Cyberförsäkringsbolag letar efter nya riskbedömningsmodeller

Cyberförsäkringsbolag letar efter nya riskbedömningsmodeller

Bild: Adobe Stock

Det ständigt ökande antalet ransomware-attacker har skapat ett problem för dem i cyberförsäkringsbranschen. Med premierna som skjuter i höjden, täckningen är begränsad och försäkringsbolagen kämpar för att tjäna intäkter på grund av kostnaderna och det växande antalet skadefall, måste något ge. På grund av dessa faktorer söker organisationer efter nya metoder för riskbedömning för att bättre utvärdera marknaden för cyberförsäkring, enligt Panaseers “2022 Cyber ​​Insurance Market Trends Report”.

Fyrahundra globala försäkringsbolag undersöktes som en del av rapporten, för att upptäcka vilka problem marknaden står inför och potentiella lösningar för att uppnå en sund cyberförsäkringsmarknad.

“Cybersäkerhetsförsäkring är ett effektivt sätt för organisationer att överföra sin cyberrisk och att försöka mildra effekterna av hot och sårbarheter”, säger James Graham, marknadschef på cybersäkerhetsföretaget RiskLens. “Kärnövningen i att bedöma cyberrisk för försäkringsändamål fortsätter alltså att kvantifiera sannolikheten och den ekonomiska effekten av cyberhot.”

SER: Säkerhetspolicy för mobila enheter (TechRepublic Premium)

Problem med den nuvarande cyberförsäkringsmodellen

Måste läsa säkerhetstäckning

Med många källor som hänvisar till en ökning av ransomware-attacker från år till år, finns det flera problem med hur cyberförsäkring fungerar. Organisationer inom försäkringsbranschen kämpar för att korrekt bedöma riskerna kring sina kunder och har vanligtvis begränsad tillgång till sina kunders data.

Några av anledningarna till att premierna har vuxit under åren var specifikt:

  • Ökad sofistikering av cyberhotsaktörer
  • Ökande kostnader för ransomware-attacker (t.ex. högre lösensummor)
  • Oförmåga att korrekt förstå en kunds säkerhetsställning

På grund av dessa faktorer fortsätter priset på täckningen att skjuta i höjden. Enligt undersökningen förväntar sig 82 % att cyberförsäkringspremierna fortsätter att stiga under de kommande två åren. Bara under 2020 upplevde 66,9 % av de 20 bästa försäkringsbolagen förlustkvoter, där antalet attacker bara ökade som en av biverkningarna av covid-19-pandemin. De områden som lämnade in flest cyberanspråk var inom tillverkning, finansiella tjänster och hälsovård, vilket signalerade ett snabbt behov av förändring för att stödja dessa tre kritiska infrastrukturkomponenter.

De goda nyheterna, trots de monetära förlusterna som de främsta cyberförsäkringsleverantörerna lidit, är att de i branschen tror att de befintliga riskmodellerna är sunda. Nästan alla svarande i undersökningen (91 %) sa att de har tilltro till sin emissionsprocess, men förändringar är fortfarande nödvändiga för att vara vettiga ur ett finansiellt perspektiv.

Lösningar för cyberförsäkringsproblem

En potentiell lösning för branschen som helhet som föreslås i rapporten var att förändra sättet att mäta säkerhetsställningen under emissionsprocessen. Enligt Panaseers resultat anser 87 % att det är viktigt för branschen att utveckla ett konsekvent tillvägagångssätt för att analysera en kunds cyberrisk med hjälp av korrekta säkerhetsmått och -åtgärder.

Ett annat potentiellt svar är att ge försäkringsgivare större tillgång till sina kunders information. En majoritet (89 %) av de tillfrågade företagen sa att de tror att det skulle vara värdefullt att ha direkt tillgång till kundmått och åtgärder som bevisar statusen för deras säkerhetskontroller.

Graham föreslår att företag bör använda RiskLens Factor Analysis of Information Risk-modell (FAIR) i större utsträckning för att ge större klarhet i kostnaderna för cyberförsäkring. Genom denna modell skulle organisationer se företagets cyberrisk i sin helhet och utmana och försvara cyberriskbeslut med hjälp av en avancerad riskmodell.

“FAIR-modellen för kvantifiering av cyberrisk har utformats för att ge insyn i kostnaderna för cyberrisk, information som bör vara kärnan i alla försäkringsbedömningar eller köp,” sa Graham. “Faktum är att organisationer över hela världen redan använder FAIR för att bedöma sin cyberrisk i praktiska termer och fattar säkerhetsbeslut – inklusive försäkringsskydd – baserat på de affärsvillkor som levereras genom FAIR-bedömningar.”