;

Nedostatak podataka o kibernetičkim rizicima – glavna prepreka razvoju tržišta cyber osiguranja

Datum objave: 30.12.2019. Broj 4 | Godina 2019

Iako se ponekad tvrdi da će standardiziranje polica osiguranja potaknuti ponudu i potražnju za osiguranjem, u ovom segmentu to trenutno ne bi uspjelo. Tržište cyber osiguranja kontinuirano se razvija kako bi zadovoljio promjenjivi krajolik rizika i zahtjeva potrošača. Standardizacija bi neizbježno brzo postala zastarjela i ne bi pružila odgovarajuće smjernice za tvrtke. Standardizacija u ovoj fazi negativno bi utjecala i na osiguranike i osiguratelje jer osiguranici koji su prisiljeni na kupnju standardiziranih proizvoda imaju veću vjerojatnost da će kupiti pokriće koje nije prilagođeno njihovim potrebama dok je osigurateljima potrebna fleksibilnost da prilagode police prema rizicima svojih klijenata. Standardizacija se stoga treba odvijati organski kako se tržište razvija

Kada je Europska komisija objavila izvješće u kojem ocjenjuje kako su države članice EU identificirale javne i privatne organizacije za provedbu mjera kibernetičke sigurnosti i prijavile velike IT incidente, naglasila je da su europska pravila za kibernetičku sigurnost ključna za obranu europskih gospodarstava i građana od kibernetičkih prijetnji diljem EU. Identificiranje ključnih pružatelja usluga u državama članicama znači da su važne infrastrukture poput bolnica i prometnih sustava bolje zaštićene i zaštićene od prekograničnih kibernetičkih prijetnji, osiguravajući na taj način nesmetano funkcioniranje unutarnjeg tržišta i svakodnevnog života svih građana. Izvješće ocjenjuje jesu li metodologije za identificiranje osnovnih operatora usluga dosljedne u svim državama članicama i daje preporuke kako ih bolje uskladiti kako bi se osiguralo da su svi kritični subjekti iz različitih sektora i imaju visoku razinu otpornosti. Bio je to prvi korak u ocjeni Komisije o primjeni Direktive o sigurnosti mrežnih i informacijskih sustava (NIS Direktiva), koja ima za cilj podići razinu kibernetičke sigurnosti u ključnim segmentima. EU je odobrila Zakon o kibernetičkoj sigurnosti, koji jača mandat Agencije za kibernetičku sigurnost EU-a i uspostavlja regulatorni okvir EU-a za certificiranje kibernetičke sigurnosti. Komisija je također predložila Uredbu o Europskoj mreži i centru kibernetičke sigurnosti koja će ulagati u poboljšane i inovativne sposobnosti i rješenja za kibernetičku sigurnost u EU te dovesti do bolje koordinacije ulaganja u kibernetsku sigurnost na razini EU i u državama članicama. NIS Direktiva o mrežnoj i informacijskoj sigurnosti, koja je usvojena 2016. godine, prvi je dio zakonodavstva o kibernetičkoj sigurnosti na razini cijele EU, a pruža zakonske mjere koje povećavaju ukupnu razinu kibernetičke sigurnosti. NIS Direktiva također obvezuje kompanije koje su u njenom djelokrugu – posebno operatore osnovnih usluga i davatelje digitalnih usluga – da obavijeste nadležna tijela o ozbiljnim cyber incidentima. Još važnije, ove tvrtke moraju provoditi odgovarajuće mjere kibernetičke sigurnosti. GDPR Opća uredba o zaštiti podataka, koja je stupila na snagu u svibnju 2018. godine i srž je europskog zakonodavstva o privatnosti digitalnih podataka, obvezuje kompanije da se pridržavaju strogih pravila koja se odnose na privatne podatke koje obrađuju. Također zahtijeva od poduzeća da obavijeste svoje nacionalno tijelo za zaštitu podataka o (osobnim) kršenjima podataka. Nepridržavanje GDPR-a može rezultirati novčanim kaznama u iznosu od 20 milijuna eura ili četiri posto godišnjeg prometa, ovisno o tome što je veće. Zakon o kibernetičkoj sigurnosti, usvojen u prosincu 2018., Europskoj je agenciji za kibernetičku sigurnost (ENISA) dao trajni mandat i ojačao njenu ulogu, a njime je uspostavljen EU okvir za certificiranje kibernetičke sigurnosti. Pod predsjedavanjem Junckera Europskom komisijom, cyber sigurnost je prvi put postala prioritet EU-a, što je dovelo do važnog napretka.

Cyber rizici sve konkretniji

Gdje su tu osiguratelji? “Insurers’ role in EU cyber resilience”, naziv je nove publikacije Insurance Europe koja govori o ulozi osiguratelja u odgovoru na kibernetičke izazove. Publikacija krovne europske udruge osiguratelja, govori o tome da oslanjanje na digitalne tehnologije raste; ono otvara vrata inovacijama, učinkovitosti i pogodnostima za građane i tvrtke. Ipak te pogodnosti dolaze s cijenom; povećavaju ranjivost na cyber-napade i izloženost rizicima privatnosti. Prema izvješću Svjetskog ekonomskog foruma iz 2019. godine o “Globalnom izvještaju o rizicima”, ispitanici su svrstali cyber rizike visoko među pitanja koja ih se najviše tiču. Konkretno, oko dvije trećine ispitanika očekivalo je da će se rizici povezani s lažnim vijestima i krađom identiteta povećati u 2019., dok je tri petine isto govorilo o gubitku privatnosti. Dok je EU u posljednje vrijeme postigla ogroman napredak u pogledu o jačanju cyber otpornosti Europe, predstoji nam još dug put. Tvrtke i građani sve su svjesniji rizika kojem su izloženi, ali trude se tu svijest pretočiti u konkretne mjere zaštite, a tu osiguranje može pomoći.

Industrija osiguranja ima ključnu ulogu u pružanju pomoći EU-u u naporima za povećanje cyber otpornosti i konkurentnosti. Osiguratelji, naime, mogu jamčiti kontinuitet poslovanja pomažući tvrtkama da se brzo oporave od cyber napada. Osiguratelji također mogu povećati svijest građana i tvrtki o cyber rizicima kojima su izloženi i pružiti im djelotvornu zaštitu te savjetovati europske i nacionalne tvorce politika o cyber rizicima o tome kako ih se može ublažiti ali i bolje upravljati njima. Osiguranje je oduvijek igralo važnu ulogu u upravljanju rizikom poduzeća jer djeluje kao mehanizam za prijenos rizika i pruža tvrtkama naknadu za gubitke koji se ne mogu u potpunosti spriječiti. U slučaju cyber rizika, osiguratelji pomažu i osiguranicima u suočavanju s nekim nematerijalnim aspektima napada pomažući u sprečavanju cyber napada i ublažavanja učinaka uspješnih napada. Cyber ​​​​osiguranje može pokrivati ​​​​razne posljedice cyber rizika, poput krađe identiteta, kršenja podataka ili zlonamjernog softvera koji mogu utjecati na tvrtke. Konkretno, ono može pružiti pokriće šteta na digitalnoj imovini, prekida poslovanja i troškova reakcije na nezgode, kao i pokriće treće strane, poput privatnosti i povjerljivosti. Osim toga, neke police cyber osiguranja jamče nositeljima osiguranja element usluge koji im pomaže u procjeni njihove potencijalne izloženosti i također pruža tehničku, pravnu i pomoć u odnosima s javnošću u slučaju incidenta. Cjelokupna ponuda pomaže poboljšati cyber otpornost osiguranika i ublažavanje radnji u slučaju da se incident dogodi.

Ukupna ponuda uvelike varira ovisno o potrebama kupaca, vrsti cyber rizika kojima su izloženi i njihovoj razini digitalizacije, kao i njihovoj veličini i vrsti usluga koje pružaju. Pokriće se može prodati kao samostalni proizvod za cyber osiguranje ili kao dio osiguravajućeg proizvoda u tradicionalnoj poslovnoj liniji. Pod tradicionalnim proizvodima pokriće se može ponuditi direktno ili indirektno. Ono što je, pritom nužno je dobra komunikacija između osiguratelja i osiguranika.

Regulativa u EU

Prema većini procjena, Europa čini manje od deset posto globalnog tržišta cyber osiguranja. Međutim, teško je biti precizan, jer se većina podataka odnosi samo na samostalne proizvode cyber osiguranja ili se usredotočuje isključivo na veće tvrtke, gdje je prodor osiguranja veći. Zapravo, tržište cyber osiguranja u EU trenutno najviše ovisi o potražnji velikih tvrtki i, u manjoj mjeri, malih i srednjih poduzeća. Iako tržište cyber osiguranja u osobnim linijama raste, ono je trenutno u većini zemalja članica EU-a vrlo ograničeno. Ipak, jasno je da postoji još nekoliko prepreka koje treba prevladati prije nego što cyber osiguranje postane glavni proizvod. Jedan od njih je činjenica da je cyber rizike teško kvantificirati i procijeniti. Posebno je izazovna procjena mogućih gubitaka koji proizlaze iz cyber incidenata, koji mogu biti vrlo složeni. Razlog tome su brojni čimbenici poput neizvjesnosti potencijalnih budućih gubitaka i povećanja učestalosti i ozbiljnosti napada.

Dostupnih podataka o cyber incidentima i štetama je malo. Osiguratelji tradicionalno modeliraju štete koristeći aktuarske i povijesne podatke. Međutim, što se tiče cyber rizika, povijesni podaci su oskudni, a aktuarski podaci praktički ne postoje. Sve su veći nematerijalni gubici, primjerice, tvrtka koja je napadnuta i pretrpjela kršenje osobnih podataka može se suočiti sa štetom reputacije koju je vrlo teško kvantificirati.

No, činjenica je da i oni osiguratelji koji su odlučili ne ponuditi pokriće za cyber rizike, ipak prilagođavaju svoj postojeći portfelj i poslovne linije za “tihe” ili nenamjerne izloženosti. Oni koji se ipak odluče za pokrivanje cyber rizika, u međuvremenu prikupljaju ekspertizu o osiguranju rizika i podatke potrebne za preciznije određivanje cijena, te uzimaju u obzir i te nove rizike.

Unatoč izazovima, cyber osiguranje ima ogroman potencijal pomoći Europi da poveća svoju cyber otpornost. Kreatori politika u EU mogu podržati ulogu koju osiguratelji mogu igrati na različite načine; od podizanje svijesti, što je ključno za povećanje cyber otpornosti, preko podrške javno-privatnoj suradnji na katastrofalnim rizicima, pozivanja država članica da djeluju na povećanju kibernetičke sigurnosti do podrške u naporima na omogućavanju dostupnosti podataka o cyber incidentima. S druge strane, mjere poput uvođenja obveznog osiguranja od cyber rizika ocijenjene su kontraproduktivnima.

Tvrtkama svih veličina prijete cyber napadi

Kada je riječ o promicanju svijesti, vrijedi istaknuti da je to, kao i kod mnogih drugih pitanja ključno za povećanje kibernetičke otpornosti. Tvrtkama svih veličina prijete cyber napadi, a mnogi ili još nisu svjesni ili se još uvijek suočavaju s načinom ublažavanja izloženosti riziku. Tvrtke također trebaju razumjeti da pitanja cyber-sigurnosti nisu samo domena IT stručnjaka u tvrtki. Umjesto toga, o kibernetičkoj sigurnosti trebalo bi razgovarati na razini uprave kako bi se osiguralo da su svi dijelovi tvrtke svjesni mjera koje je potrebno provesti.

Činjenica je da se jednostavno više mora učiniti na europskoj i nacionalnoj razini kako bi se pomoglo tvrtkama i pojedincima da razumiju i rješavaju cyber rizike. Ovaj korak je ključan prije nego što kompanije odluče hoće li integrirati osiguranje u svoju cjelokupnu strategiju upravljanja rizikom. Podizanje svijesti o ulozi osiguranja u suočavanju s kibernetičkim rizicima od presudnog je značaja i za smanjenje nedostataka u zaštiti. To je slučaj i za druge rizike poput prirodnih katastrofa, gdje osiguranje postaje sve važnije u zaštiti građana i tvrtki od porasta vremenskih nepogoda. Osiguratelji i kreatori politika trebali bi zajedno raditi na ubrzavanju razvoja kulture cyber rizika među građanima, tvrtkama i javnim tijelima te stvaranju digitalnog sigurnosnog okvira za mikro poduzeća i mala i srednja poduzeća. Udruge osiguranja već poduzimaju korake na nacionalnim razinama kako bi podigli tu svijest.

Kada je riječ o podršci javno-privatnoj suradnji na katastrofalnim rizicima treba napomenuti da kada bi se zaista željeli adekvatno suočiti sa cyber rizicima i povećati cyber otpornost, javna tijela i privatni sektor trebali bi zajedno raditi na razvoju rješenja za velike i složene rizike. Otvoren dijalog je potreban za procjenu načina na koji industrija može pomoći vlastima u postizanju veće cyber sigurnosti u svim sektorima i kako javna tijela i osiguratelji mogu surađivati ​​​​u slučaju katastrofalnih šteta. Oblici suradnje mogu uključivati simuliranje cyber napada i provođenje naučenih lekcija, početak diskusije o cyber scenarijima velikih razmjera, upravljanje velikim ili akumuliranim izloženostima riziku. Određeni rizici mogu biti preveliki da bi ih industrija osiguranja sama pokrila i mogu zahtijevati rješenja koja uključuju državu, poput državnih ‘poolova’ za rizik. Pritom su Insurance Europe i njene članice spremne surađivati ​​​​s donositeljima politika o svim tim pitanjima i pružiti svoju jedinstvenu stručnost tamo gdje je to potrebno.

Dakle, države imaju ključnu ulogu u povećanju cyber sigurnosti Europe. S obzirom na to da cyber ​​​​rizici ne poštuju granice, države članice bi trebale koordinirati razmjenu obavještajnih podataka i napore na podizanju spremnosti s drugim državama, surađivati na utvrđivanju izvora cyber napada jer će se time poboljšati pripremljenost i prevencija, zatražiti reviziju zakonskih okvira kako bi se osiguralo da se cyber zločini mogu procesuirati i da kazne djeluju kao odvraćajući faktor, usmjeriti javna i privatna ulaganja za razvoj europske izvrsnosti u cyber tehnologiji, razvijati certifikate kojima će se potvrditi kibernetička sigurnost proizvoda i usluga. Upravo kibernetička sigurnost proizvoda ključni je preduvjet za sprečavanje gubitaka povezanih s cyber napadima. Nadalje, tu je i podrška naporima na omogućavanju dostupnosti podataka o cyber incidentima jer nedostatak dostupnih podataka o cyber rizicima jedna je od glavnih prepreka razvoju tržišta cyber osiguranja. Podaci o nacionalnoj i europskoj razini kibernetičke sigurnosti trenutno se prikupljaju kao rezultat zahtjeva iz nekoliko zakona koji obvezuju kompanije na prijavljivanje cyber incidenata, što će pomoći i industriji osiguranja da poveća svoje znanje o cyber rizicima. Insurance Europe, u tom kontekstu, želi s kreatorima politike razgovarati o načinima na koji bi sektor osiguranja mogao anonimno pristupiti podacima relevantnim za svrhe osiguranja. Vjeruju da bi Agencija Europske unije za kibernetičku sigurnost (ENISA) bila prava platforma EU-a za pokretanje takvih rasprava.

Standardiziranje polica osiguranja

Iako se ponekad tvrdi da će standardiziranje polica osiguranja potaknuti ponudu i potražnju za osiguranjem, u ovom segmentu to trenutno ne bi uspjelo. Tržište cyber osiguranja kontinuirano se razvija kako bi zadovoljio promjenjivi krajolik rizika i zahtjeva potrošača. Standardizacija bi neizbježno brzo postala zastarjela i ne bi pružila odgovarajuće smjernice za tvrtke. Standardizacija u ovoj fazi negativno bi utjecala i na osiguranike i osiguratelje jer osiguranici koji su prisiljeni na kupnju standardiziranih proizvoda imaju veću vjerojatnost da će kupiti pokriće koje nije prilagođeno njihovim potrebama dok je osigurateljima potrebna fleksibilnost da prilagode police prema rizicima svojih klijenata. Standardizacija se stoga treba odvijati organski kako se tržište razvija.

Zašto smo rekli da bi uvesti obvezno osiguranje od cyber rizika bilo kontraproduktivno? Često se misli da su sheme obveznog osiguranja najbolji način da se osigura dostupnost ili preuzimanje osiguranja, međutim, obvezno osiguranje općenito nije primjereno za nove rizike. Općenito, odabir bi li kupovinu osiguranja trebao je odluka koju će pojedinci donositi na temelju njihovog rizika. Dakako da postoje iznimne okolnosti u kojima je osiguranje zakonski propisano tako da treće strane uvijek imaju pristup naknadi, a takvo je osiguranje motornih rizika. No takvi programi obveznog osiguranja djeluju samo ako su ispunjeni određeni uvjeti, a ako nisu, neprimjerene odredbe mogu učiniti više štete nego koristi. U slučaju cyber rizika, gdje je tržište osiguranja još uvijek u vrlo ranoj fazi, ovi uvjeti još nisu ispunjeni.

Stope prodora cyber osiguranja u Europi trenutno su vrlo niske. Njihovo povećanje na 100 posto zahtijevalo bi povećanje kapaciteta (re)osiguratelja koje ne bi bilo moguće, čak i ako bi se obveza provodila tijekom niza godina. To posebno vrijedi za neke države članice u kojima je broj osiguratelja koji nude cyber zaštitu trenutno vrlo nizak. Trebat će postojati dovoljno kapaciteta za reosiguranje kako bi se rizici mogli dovoljno raširiti, osobito veliki i dugoročni. Iako kapacitet reosiguranja raste u skladu s primarnim tržištem osiguranja, podliježe istim preprekama i stoga se i dalje treba razvijati. Uz to, cyber rizici su vrlo različiti i proizlaze iz upotrebe milijuna digitalnih uređaja širom svijeta. Velike su i razlike u pokrivenosti u određenim sektorima u kojima osiguratelji nemaju dovoljno stručnosti, a samim tim i malo volje za pružanje pokrića. Drugim riječima, trenutno nema dovoljno podataka da osiguratelji procjene očekivanu učestalost i razine zahtjeva za široku paletu rizika, a upravo podaci su presudni za osiguratelje kako bi kreirali cijene polica.

Priredila: Nataša Gajski Kovačić

Natrag