211service.com
Försäkringsbolag kämpar för att sätta ett pris på en cyberkatastrof
Jack Sachs
1992 ödelade orkanen Andrew Floridas södra kust, dödade dussintals människor och orsakade mer än 25 miljarder dollar i skador. Stormen avslöjade också kritiska svagheter i hur fastighetsförsäkringsbolagen kvantifierade den potentiella kostnaden för en sådan naturkatastrof. Många försäkringsbolag tog stora förluster under månaderna som följde på stormen och flera misslyckades .
Idag kämpar försäkringsbolagen för att förstå den ekonomiska omfattningen av en ny sorts potentiell katastrof, denna av människan skapad: en förödande cyberattack. Några av lärdomarna från 1992 gäller, men på andra sätt är det här ett helt annat slags problem att lösa.
Stora försäkringsbolag inklusive AIG och Chubb har erbjudit cyberförsäkringar sedan slutet av 1990-talet, och idag säljer cirka 80 företag dem, de flesta fokuserade på dataintrång. Marknaden för cyberförsäkringar har nyligen börjat växa snabbt eftersom en rad högprofilerade attacker har övertygat toppchefer om att hackare utgör ett allvarligt problem. PricewaterhouseCoopers uppskattningar företag kommer att betala 7,5 miljarder dollar för cyberförsäkring 2020, upp från en beräknad 2,75 miljarder dollar 2015.
Ändå kämpar försäkringsbolag fortfarande för att förstå cyberriskens natur och för att förstå hur de ska strukturera sina policyer på ett sätt som inte gör dem sårbara för katastrofala förluster.
Människor börjar se cybersäkerhet som en affärsrisk istället för ett IT-problem, säger Arvind Parthasarathi, VD för Cyence, ett tre år gammalt företag som hjälper försäkringsbolag att modellera cyberrisker. Det betyder att inse detta inte är ett problem med en tydlig lösning, utan en risk som kan hanteras, men inte elimineras. Nu, säger Parthasarathi, frågar chefer, hur stor risk är jag bekväm med att behålla?
Försäkringsbolag ställer samma fråga när de försöker avgöra hur de ska prissätta nya cybersäkerhetspolicyer. Det moderna cyberhotet är komplext och utvecklas snabbt. Den mest angelägna utmaningen är att kvantifiera risken för att en cyberkatastrof drabbar många försäkringstagare samtidigt, och uppskatta den maximala förlusten i det värsta scenariot. Det är vad försäkringsbolagen misslyckades med innan orkanen Andrew.
En cyberkatastrof jämförbar i skala med orkanen Andrew är svår att modellera delvis eftersom en inte har inträffat ännu. I oktober förra året fick vi en glimt av ett sätt som en sådan katastrof kan utvecklas när hackare använde ett nätverk av beordrade webbkameror, DVR:er och andra Internet of things-enheter för att starta en massiv överbelastningsattack på Dyn, en stor router för internettrafik. Attacken gjorde många framstående webbplatser inklusive Amazon, Netflix och Spotify otillgängliga för miljontals användare i USA i timmar (se 10 Breakthrough Technologies 2017: Botnets of Things ).
Kostnaden för Dyn-attacken är ännu inte klarlagd, men ett nyligen fyra timmar långt avbrott av Amazons molnlagringssystem S3 (som inte var resultatet av en cyberattack) kostade S&P 500-företag minst 150 miljoner dollar, enligt en uppskattning från Cyence. Det är inte svårt att föreställa sig en storskalig attack mot en molntjänst som orsakar miljarder i förluster.
En cyberattack mot traditionell fysisk infrastruktur, som den där tog ut en betydande del av nätet i Kiev, Ukraina, i december, är också ett problem. Vissa har tillskrivit attacken till ryska statligt sponsrade hackare. Försäkringsmarknaden Lloyds i London analyserade nyligen ett hypotetiskt scenario där ett strömavbrott i nordöstra USA lämnar 93 miljoner människor utan ström. Den drog slutsatsen att en sådan händelse kan kosta försäkringsgivare någonstans mellan 21 miljarder och 71 miljarder dollar, vilket illustrerar hur utmanande det är att fastställa kostnaderna för sådana risker.
Utmaningen med att försöka kvantifiera cyberrisken liknar på vissa sätt vad försäkringsbolag stod inför på 1990-talet, eftersom de har mycket liten erfarenhet av denna typ av risk. Det tog 15 år att bygga upp de datamängder som ligger till grund för de komplexa och detaljerade naturkatastrofmodeller som försäkringsgivare förlitar sig på i dag, säger Tom Harvey, produktchef på Risk Management Solutions, som utvecklar katastrofriskmodeller för försäkringsgivare. Även om saker och ting går mycket snabbare för cyber, säger han, är uppgifterna som företag samlar fortfarande ganska inkonsekventa. Det gör det svårt att samla information och studera branschtrender.
Det finns viktiga skillnader mellan att modellera naturkatastrofer och cyberkatastrofer, naturligtvis, med början i det faktum att skickliga människor driver cyberhändelser, inte fysiska lagar. Hackares motivation, taktik, tekniker och mål förändras snabbt för att övervinna nya försvar. Utmaningen är att förstå en aktiv motståndare, säger Cyences Parthasarathi, vars företag bygger på spelteori och beteendeekonomi för att modellera angriparnas beteende.
Att förstå internets geografi är också avgörande för att utvärdera risken för en stor cyberattack. Försäkringsbolag behöver en karta över platserna där värdefull data lagras, inklusive information om hur väl ägarna av dessa tillgångar skyddar dem, säger Stephen Boyer, CTO och medgrundare av BitSight. Boyers företag gör den här typen av kartläggning av tillgångar som lagras på Internet och mäter säkerhetsprestandan hos de organisationer som äger dessa tillgångar.
Försäkringsbolag måste undvika att göra cyberversionen av att täcka alla på Floridas kust före orkanen Andrew, säger Boyer, saker som att erbjuda för många försäkringar till företag som är beroende av samma teknik eller tjänsteleverantör, som Amazon Web Services, som ett exempel. När ett avbrott sker där har alla ett krav, säger han.