Forsikringsselskaber kæmper for at sætte en pris på en cyberkatastrofe

Jack Sachs

I 1992 ødelagde orkanen Andrew Floridas sydkyst og dræbte snesevis af mennesker og forårsagede mere end 25 milliarder dollars i skade. Stormen afslørede også kritiske svagheder i den måde, ejendomsforsikringsselskaber kvantificerede de potentielle omkostninger ved en sådan naturkatastrofe. Mange forsikringsselskaber tog store tab i månederne efter stormen og flere mislykkedes .

I dag kæmper forsikringsselskaberne for at forstå det økonomiske omfang af en ny slags potentiel katastrofe, denne menneskeskabte: et ødelæggende cyberangreb. Nogle af lektioner fra 1992 gælder, men på andre måder er dette en meget anden slags problem at løse.



Store forsikringsselskaber inklusive AIG og Chubb har tilbudt cyberpolicer siden slutningen af ​​1990'erne, og i dag sælger omkring 80 virksomheder dem, de fleste fokuseret på databrud. Markedet for cyberforsikring er for nylig begyndt at vokse hurtigt, da en række højprofilerede angreb har overbevist topledere om, at hackere udgør en alvorlig bekymring. PricewaterhouseCoopers skøn virksomheder vil betale $7,5 milliarder for cyberforsikring i 2020, op fra en anslået 2,75 milliarder dollars i 2015.

Alligevel kæmper forsikringsselskaberne stadig for at forstå karakteren af ​​cyberrisiko og for at forstå, hvordan de strukturerer deres politikker på måder, der ikke efterlader dem sårbare over for katastrofale tab.

Folk begynder at se cybersikkerhed som en forretningsrisiko i stedet for et it-problem, siger Arvind Parthasarathi, administrerende direktør for Cyence, et tre år gammelt firma, der hjælper forsikringsselskaber med at modellere cyberrisici. Det betyder at erkende dette ikke er et problem med en klar løsning, men en risiko, der kan håndteres, men ikke elimineres. Nu, siger Parthasarathi, spørger ledere: Hvor stor risiko er jeg tryg ved at beholde?

Forsikringsselskaber stiller det samme spørgsmål, når de forsøger at bestemme, hvordan de skal prissætte nye cybersikkerhedspolitikker. Den moderne cybertrussel er kompleks og i hastig udvikling. Den mest presserende udfordring er at kvantificere risikoen for, at en cyberkatastrofe rammer mange forsikringstagere på én gang, og estimere det maksimale tab i det værste tilfælde. Det er, hvad forsikringsselskaberne undlod at gøre før orkanen Andrew.

En cyberkatastrofe, der i omfang kan sammenlignes med orkanen Andrew, er til dels svær at modellere, fordi en endnu ikke er sket. Sidste oktober fik vi et glimt af, hvordan sådan en katastrofe kunne udspille sig, når hackere brugte et netværk af overordnede webcams, DVR'er og andre internet-of-ting-enheder til at starte et massivt lammelsesangreb på Dyn, en stor router af internettrafik. Angrebet gjorde mange prominente websteder inklusive Amazon, Netflix og Spotify utilgængelige for millioner af brugere i USA i timevis (se 10 Breakthrough Technologies 2017: Botnets of Things).

Omkostningerne ved Dyn-angrebet er endnu ikke klarlagt, men et nyligt fire timers udfald af Amazons S3 cloud-lagersystem (som ikke var resultatet af et cyberangreb) kostede S&P 500-virksomheder mindst 150 millioner dollars, ifølge et estimat fra Cyence. Det er ikke svært at forestille sig et storstilet angreb på en cloud-tjeneste, der forårsager milliarder i tab.

Et cyberangreb på traditionel fysisk infrastruktur, som den der tog en væsentlig del af nettet ud i Kiev, Ukraine, i december, er også en bekymring. Nogle har tilskrevet angrebet russisk statssponsorerede hackere. Forsikringsmarkedet Lloyd's fra London analyserede for nylig et hypotetisk scenarie, hvor et blackout i det nordøstlige USA efterlader 93 millioner mennesker uden strøm. Den konkluderede, at en begivenhed som den kunne koste forsikringsselskaber et sted mellem 21 milliarder dollars og 71 milliarder dollars, hvilket illustrerer, hvor udfordrende det er at udpege omkostningerne ved sådanne risici.

Udfordringen ved at forsøge at kvantificere cyberrisikoen svarer på nogle måder til, hvad forsikringsselskaber stod over for i 1990'erne, idet de har meget lidt erfaring med denne type risici. Det tog 15 år at bygge de datasæt, der ligger til grund for de komplekse og detaljerede naturkatastrofemodeller, forsikringsselskaber stoler på i dag, siger Tom Harvey, produktchef hos Risk Management Solutions, som udvikler katastrofale risikomodeller for forsikringsselskaber. Selvom tingene går meget hurtigere for cyber, siger han, er de data, som virksomhederne indsamler, stadig ret inkonsekvente. Det gør det vanskeligt at samle information og studere trends i branchen.

Der er vigtige forskelle mellem at modellere naturkatastrofer og cyberkatastrofer, selvfølgelig, startende med det faktum, at dygtige mennesker driver cyberbegivenheder, ikke fysiske love. Hackernes motivationer, taktik, teknikker og mål ændrer sig hurtigt for at overvinde nye forsvar. Udfordringen er at forstå en aktiv modstander, siger Cyences Parthasarathi, hvis virksomhed trækker på spilteori og adfærdsøkonomi til at modellere angribernes adfærd.

At forstå internettets geografi er også afgørende for at vurdere risikoen for et stort cyberangreb. Forsikringsselskaber har brug for et kort over de steder, hvor værdifulde data er gemt, inklusive information om, hvor godt ejerne af disse aktiver beskytter dem, siger Stephen Boyer, CTO og medstifter af BitSight. Boyers virksomhed laver denne form for kortlægning af aktiver, der er gemt på internettet, og måler sikkerhedsydelsen for de organisationer, der ejer disse aktiver.

Forsikringsselskaber skal undgå at gøre cyberversionen af ​​at dække alle på kysten af ​​Florida før orkanen Andrew, siger Boyer, ting som at tilbyde for mange policer til virksomheder, der er afhængige af den samme teknologi eller tjenesteudbyder, som Amazon Web Services, som et eksempel. Når der sker en fejl der, har alle et krav, siger han.

skjule