regulator Banku Anglii, organ nadzoru ostrożnościowego (PRA), po przeprowadzeniu testu warunków skrajnych sektora, zwrócił uwagę na szereg luk i ograniczeń w sposobie, w jaki główni ubezpieczyciele modelują ryzyko cybernetyczne i reagują na nie.
Test warunków skrajnych 17 ubezpieczycieli ogólnych i 21 syndykatów Lloyd’s of London oceniło swoją wypłacalność w odniesieniu do strat wynikających z incydentów cybernetycznych. Uczestnicy dokonali oceny swoich zdolności do zapobiegania, reagowania i reagowania na cyberataki.
„Zauważamy, że cyber jest ewoluującym zagrożeniem, a co za tym idzie zasięg cybernetyczny będzie się nadal rozwijał”- napisała Charlotte Garden, dyrektor wykonawczy nadzoru ubezpieczeniowego w PRA. „To ćwiczenie dostarczyło nam szerokiego zakresu obecnych praktyk na rynku, które będą stanowić podstawę dla przyszłego nadzoru”.
Okazało się, że ubezpieczyciele mieli trudności z ustaleniem prawdopodobieństwa wystąpienia incydentów cybernetycznych – zdefiniowanych na potrzeby testu jako ataki ransomwarewycieki danych i awarie przetwarzania w chmurze – i mieli tendencję do formułowania swoich zasad cybernetycznych zbyt niejednoznacznie.
Ostrzegł, że obecne praktyki mogą prowadzić do „niewłaściwego oszacowania wpływu scenariusza na poszczególnych ubezpieczycieli”.
Badanie wykazało między innymi znaczne zróżnicowanie sposobu, w jaki ubezpieczyciele oceniali ryzyko, co niekoniecznie jest niezwykłe na stosunkowo młodym rynku, ale należy się nim zająć w przyszłości.
Zwrócono również uwagę na rozbieżności w zdolności poszczególnych ubezpieczycieli i syndykatów do zidentyfikowania skutków niepewności umowy, przy czym wiele stron nie było w stanie właściwie ocenić potencjalnego wpływu, gdyby kluczowe wyłączenia – takich jak ataki państw narodowych – Nie trzymać. Ostrzegł przed nieprzetestowanym językiem polityki i niepewnością kontraktową, a zarządy musiały być lepiej świadome tego problemu.
PRA zauważyła ponadto, że odsetek potencjalnych roszczeń zidentyfikowanych jako wynikające z nieafirmatywnej lub cichej ochrony – w przypadku gdy polisy są uruchamiane po incydencie, ale gdzie zagrożenia cybernetyczne nie zostały w nich wyraźnie uwzględnione lub gdy wykluczający język jest niejednoznaczny w tej kwestii – był redukcji, co jest zgodne z wcześniej wydanymi wytycznymi.
Wreszcie, zauważył również, że ogólnie zakłady ubezpieczeń są nadal w znacznym stopniu uzależnione od reasekuracji złagodzić skutki incydentów cybernetycznych na ich książkach.
Garden powiedział, że idąc dalej, PRA będzie pod ręką, aby pomóc firmom ubezpieczeniowym udoskonalić ich praktyki zarządzania i łagodzenia potencjalnych szkód wynikających z incydentów cybernetycznych.
Achi Lewis, wiceprezes regionu EMEA ds Absolutne oprogramowaniepowiedział: „Zwłaszcza w okresach niepewności gospodarczej ważne jest, aby organizacje były świadome swojej cyberodporności, prawdopodobieństwa wystąpienia zagrożeń oraz sposobów zapobiegania atakom i reagowania na nie.
„Ostrożność PRA jest ważna, aby przygotować firmy na wypadek najgorszego scenariusza, w którym poważne ataki cybernetyczne powodują znaczne przestoje, naruszenia bezpieczeństwa danych i koszty finansowe.
„Naprawa po poważnych atakach może okazać się kosztowna i często wymaga tygodni, miesięcy, a nawet lat na pełne dochodzenie, przywrócenie i procedury prawne, wykraczające poza początkowe szkody spowodowane samym atakiem” – powiedział. „Dlatego ważne jest, aby wszystkie organizacje traktowały bezpieczeństwo cybernetyczne jako najwyższy priorytet”.