Las aseguradoras cibernéticas centran su atención en los ataques catastróficos

Si bien los seguros cibernéticos han evolucionado significativamente en los últimos años, las aseguradoras dicen que es posible que aún no estén preparadas para las consecuencias de un ciberataque catastrófico.

Las aseguradoras se han adaptado a los implacables ataques cibernéticos al endurecer los requisitos para los titulares de pólizas y aumentar las primas después de que las pérdidas se dispararan en 2020, en parte debido a un aumento en las reclamaciones de ransomware. El gigante de los reaseguros Swiss Re AG

estima que las primas de las pólizas cibernéticas independientes en los EE. UU. crecieron un 92 % en 2021, impulsadas por los aumentos de tarifas.

Recientes ataques informáticos significativos arrojaron datos valiosos que permitieron a las aseguradoras determinar qué exigir a los asegurados sobre sus defensas mínimas contra los piratas informáticos e informaron a las aseguradoras sobre cómo fijar el precio del riesgo que cubren, dijeron aseguradoras y analistas.

Aún así, el mayor riesgo aún no se ha materializado: un ciberataque contra una empresa o un sistema de servicios de información tan importante para una economía, o para la sociedad en su conjunto, que alcanza niveles sistémicos. Uno tan grande, tal vez, podría derribar portaaviones.

“Creo que es importante que enfaticemos que la industria de seguros no ha tenido un evento catastrófico”, dijo John Coletti, director de reaseguro cibernético de Swiss Re.

Incidentes importantes como el virus NotPetya en 2017, ataques contra proveedores de infraestructura crítica, incluido Colonial Pipeline Co. en 2021, y vulnerabilidades en software de uso común como Microsoft Cuerpo

Los productos de intercambio han dado la voz de alarma y han puesto a prueba los límites de cobertura, dijo Coletti. Pero ninguno ha hecho metástasis en una amenaza existencial.

Las aseguradoras modelan tales ataques por su potencial contagio. Un ataque contra un gran proveedor de logística, por ejemplo, puede tener un impacto significativo pero limitado, como interrupciones del sistema que interrumpen algunas cadenas de suministro o detienen temporalmente los servicios a los clientes. Eso sucedió durante un ataque cibernético al proveedor de servicios administrados Kaseya Ltd. en 2021 que dejó a cientos de clientes sufriendo interrupciones o infectados por ransomware.

Sin embargo, un ataque a una parte clave de las tuberías del sistema financiero, o contra un importante proveedor de la nube que impulsa a los operadores de infraestructura crítica, podría desencadenar reclamos financieramente devastadores.

Tales escenarios preocupan a las aseguradoras y, como resultado, algunas están comenzando a limitar la cobertura.

“Los estamos viendo ir tan lejos como para nombrar proveedores de nube específicos y afirmar que no cubrirán completamente un evento si hay una interrupción parcial o total de los servicios de ese proveedor de nube”, dijo John Farley, director general. de la práctica de responsabilidad cibernética en el negocio de corretaje de seguros estadounidense de Arthur J. Gallagher & Co.

En agosto, el mercado global de seguros Lloyd’s of London Ltd. ordenó a sus sindicatos que adoptaran un lenguaje de políticas que excluyera los ataques cibernéticos catastróficos por parte de los estados-nación. Patrick Tiernan, jefe de mercados de Lloyd’s, dijo que las restricciones de cobertura son naturales en clases de seguros relativamente inmaduras como la cibernética, a medida que la industria desarrolla una comprensión de sus riesgos.

Por el contrario, las formas más antiguas de seguro, como el envío, tienen opciones más amplias porque las aseguradoras tienen una experiencia significativa con los problemas potenciales y el tamaño de las reclamaciones que pueden esperar.

“Tenemos cientos de años de historia de comprensión de ese riesgo”, dijo Tiernan.

Parte del desafío para modelar catástrofes cibernéticas es que los datos históricos simplemente no existen para producir modelos precisos, dijo Tiernan. Eso obliga a Lloyd’s ya las aseguradoras a estimar los daños recurriendo a métodos más simples, como sumar los límites de las pólizas que entrarían en juego en un escenario específico.

El uso de modelos simples puede generar problemas. Por ejemplo, las aseguradoras podrían verse obligadas a mantener capital en reserva para los peores escenarios, o podrían cubrir solo riesgos cibernéticos muy específicos, lo que requeriría que las empresas contraten múltiples pólizas costosas.

Aunque la mayoría de los principales operadores están comenzando a abordar escenarios cibernéticos catastróficos (Lloyd’s, por ejemplo, consideró una interrupción en un importante proveedor de nube, dijo Tiernan), los modelos de riesgo que emplean difieren y no existe un estándar de la industria para usar como punto de referencia. .

La variación se extiende incluso a aspectos básicos como si las aseguradoras están examinando eventos ultra raros, como los que pueden ocurrir cada 500 años, o eventos más regulares, dijo el Sr. Coletti de Swiss Re.

“Estos modelos son realmente importantes y tienen mucho peso en lo que respecta a la cantidad de capital que las empresas están dispuestas a desplegar”, dijo. “Probablemente debamos prestar un poco más de atención a las suposiciones que los sustentan”.

Escriba a James Rundle a [email protected]

Copyright ©2022 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

Fuente: WSJ