedzialności za cyberprzestępczość w wysokości 250 000 USD z odliczeniem w wysokości 2500 USD wyniosła 739 USD. Oprócz lokalizacji głównymi czynnikami wpływającymi na koszty ubezpieczenia cybernetycznego są rodzaj działalności, liczba przeprowadzonych transakcji kartą kredytową/debetową oraz przechowywanie poufnych danych osobowych, takich jak data urodzenia i numer ubezpieczenia społecznego.

Pobrane z „ https://en.wikipedia.org/w/index.php?title=Cyber_insurance&oldid=1140008975