A indústria de seguros cibernéticos está amadurecendo. Nos seus primeiros dias, simplesmente aceitou o risco cibernético com poucas perguntas. Perdeu dinheiro. As seguradoras estão fazendo mais perguntas e aumentando os prêmios, exclusões e recusas.
Isto criou um fosso entre seguradoras e segurados – um fosso entre os desejos de seguros e a realidade do seguro, e um fosso entre os pedidos de apólices e a entrega de apólices. Um inquérito a mais de 300 organizações dos EUA, realizado pelo Censuswide para a Delinea, procura compreender a natureza e o efeito desta lacuna no ciberseguro e como pode ser colmatada.
O pano de fundo é o forte apoio e desejo de seguro cibernético por parte do conselho. Os empresários compreendem a natureza do seguro, a natureza da transferência de risco e a capacidade do seguro para atenuar perdas catastróficas. Os conselhos por vezes exigem que as suas organizações adquiram seguro cibernético, por vezes são contratualmente obrigados a ter seguro cibernético e estão amplamente dispostos a financiá-lo.
Dito isto, o apoio orçamental do conselho caiu 13%, de 94% para 81%, desde o ano passado. Isto pode dever-se, em parte, à actual incerteza económica, mas também pode dever-se ao aumento das exigências da indústria de ciberseguros.
Sessenta e sete por cento dos entrevistados relataram que os custos do seu seguro cibernético aumentaram entre 50% e 100% em 2023.
Complexidade da aquisição: as seguradoras exigem agora que sejam implementados controlos de segurança específicos antes de fornecerem cobertura. Se não estiverem instalados, eles deverão ser adquiridos. Muitos deles giram em torno do gerenciamento de acesso, incluindo IAM, PAM, MFA e gerenciamento de senhas. Cinquenta e cinco por cento dos entrevistados disseram que eram obrigados a usar uma solução aprovada pela seguradora, enquanto algumas seguradoras têm seus próprios dispositivos que desejam instalar no ambiente de TI de uma empresa.
Complexidade das exclusões: a experiência está fazendo com que as seguradoras aumentem o número e a complexidade das situações que não cobrirão. A mais conhecida é a cláusula de exclusão de guerra destacada pelo incidente NotPetya/Merck – mas outras incluem a falta de protocolos de segurança em vigor, maus actores internos, certos erros humanos, falha no cumprimento dos procedimentos de conformidade, actos de terrorismo e falha na comunicação atempada aos a companhia de seguros. Todos estes têm o potencial de anular qualquer cobertura.
Deixar de relatar primeiro um incidente à seguradora é interessante, pois pode entrar em conflito com alguns requisitos de conformidade. “Tive discussões com muitas seguradoras sobre como isso pode ser aplicado”, disse Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea. Semana de Segurança. “O que eles estão dizendo é que se você incorrer em custos antes de notificar a seguradora sobre um sinistro, então os custos incorridos antes disso podem não ser cobertos por um sinistro.”
A recusa de uma reclamação baseada em exclusões dentro de uma apólice provavelmente levará a processos judiciais da mesma forma que a Merck lutou contra a cláusula de exclusão de guerra usada para negar a sua reclamação NotPetya. No final, o tribunal é sempre o árbitro final.
O aumento do custo e da complexidade das apólices de seguro tem um efeito indireto no tempo necessário para aprovar a apólice. Quarenta e cinco por cento dos entrevistados esperam que levará entre um e três meses para obter ou renovar uma apólice (abaixo dos 60%) do ano passado; 30% esperam que demore entre quatro e seis meses (o mesmo que no ano passado); enquanto 7% esperam que demore mais de seis meses (contra 0,46% no ano passado).
“Durante o ano passado, tornou-se evidente que as seguradoras cibernéticas estão aprendendo com os seus dados e agora estão amadurecendo. Nos primórdios do seguro cibernético, eles estavam apenas tentando atender a uma enorme demanda, mas agora percebem que devem reduzir sua própria exposição a circunstâncias evitáveis e incontroláveis”, diz Carson.
“Nossa pesquisa (PDF) os resultados revelam que a maioria das organizações não está abordando o seguro cibernético com a mesma diligência – elas estão simplesmente procurando obter cobertura. O que eles não estão verificando é se a apólice que tinham no ano passado é a que precisam agora ou se a apólice mudou na renovação. Esta ‘lacuna de seguro cibernético’ pode colocar muitas organizações em uma situação difícil quando ocorre um incidente de segurança cibernética, e elas desejam utilizar esta rede de segurança financeira.”
A mensagem geral desta pesquisa é que o seguro cibernético não é mais algo que pode ser simplesmente acrescentado à segurança cibernética. Se uma organização decidir incluir o seguro cibernético na sua postura total de gestão de riscos cibernéticos, esse seguro cibernético deverá ser totalmente integrado à postura de segurança cibernética da organização. Isto envolverá uma compreensão detalhada da aceitação de riscos (franquias) e a prevenção de qualquer coisa que possa levar a recusas de sinistros com base em exclusões de letras miúdas. Acima de tudo, será necessária uma parceria entre os segurados e as seguradoras – mas uma parceria em que a seguradora seja o parceiro principal.