Verzekeraars worstelen om een ​​prijs te plakken op een cybercatastrofe

Jack Sachs





In 1992 verwoestte orkaan Andrew de zuidkust van Florida, waarbij tientallen mensen omkwamen en meer dan $ 25 miljard aan schade werd aangericht. De storm legde ook kritieke zwakheden bloot in de manier waarop vastgoedverzekeraars de potentiële kosten van een dergelijke natuurramp kwantificeren. Veel verzekeringsmaatschappijen hebben grote verliezen geleden in de maanden die volgden op de storm en meerdere mislukt .

Tegenwoordig worstelen verzekeraars met het begrijpen van de economische omvang van een nieuw soort potentiële catastrofe, deze ene door de mens veroorzaakte: een verwoestende cyberaanval. Sommige lessen van 1992 zijn van toepassing, maar in andere opzichten is dit een heel ander soort probleem om op te lossen.

Grote verzekeraars, waaronder AIG en Chubb, bieden sinds het einde van de jaren negentig cyberpolissen aan, en tegenwoordig verkopen ongeveer 80 bedrijven ze, vooral gericht op datalekken. De markt voor cyberverzekeringen is onlangs snel begonnen te groeien, aangezien een reeks spraakmakende aanvallen topmanagers ervan heeft overtuigd dat hackers een ernstig probleem vormen. PricewaterhouseCoopers schattingen bedrijven betalen in 2020 $ 7,5 miljard voor cyberverzekeringen, vergeleken met een geschatte $ 2,75 miljard in 2015.



Toch hebben verzekeraars nog steeds moeite om de aard van cyberrisico's te begrijpen en om te begrijpen hoe ze hun polissen zo kunnen structureren dat ze niet kwetsbaar worden voor catastrofale verliezen.

Mensen beginnen cybersecurity te zien als een bedrijfsrisico in plaats van een IT-probleem, zegt Arvind Parthasarathi, CEO van Cyence, een drie jaar oud bedrijf dat verzekeraars helpt bij het modelleren van cyberrisico's. Dat betekent dat erkennen dat dit geen probleem is met een duidelijke oplossing, maar een risico dat kan worden beheerd, maar niet geëlimineerd. Nu, zegt Parthasarathi, vragen leidinggevenden zich af: hoeveel risico wil ik lopen?

Verzekeraars stellen dezelfde vraag als ze proberen te bepalen hoe nieuwe cyberbeveiligingspolissen moeten worden geprijsd. De moderne cyberdreiging is complex en evolueert snel. De meest urgente uitdaging is het kwantificeren van het risico van een cyberramp die veel polishouders tegelijk treft, waarbij het maximale verlies wordt geschat in het slechtste geval. Dat is wat verzekeraars niet deden vóór orkaan Andrew.



Een cyberramp die qua schaal vergelijkbaar is met orkaan Andrew is moeilijk te modelleren, deels omdat er nog geen is gebeurd. Afgelopen oktober kregen we een glimp van een manier waarop een dergelijke ramp zich zou kunnen ontvouwen wanneer hackers een netwerk van gevorderd webcams, DVR's en andere Internet of Things-apparaten gebruikten om een ​​massale denial-of-service-aanval te lanceren op Dyn, een belangrijke router van internetverkeer. Door de aanval waren veel prominente websites, waaronder Amazon, Netflix en Spotify, urenlang niet beschikbaar voor miljoenen gebruikers in de Verenigde Staten (zie 10 Breakthrough Technologies 2017: Botnets of Things).

De kosten van de Dyn-aanval zijn nog niet duidelijk, maar een recente vier uur durende storing van Amazon's S3-cloudopslagsysteem (die niet het gevolg was van een cyberaanval) kostte S&P 500-bedrijven minstens $ 150 miljoen, volgens een schatting van Cyence. Het is niet moeilijk voor te stellen dat een grootschalige aanval op een clouddienst miljarden aan verliezen veroorzaakt.

Een cyberaanval op traditionele fysieke infrastructuur, zoals degene die nam een ​​aanzienlijk deel van het netwerk weg in Kiev, Oekraïne, in december, is ook een punt van zorg. Sommigen hebben de aanval toegeschreven aan door de Russische staat gesteunde hackers. De verzekeringsmarkt Lloyd's of London analyseerde onlangs een hypothetisch scenario waarin een stroomstoring in het noordoosten van de VS 93 miljoen mensen zonder stroom laat. Het concludeerde dat een dergelijke gebeurtenis verzekeraars tussen de $ 21 miljard en $ 71 miljard zou kunnen kosten, wat illustreert hoe uitdagend het is om de kosten van dergelijke risico's te bepalen.

De uitdaging om het cyberrisico te kwantificeren is in sommige opzichten vergelijkbaar met waarmee verzekeraars in de jaren negentig werden geconfronteerd, in die zin dat ze heel weinig ervaring hebben met dit soort risico's. Het duurde 15 jaar om de datasets te bouwen die ten grondslag liggen aan de complexe en gedetailleerde modellen voor natuurrampen waar verzekeraars tegenwoordig op vertrouwen, zegt Tom Harvey, productmanager bij Risk Management Solutions, dat catastrofale risicomodellen voor verzekeraars ontwikkelt. Hoewel het voor cyber veel sneller gaat, zegt hij, zijn de gegevens die bedrijven verzamelen nog steeds nogal inconsistent. Dat maakt het moeilijk om informatie te verzamelen en trends in de sector te bestuderen.

Er zijn belangrijke verschillen tussen het modelleren van natuurrampen en cybercatastrofes, natuurlijk, te beginnen met het feit dat bekwame mensen cybergebeurtenissen sturen, niet fysieke wetten. De motivaties, tactieken, technieken en doelen van hackers veranderen snel om nieuwe verdedigingen te overwinnen. De uitdaging is om een ​​actieve tegenstander te begrijpen, zegt Parthasarathi van Cyence, wiens bedrijf gebruik maakt van speltheorie en gedragseconomie om het gedrag van aanvallers te modelleren.

Het begrijpen van de geografie van internet is ook cruciaal voor het evalueren van het risico van een grote cyberaanval. Verzekeraars hebben een kaart nodig van de locaties waar waardevolle gegevens zijn opgeslagen, inclusief informatie over hoe goed de eigenaren van die activa ze beschermen, zegt Stephen Boyer, CTO en medeoprichter van BitSight. Het bedrijf van Boyer brengt dit soort activa in kaart die op internet zijn opgeslagen en meet de beveiligingsprestaties van de organisaties die eigenaar zijn van die activa.

Verzekeraars moeten de cyberversie vermijden om iedereen aan de kust van Florida te dekken vóór orkaan Andrew, zegt Boyer, zoals het aanbieden van te veel polissen aan bedrijven die afhankelijk zijn van dezelfde technologie of serviceprovider, zoals Amazon Web Services, bijvoorbeeld. Als daar een storing optreedt, heeft iedereen een claim, zegt hij.

zich verstoppen