داده های خسارتی در دنیا به اشتراک گذاشته شد / صنعت بیمه ایران هنوز در اندر خم یک کوچه

به گزارش اقتصادناب  امروز با توسعه فعالیت‌های سایبری و تکنولوژیکی در سراسر جهان امنیت سایبری نیز در زمره اهداف مهم شرکت‌ها قرار گرفته است. کما اینکه با توسعه تکنولوژی امضای دیجیتال، اشخاص حقیقی و به ویژه حقوقی باید امنیت کافی در زمینه استفاده از امضای دیجیتال را حس کنند تا بتوانند با خیال راحت از این ابزار استفاده کنند. امضای الکترونیک تنها یکی از کابردهای تکنولوژی است که حملات سایبری آن را تهدید می‌کند. مهاجرت شرکت‌ها به فضای ابری یکی دیگر از زمینه‌های بزرگی است که امنیت سایبری اهمیت بالایی در آن دارد. در این بخش مروری بر بازار بیمه‌های سایبری و ملاحظات اصلی مربوط به مدیریت ریسک و مقررات ارائه‌شده و در پایان به بحث در مورد دسترسی به بازار و موانع بالقوه ورود به بازار پرداخته خواهد شد.

نگاهی به بازار

ادبیات رشته

حملات سایبری می‌تواند بر خود شرکت، تأمین‌کنندگان زیرساخت (مانند خدمات ابری و سیستم‌های پرداخت) و افرادی که داده‌ها، هویت و حریم خصوصی آنها ممکن است در اثر نقض حریم داده‌ها تحت تأثیر قرار گیرد، تأثیر بگذارد. Cyber Lexicon که به عنوان بخش‌نامه‌ای از هیئت ثبات مالی در نوامبر ۲۰۱۸ منتشر شد، تعاریف زیر را ارائه می‌دهد:

خطر سایبری: عبارت است از ترکیبی از احتمال وقوع حوادث سایبری و تأثیر آنها.

حادثه سایبری: رویدادی سایبری است که در آن: ۱) امنیت سایبری یک سیستم اطلاعاتی یا اطلاعاتی را که آن سیستم پردازش، ذخیره یا انتقال می‌دهد، به خطر می‌اندازد. ۲) سیاست‌های امنیتی، رویه‌های امنیتی یا خط مشی‌های قابل قبول استفاده از اطلاعات را نقض می‌کند، چه در نتیجه سوء فعالیت باشد یا نباشد.

انعطاف‌پذیری سایبری: به توانایی یک سازمان برای ادامه کار خود در پیش‌بینی و انطباق با آسیب‌های سایبری و سایر تغییرات مربوطه در محیط و با تحمل، مهار و بهبود سریع حوادث سایبری اشاره دارد.

بیمه سایبری: یک محصول بیمه است که در درجه اول برای انتقال ریسک ایجاد شده است؛ اما به محصولی تبدیل شده است که به بیمه‌شدگان نیز کمک می‌کند تا تأثیر خطر سایبری خود را کاهش دهند.

انواع محصولات بیمه سایبری

از آنجا که بیمه سایبری یک ریسک نسبتاً جدید است، ممکن است از طریق یکی از دو روش زیر تحت پوشش قرار گیرد: بیمه سایبری تصدیقی یا بیمه سایبری غیر تصدیقی (یا «خاموش»).

بیمه سایبری تصدیقی محصولی است که صریحاً خطرات سایبری را پوشش می‌دهد. پوشش در یک بیمه‌نامه مستقل (فقط شامل ریسک سایبری) است یا به صورت یک بسته ارائه می‌شود (هم ریسک سایبری و هم انواع دیگر پوشش اموال و خسارات را پوشش می‌دهد). برخی از بیمه‌ها خدمات جانبی مرتبط سایبری (به عنوان مثال ارزیابی مدیریت ریسک و اقدامات امنیتی و توصیه برنامه‌های پیشگیری) را در ترکیب با محصولات سایبری که متناسب با نیازهای خریدار است، ارائه می‌دهند.

در مقابل، بیمه سایبری غیر تصدیقی به محصولی گفته می‌شود که در آن ریسک سایبری تحت پوشش قرار گرفته باشد؛ زیرا این بیمه‌نامه شامل حذف صریح ریسک سایبری نمی‌شود؛ اگرچه گنجاندن ریسک سایبری در این بیمه‌نامه‌ها ممکن است تعمدی باشد؛ اما ممکن است نوعی «بیمه ناخواسته» باشد که به قرار گرفتن در معرض ریسک سایبری ناشناخته یا غیر مستقیم که ممکن است باعث وقوع سایر حوادث سنتی بیمه اموال و تلفات شود، اشاره دارد.

اندازه بازار و چشم‌انداز رشد

طبق پیش‌بینی‌های AON، حق بیمه جهانی سایبری با رشد سالانه حدود ۱۵ درصدی از سال ۲۰۰۹ به طور مداوم افزایش یافته است؛ اگر رشد با این سرعت ادامه یابد، ارزش بازار بیمه سایبری تا سال ۲۰۲۲ در حدود هفت میلیارد دلار خواهد بود.

شکل ۱ تأیید می‌کند که ایالات متحده همچنان بیشتر بازار جهانی بیمه سایبری را به خود اختصاص می‌دهد؛ اما سایر بازارها از سال ۲۰۱۵ به سرعت در حال توسعه هستند. با وجود رشد مداوم، بازار جهانی بیمه سایبری نسبتاً کوچک باقی مانده و کمتر از یک درصد از بازار را تشکیل می‌دهد. پیش‌بینی رشد نشان می‌دهد در شکل ۱ از طریق دو فرض انجام شده است: ۱) بیمه‌نامه‌های سایبری غیر تصدیقی فعلی به محصولات سایبری تصدیقی تبدیل نمی‌شوند. ۲) فراوانی و میزان وقایع سایبری در آینده به شدت رشد نخواهد کرد؛ اگر هر یک از این فرضیات نادرست باشد، ممکن است بازار بیمه سایبری از حد پیش‌بینی‌شده فراتر رود.

با توجه به اینکه بازار بیمه‌های سایبری نسبتاً جوان است، اطلاعات دقیق در مورد بازارهای دیگر به غیر از ایالات متحده هنوز در دسترس نیست. ضریب نفوذ در کشورهای مختلف متفاوت است و در کشورهای پیشرفته حدود ۳۰ درصد است که در مقایسه با سایر خطوط بیمه پایین است. فعالیت‌های نظارت جهانی IAIS که از سال ۲۰۲۰ شروع می‌شود، ممکن است اطلاعات دقیق‌تری در مورد بازار بیمه سایبری ارائه دهد.

انتظار می‌رود رشد بازار آینده تا حد زیادی توسط نوآوری‌های تکنولوژی پیش برود، این امر آسیب‌پذیری مشتریان را تقویت می‌کند و احتمالاً باعث افزایش تعداد و اندازه حملات سایبری می‌شود.

تحول دیجیتال و پیشرفت فناوری در حال ایجاد فضای رقابتی‌تر، ایجاد فرصت‌های شغلی برای تازه‌واردان و کهنه‌کاران متقاضی ورود به بازار بیمه سایبری است. مشتریان از بسته محصولاتی مانند بیمه ترکیبی با خدمات کاهش و احیای سیستم‌های فناوری اطلاعات آی‌تی بهره‌مند خواهند شد. بیمه‌ها با توجه به ظرفیت بالای این رشته و پتانسیل افزایش نرخ استفاده از تکنولوژی، می‌توانند از این بازار توسعه‌نیافته استفاده کنند. آنها می‌توانند استراتژی‌ها و عملکردهای کلی بازار خود را تنظیم کنند، وارد مشارکت شوند یا محصولات جدیدی را ارائه دهند که به نوبه خود می‌تواند منجر به رشد و سود بالای بیمه‌گر شود.

استارتاپ‌های فناوری بیمه (اینشورتک‌ها) و سایر فعالیت‌های مشارکتی ممکن است فرصتی برای تشویق مشارکت در بازار فراهم کنند. اینشورتک می‌تواند توسعه محصولات جدید را تسهیل کند یا روش‌های ابتکاری برای ارزیابی ریسک‌های فناوری اطلاعات را ارائه دهد. استارتاپ‌ها و همکاری‌ها همچنین می‌توانند خدمات ارزشمند دیگری مانند دسترسی به پایگاه داده بزرگی از اطلاعات یا پشتیبانی از مشتری در کاهش خطر و پاسخ به حوادث (چه از نظر فنی و چه از نظر حقوقی) را فراهم کنند.

این نوع همکاری در کسب و کار در حال حاضر در بازارهای دیگر در حال رخ دادن است و تحریکات بعدی را در بازار بیمه تشویق خواهد کرد. با توسعه این فرصت‌ها، بیمه‌ها باید ارزش بالقوه مشارکت‌های جدید را ارزیابی کنند، در حالی که سازمان‌های نظارتی باید نقش خود را در نظارت بر فعالیت‌های این شرکای کسب و کار ارزیابی کنند. امید است که بازیگران جدید در بازار کارایی را بهبود بخشند و راه‌حل‌های ابتکاری ایجاد کنند که نیازها و انتظارات خاص بیمه‌ها را برآورده کند.

مدیریت ریسک و ملاحظات نظارتی

اندازه‌گیری ریسک سایبری

در یک سطح ابتدایی، اندازه‌گیری ریسک سایبری از همان روش سایر ریسک‌ها استفاده می‌کند به طوری که یک پذیره‌نویس باید احتمال وقایع تحت پوشش را در سطوح مختلف شدت پیش‌بینی کند. در این زمینه بیمه‌ها ممکن است از منابع مختلف داده‌ای استفاده کنند، از جمله:

• داده‌های تجربه بیمه‌گر
• ارزیابی ریسک خلاف واقع
• مدل‌های ریسک سایبری شرت ثالث
• تجزیه و تحلیل بدترین حالت
• انطباق با استانداردهای امنیت سایبری

در گذشته چهار روش اصلی مورد استفاده قرار گرفته بود؛ اما عدم هماهنگی کلی، تغییرات گسترده‌ای را در قیمت‌گذاری و عرضه محصولات ایجاد کرده است. بیمه‌گران بسته به آنچه آنها به عنوان ریسک سایبری، حادثه سایبری یا حمله سایبری تعریف می‌کنند، ممکن است برای یک نوع ریسک، قیمت متفاوتی داشته و این تعیین قیمت بر اساس انواع داده‌های موجود و سایر اطلاعات اساسی است که برای قیمت‌گذاری پوشش ریسک استفاده می‌شود.

هنوز سؤالاتی در مورد ضریب اطمینان مدل‌های سایبری سنتی وجود دارد؛ زیرا تعداد بسیار کمی از بیمه‌ها توانایی اندازه‌گیری دقیق خطرات سایبری را دارند. انجمن ژنو متذکر شده است که بلوغ مدل‌سازی رشته بحران املاک بین ۲۵ تا ۳۰ سال به طول انجامیده است و این مدل‌سازی بر اساس ریسکی انجام شده است که دارای ردپای جغرافیایی واضح و داده‌های گسترده از تجربیات مختلف است. علاوه بر این، اندازه‌گیری دقیق خطرات سایبری شامل چندین چالش است:

1. با توجه به اینکه این خطر اخیراً ایجاد شده است، داده‌های مربوط به تجربیات ریسک سایبری محدود است.
2. وقوع یک واقعه سایبری متکی به غیر قابل پیش‌بینی بودن ماهیت انسان است.
3. شدت از خسارت بستگی به تعداد تقریباً بی‌پایان متغیرهایی دارد که در یک محیط دیجیتالی کاملاً متصل اتفاق می‌افتد.

در حالی که صنعت همچنان به توسعه تکنیک‌های پیشرفته مدل‌سازی برای محاسبه این عوامل ادامه می‌دهد، روش‌های قطعی مبتنی بر سناریو یک راه‌حل مؤثر در این دوره ارائه داده‌اند. برخی از فروشندگان مدل‌ساز در حال توسعه مدل‌های اختصاصی ریسک سایبری هستند که چندین مدل پیش‌بینی ایجاد می‌کنند و به طور ویژه به دنبال تعیین کمیت ریسک سایبری غیر تصدیقی هستند. همه مدل‌های سایبری باید در پاسخ به ماهیت پویای ریسک سایبری به طور مداوم و زمان‌بندی‌شده توسعه داده شوند.

بیمه‌گران و مدل‌سازان می‌توانند با استفاده از تجزیه و تحلیل خلاف واقع، وقایع سایبری قبلی (و تقریباً نادرست‌ها) را برای شناسایی بدترین سناریوهای بالقوه و محاسبه حداکثر میزان مواجهه با خسارت احتمالی، بررسی کنند. بیمه‌ها، به ویژه تازه‌واردان به بازار بیمه سایبری، همچنین به دانش به دست آمده از مدل‌سازی و پذیره‌نویسی در رشته‌های تثبیت‌شده، به ویژه در کلاس‌های ریسک پیچیده و خاص، مانند بیماری‌های همه‌گیر و تروریسم اکتفا کرده‌اند. این طبقات ریسک بر توسعه الگوریتم‌ها تأثیر می‌گذارد و پذیره‌نویسان می‌توانند از زبان بیمه‌نامه استفاده‌شده برای این ریسک‌های پیچیده استفاده کنند تا مواجهه احتمالی آنها در صورت ادعای خسارت را محدود کند.

سایر بیمه‌ها به خدمات خارجی (برون‌سپاری) متکی هستند و اطلاعاتی را که دریافت می‌کنند با تجربیات خود و داده‌های عمومی ادغام می‌کنند یا با تکرار نرخ‌های اعمال‌شده توسط رقبای اصلی خود، حق بیمه می‌گیرند. در این سناریو که داده‌ها و مدل‌سازی در آن کم است، خطر قیمت‌گذاری نادرست و بیش از حد کم یا زیاد بسیار بالاست، به ویژه هنگام مقایسه نرخ‌های اعمال‌شده برای محصولات با ویژگی‌های متفاوت (نوع و میزان پوشش، همراه با ریسک / بدون ریسک) و درجه پایین استانداردسازی.

با توجه به محدودیت‌های مدل‌های فعلی، برخی از بیمه‌ها به روش‌های دیگر برای اندازه‌گیری ریسک سایبری اعتماد می‌کنند. در درجه اول، قیمت‌گذاری منعکس‌کننده ارزیابی کیفی محیط امنیتی بیمه‌گذار است. این سطح از ارزیابی بستگی به میزان پوششی دارد که تحت یک بیمه‌نامه دنبال می‌شود. سطح پایین‌تری از پوشش ممکن است به استفاده از چک‌لیست‌ها و ارزیابی وجود پروتکل‌های امنیتی استاندارد متکی باشد. مشتریانی که ریسک بالایی دارند، معمولاً تحت ممیزی‌های امنیتی انفرادی و بسیار دقیق آی‌تی قرار دارند. این فرآیندهای پذیره‌نویسی همچنین به شناسایی مناطق آسیب‌پذیر کمک می‌کند و فرصتی را برای بیمه‌گذار فراهم می‌کند تا مقاومت خود را بهبود بخشد و سطح کلی ریسک را کاهش دهد.

ارزیابی کیفی همچنین از توانایی بیمه‌گر در ایجاد درک جامع از کل سیستم امنیتی پایگاه مشتری خود پشتیبانی می‌کند و توانایی آن را در تمایز ریسک و اصلاح قیمت‌ها در بین بیمه‌شدگان بهبود می‌بخشد. این امر منجر به ایجاد برخی پروتکل‌های استانداردشده داده‌ها می‌شود که برای اندازه‌گیری ریسک سایبری در پورتفوی بیمه‌گر مورد استفاده قرار می‌گیرد؛ به همین ترتیب، سازمان‌های نظارتی همچنین می‌توانند در بازنگری فرآیندهای یک بیمه‌گر برای اطمینان از مدیریت مناسب ریسک نقش ایفا کنند. به عنوان بخشی از این تلاش، بیمه‌ها و ناظران می‌توانند استانداردهای خارج از صنعت را مرور کرده و آنها را در فرایندهای ارزیابی ریسک خود قرار دهند؛ همچنین بیمه‌گران می‌توانند با تجزیه و تحلیل سناریوها یا استفاده از سایر ابزارهای ارزیابی، ریسک را اندازه‌گیری کنند.

در دسترس بودن داده‌ها

بازار از کمبود اطلاعات تجربی رنج می‌برد و منجر می‌شود پذیره‌نویسی برای ریسک‌های سایبری بسیار دشوار شود؛ اگرچه روز به روز اطلاعات بیشتری در دسترس قرار می‌گیرد؛ اما بیشتر حوادث سایبری توسط شرکت‌ها گزارش نمی‌شوند. این امر به دلیل ترس از انتقام جویی یا نگرانی از آسیب رساندن به شهرت است. علاوه بر این، به دلیل انطباق سریع مهاجمان با سواستفاده از نقاط آسیب‌پذیر جدید و فرار رفتن از تجهیزات امنیت سایبری، داده‌های مربوط به تجربه ریسک سایبری می‌توانند به سرعت تاریخ و ارزش خود را از دست بدهند.

فقط چند شرکت بزرگ با تجربه گسترده در بازار سایبری می‌توانند انبوه داده‌ها را تولید کنند و آنها تمایلی ندارند که این تجربه را با شرکت‌های دیگر به اشتراک بگذارند تا اطمینان حاصل کنند که همچنان رقبای بزرگی هستند و از مزیت رقابتی در پذیره‌نویسی برخوردار هستند. این کمبود اطلاعات ممکن است اعتماد بیمه‌گر را نسبت به قیمت تعیینشده و تعهد بیمه‌نامه‌های سایبری تضعیف کند. در عین حال، خریداران می‌توانند مناسب بودن حق بیمه و پوشش ارائه شده را زیر سؤال ببرند. این عوامل در کنار هم باعث کاهش فروش و کاهش ضریب نفوذ می‌شوند.

اگرچه روش‌های اندازه‌گیری فعلی برای دستیابی به طیف گسترده‌ای از اطلاعات تلاش کرده‌اند؛ اما بیمه‌ها هنوز به منبع متمرکز اطلاعات در مورد رویدادهای سایبری نیاز دارند. کم‌کم همه به این نتیجه رسیده‌اند که ماهیت ریسک سایبری، همراه با پیامدهای اقتصادی فرامرزی و فراصنعتی ناشی از یک حمله سایبری، نیاز به افزایش سطح هماهنگی، چه در صنعت بیمه و چه خارج از آن دارد.

سرپرستان بیمه می‌توانند با جمع‌آوری داده‌ها، به نظارت بر تجمیع کل ریسک‌های سایبری در صنعت بپردازند. در ایالات متحده، انجمن ملی کمیساریای بیمه (NAIC) بیمه‌ها را ملزم می‌کند که گزارش مکمل سایبری را در گزارش داده‌های سالانه خود بگنجانند.

ناظران همچنین می‌توانند با تسهیل در به اشتراک‌گذاری اطلاعات مربوط به ریسک سایبری و تشویق بیمه‌گران برای به اشتراک گذاشتن اطلاعات با یکدیگر به کاهش ریسک سیستمیک کمک کنند. این امر نه تنها باعث افزایش سطح انعطاف‌پذیری بیمه‌گذاران مستقر در موقعیت مشابه می‌شود، بلکه اطلاعات جمع‌آوری‌شده می‌تواند به توانایی صنعت بیمه برای ارزیابی دقیق سطح ریسک کل و پیش‌بینی چگونگی تکامل ریسک در آینده کمک کند.

اکنون نیاز به تجزیه و تحلیل دقیق‌تری درباره مسائل حاکمیتی و امنیتی که مانع ایجاد مخزن داده‌های حادثه می‌شوند، وجود دارد؛ اما در حال حاضر سازمان‌های نظارتی می‌توانند به منظور بهبود توانایی صنعت در اندازه‌گیری و کاهش ریسک سایبری، بهترین شیوه‌ها و تجربیات را با یکدیگر به اشتراک بگذارند. سازمان‌های نظارتی همچنین باید اطمینان لازم را ایجاد و از برقراری ارتباط مداوم با بیمه‌ها اطمینان حاصل کنند تا آنها بتوانند آزادانه اطلاعات خود را (با سرپرستان و یکدیگر) بدون نگرانی از رقابت یا ترس از تلافی‌جویی شرکت‌های خسارت‌دیده به اشتراک بگذارند.

انجمن مبادله الکترونیکی عملیاتی اطلاعات ریسک (Operational Riskdata eXchange Association) نمونه‌ای از یک مکانیسم موفقیت‌آمیز در به اشتراک‌گذاری داده به رهبری صنعت بیمه است. این انجمن به منظور «فراهم آوردن بستری برای تبادل امن و ناشناس داده‌هایی از خسارات ریسک عملیاتی با کیفیت بالا از سراسر جهان» ایجاد شده است. بانک‌ها و بیمه‌ها در ازای دسترسی به مجموعه داده‌ها، اطلاعات ناشناس در مورد خسارات ریسک عملیاتی را ارائه می‌دهند. این مجموعه، اطلاعات در حال رشد را ایجاد می‌کند که می‌تواند برای بهبود درک صنعت از ریسک عملیاتی استفاده شود. مکانیسم مشابهی برای ریسک سایبری نیز می‌تواند مؤثر باشد.

برای تشویق توسعه مرکز داده‌های بیمه، ناظران می‌توانند مقدار و نوع داده‌های مورد نیاز در هر رویداد سایبری را استاندارد کنند. این امر باعث می‌شود بیمه‌گران بتوانند به راحتی اطلاعات را به اشتراک بگذارند.

پوشش غیر تصدیقی و انباشت ریسک

ناظران و صنعت در مورد ریسک‌های سایبری غیر تصدیقی ابراز نگرانی کرده‌اند. نظرسنجی سازمان مقررات احتیاطی بانک انگلیس (PRA) در زمینه بیمه سایبری حاکی از آن بود که در زمینه ریسک‌های غیر تصدیقی، اکثر شرکت‌ها گزارش داده‌اند که در معرض ریسک قابل توجهی در بسیاری از رشته‌های سنتی، از جمله تلفات، مالی، خودرو و تصادفات و درمان هستند. این بررسی نشان داد که شرکت‌ها چارچوب ارزیابی کمی خوبی برای مواجهه غیر تصدیقی ندارند و ارزیابی‌ها معمولاً شامل آزمایش‌های استرس و استنباط تخصصی است.

در سال ۲۰۱۸، EIOPA از ۱۱ شرکت بیمه سؤال کرد که آیا امکان تعیین میزان مواجهه غیر تصدیقی وجود دارد یا خیر. ۹ شرکت آن را «بسیار دشوار» و دو شرکت دیگر را «تقریباً غیر ممکن» توصیف کردند. در یک نظرسنجی بعدی، فقط پنج شرکت بیمه از ۲۶ گروهی که به این سؤال پاسخ دادند، گزارش دادند که در مورد بیمه‌نامه‌های اموال و خسارات امنیت سایبری را از بیمه‌نامه خارج کردند. برخی از شرکت‌هایی که این استثنا را ارائه نکرده‌اند، گفته‌اند که این امر به دلیل دشواری ارتباط دادن یک ریسک به ریسک سایبری است؛ مثلاً بیمه حوادث شخصی. سایر پاسخ‌دهندگان خطر سایبری را به عنوان یک تهدید فعلی نمی‌دانند.

اداره پول سنگاپور با همکاری صندوق بین‌المللی پول، به عنوان بخشی از فعالیت‌های آزمون استرس در حوزه مالی در سال ۲۰۱۹ و برنامه ارزیابی بخش مالی صندوق بین‌المللی پول، یک آزمایش استرس را در مورد ریسک سایبری انجام داد. از بیمه‌گران (غیر اتکایی) خواسته شد که میزان مواجهه خود با ریسک سایبری را در نتیجه پوشش تصدیقی و غیر تصدیقی که خود نوشته‌اند، بسنجند. بیمه‌ها انتظار داشتند که مطالبات ناشی از پوشش سایبری تصدیقی و غیر تصدیقی قابل کنترل باشد که دلیل اصلی این امر تمهیدات بیمه اتکایی موجود است. با این حال، یک مشاهدات کلیدی از این آزمون این بود که قرار گرفتن در معرض ریسک سایبری غیر تصدیقی بیمه‌ها پنج برابر بیشتر از مواجهه تصدیقی آنها بود. در آینده، بیمه‌هایی که در معرض پوشش غیر تصدیقی سایبری قرار گرفته‌اند قصد دارند بندهای استثنائی مناسب را در قرارداد خود بگنجانند.

گزینه‌های احتمالی در کاهش میزان قرارگیری در معرض ریسک غیر تصدیقی می‌تواند شامل نوشتن صریح پوشش سایبری به عنوان یک استثناء افزایش حق بیمه برای انعکاس افزایش خطر و ضمیمه کردن محدودیت‌های خاص برای پوشش بیمه مورد نظر است. بسیاری از بیمه‌ها شروع به بررسی دقیق زبان بیمه‌نامه می‌کنند تا احتمال بالقوه قرارگیری خود در معرض پوشش سایبری ناخواسته (غیر تصدیقی) را تعیین کنند که این باعث کاهش سطح پذیرش غیر تصدیقی پوشش سایبری توسط بیمه‌ها می‌شود. اگرچه این اقدام پس از نوشتن بیمه‌نامه رخ می‌دهد؛ اما این روشی است که در آن شرکت‌های بیمه توانایی‌های خود را برای اندازه‌گیری ریسک سایبری و اطمینان از ضریب خسارت‌های سالم توسعه می‌دهند.

در برخی از حوزه‌های قضایی، قانون‌گذاران در مورد ریسک غیر تصدیقی راهنمایی‌هایی را صادر کرده‌اند. در بیانیه نظارتی در ژوئیه ۲۰۱۷، PRA توصیه کرد که انتظار دارد بیمه‌ها بتوانند قرار گرفتن در معرض ریسک سایبری تصدیقی و غیر تصدیقی را «شناسایی، اندازه‌گیری و مدیریت کنند».

خطرات سایبری غیر تصدیقی می‌توانند به سرعت جمع شوند. یک واقعه سایبری ممکن است به طور همزمان چندین کسب و کار را تحت تأثیر اتصالات مشترک (مانند سیستم‌های پرداخت، سیستم عامل‌ها، ارائه‌دهندگان اینترنت و سرویس‌های ابری) تحت تأثیر قرار دهد. حادثه سایبری که از وابستگی متقابل مشاغل و زیرساخت‌ها بهره می‌برد، حتی ممکن است زنجیره تأمین را به خطر بیندازد و منجر به خسارات اقتصادی گسترده و اختلالات گسترده شود. اگرچه تا به امروز چنین حمله‌ای رخ نداده است، یک حمله سایبری گسترده که از یک آسیب‌پذیری بزرگ یا ارائه‌دهنده خدمات ابری بهره‌برداری می‌کند، می‌تواند منجر به خسارات در سطح فاجعه شود. یک اقدام شدید تروریسم سایبری که بر زیرساخت تأثیر می‌گذارد، می‌تواند تا یک هزار میلیارد دلار خسارات اقتصادی منجر شود. نگرانی در مورد این نوع رویدادها این صنعت را به سمت رویکردی نسبتاً محافظه‌کارانه در زمینه پذیره‌نویسی ریسک سایبری سوق داده است با اینکه فعالیت‌های کسب و کار تا به امروز بسیار سودآور بوده است تا زمانی که یک اتفاق بزرگ رخ ندهد، پیش‌بینی تأثیر آن بر صنعت بیمه دشوار خواهد بود.

نگرانی در مورد سطح کل خطر منجر به بحث و گفت‌وگو در مورد روش‌های مناسب برای مقابله با انباشت احتمالی ریسک شده است.

در حال حاضر، شرکت‌ها از مدل‌ها و سناریوهای آزمایش استرس برای شناسایی و کمی‌سازی خطر انباشت استفاده می‌کنند؛ سپس این خطر به عنوان بخشی از استراتژی مدیریت ریسک بیمه به بیمه‌های اتکایی و گروه‌های تقسیم ریسک منتقل می‌شود.

دسترسی به بازار و موانع احتمالی ورود

بیمه‌ها در تلاش‌اند تا در محیطی با رشد اقتصادی کند رشد کنند و بیمه سایبری فرصتی را برای به دست آوردن سهم بیشتری از بازار فراهم می‌کند؛ اما تازه‌واردان با چالش‌های مختلفی روبه‌رو هستند؛ از جمله داده‌های محدود، روش‌های تکامل‌نیافته برای اندازه‌گیری ریسک سایبری و عدم اطمینان بالا در مورد سطح ریسک سایبری. این بخش بر عوامل مضاعف تمرکز دارد که بیمه‌گرها هنگام تصمیم‌گیری در مورد ورود به بازار بیمه سایبری باید در نظر بگیرند.

توسعه تخصص سایبری

یک اولویت اصلی برای بیمه‌گران در جست‌وجوی بازار بیمه سایبری این است که اطمینان حاصل کنند از مهارت فنی کافی برای درک خطرات مرتبط با این نوع پذیره‌نویسی و پشتیبانی از پروژه‌های تجاری جدید مرتبط با فعالیت سایبری برخوردار هستند. دستیابی به کارشناسان ماهر برای موفقیت فعالان بازار مهم است؛ اما عدم اطمینان در مورد توسعه بازار یافتن افرادی با مهارت لازم برای درک ماهیت ریسک سایبری، طراحی قرارداد، ریسک پذیره‌نویسی و قیمت و مدیریت پورتفوی ریسک بیمه‌گر را دشوار می‌کند. این کمبود کارشناسان ماهر از طریق برنامه‌های آموزشی و کمپین‌های استخدام برای استخدام افراد باتجربه برطرف می‌شود. بیمه‌ها همچنین ممکن است به تخصص خارج از صنعت نیز اعتماد کنند.

روش‌های انتقال و تجمیع ریسک برای بررسی توسط بیمه‌گر

در غیاب داده‌های پذیره‌نویسی و اکچوئری و با توجه به دشواری اندازه‌گیری دقیق ریسک‌ها، بسیاری از بیمه‌ها به یک مکانیزم برای انتقال ریسک خود اعتماد می‌کنند.

انتظار می‌رود بیمه اتکایی در بازار سایبری با سرعت بالایی رشد کند. بیمه‌ها ترجیح زیادی برای کار با بیمه‌های اتکایی دارند زیرا آنها می‌توانند مجموعه داده‌های گسترده‌تری از اطلاعات را ارائه دهند، اطلاعات جامع پذیره‌نویسی را برای پشتیبانی از روند قیمت‌گذاری حق بیمه خود تهیه کنند و خطرات سایبری را کمی کنند. بیمه‌های اتکایی به اطلاعات تهدیدها و آسیب‌پذیری‌های سیستم دسترسی دارند و به همین ترتیب می‌توانند به کاهش شکاف دسترسی داده‌ها برای پذیره‌نویسی و مدل‌سازی ریسک سایبری کمک کنند. در حال حاضر بیمه‌های اتکایی روش اصلی انتقال ریسک برای کاهش مواجهه و خسارات بیمه‌ها هستند. در اروپا، به نظر می‌رسد قراردادهای بیمه مشترک اتکایی (quota share treaty contracts) متداول‌ترین نوع قرارداد استفاده شده و به دنبال آن بیمه متناسب اتکایی (proportional facultative reinsurance) است. تفاوت این دو شیوه از بیمه اتکایی آن است که در قرارداد اول بیمه کل خسارت شرکت خود را توسط بیمه اتکایی بیمه می‌کند، در صورتی که در روش دوم بیمه تنها روی بیمه‌نامه‌های خاص بیمه اتکایی را وارد قرارداد می‌کند.

ریسک سایبری همچنین می‌تواند با استفاده از ابزارهای جایگزین انتقال ریسک به بازارهای سرمایه منتقل شود، اگرچه استفاده از اوراق بهادار مرتبط با بیمه مانند اوراق قرضه بحران، سایدکار و ضمانت‌های مربوط به ضرر صنعت می‌تواند چالش‌برانگیز باشد؛ مثلاً در حالی که ابزارهای اوراق بهادار مرتبط با بیمه در درجه اول برای پوشش خطرات فاجعه صادر می‌شوند، صدور چنین ابزاری برای پوشش خسارات سایبری به دلیل کمبود داده‌ها و توانایی مدل‌سازی دشوار است. استفاده از اوراق بهادار مرتبط با بیمه برای خطرات سایبری نیز ممکن است به دلیل غیر قابل پیش‌بینی بودن ریسک سایبری و تأثیر همبستگی بالقوه بر اوراق قرضه و حقوق صاحبان سهام کمتر مورد توجه سرمایه‌گذاران بازار سرمایه قرار گیرد. با این حال، یک ساز و کار پتانسیل تجمیع می‌تواند انتشار اوراق بهادار مرتبط با را برای ریسک سایبری، همراه با اقدامات نظارتی یا مشوق‌های مالیاتی برای تشویق انتقال خطر به بازارهای سرمایه، تسهیل کند.

برخی از حوزه‌های قضایی از کنسرسیوم یا ساز و کارهای جمع‌آوری ریسک برای مدیریت ریسک سایبری بیمه‌گر استفاده می‌کنند. مکانیسم‌های جمع‌آوری ریسک ابزاری است که می‌تواند:

• از طریق ایجاد تنوع، سطح بالاتری از خطر را تحمل کنند، که عدم اطمینان کلی را کاهش داده و منجر به کاهش قیمت‌های بیمه‌نامه می‌شود.
• مشارکت بیمه‌های کوچک‌تر را از طریق دسترسی به تجربه دیگران و محدود کردن قرارگیری در معرض خطر، تسهیل کند.
• محصولات را در بین اعضای فعال (که احتمالاً خطرات مشابهی را پوشش می‌دهند) استاندارد کند.
• به بیمه‌گران اجازه دهد تجربه ادعاهای خسارت را به اشتراک بگذارند و شکاف داده‌ها را برای پذیره‌نویسی و مدل‌سازی ریسک سایبری کاهش دهند.
• به این صنعت اجازه دهد تا رویدادهای سایبری را که در حالت عادی غیر قابل بیمه هستند پوشش دهد و اجازه کاهش بیشتر خطر را از طریق استفاده از بیمه‌های اتکایی و بازارهای سرمایه بدهد.

نتیجه‌گیری

خطر غیر تصدیقی سایبری همچنان برجسته است و عدم استانداردسازی در بیمه‌نامه، این مسئله را تشدید کرده است، در نتیجه بسیاری از بیمه‌گران نسبت به میزان کلی قرار گرفتن در معرض خود اطمینان ندارند. مدل‌های ریسک سایبری به دلیل عدم تجربه پذیره‌نویسی و در دسترس بودن داده‌ها، و همچنین وجود خطر ناپایدار و تحول سریع، تکامل نیافته‌اند. بنابراین بیمه‌ها به روش‌های دیگر اندازه‌گیری ریسک، از جمله ارزیابی ریسک انفرادی، اعتماد می‌کنند که رهنمودهای کاهش ریسک را در اختیار بیمه‌گذاران قرار می‌دهد؛ اما شرکت‌های بیمه را در انجام قیمت‌گذاری مقایسه‌ای و ارزیابی پرتفوی کل ریسک خود دشوار می‌کنند. اشتراک اطلاعات بسیار حیاتی است؛ اما تمایل کمی نسبت به آن وجود دارد. استفاده از بیمه اتکایی و سایر ساز و کارهای جمع‌آوری ریسک می‌تواند به ارتقاء جریان اطلاعات کمک کند، در حالی که مزایای انتقال خطر را به بیمه‌گران ارائه می‌دهد.

اگرچه بسیاری از اقدامات و مطالعات عمومی و خصوصی اطلاعات مربوط به حوادث سایبری قبلی را جمع‌آوری کرده است، اما اقدامات هماهنگ‌شده توسط ناظران نقش مهمی در ساده‌سازی انواع منابع داده موجود برای اندازه‌گیری ریسک سایبری ایفا می‌کند. در نتیجه این فعالیت‌ها استانداردسازی جمع‌آوری داده‌ها با حفظ مزایای رقابتی و تقویت اشتراک اطلاعات برای بهبود پذیره‌نویسی بیمه و رشد بازار را تشویق می‌کند.

بیمه‌ها ممکن است از قرار گرفتن در معرض خطر کلی خود آگاهی کامل نداشته باشند که این توانایی آنها را در محاسبه دقیق حق بیمه، تعیین محدودیت‌های مناسب و اتخاذ استراتژی‌های مناسب قیمت‌گذاری تحت تأثیر قرار می‌دهد. با توجه به تکامل ماهیت فضای سایبری، شرکت‌ها باید تعهد مستمر خود را در زمینه توسعه دانش خود در مورد خطر پذیریش بیمه سایبری نشان دهند. ناظران برای ارتقاء توانایی خود در ارزیابی قیمت‌گذاری و مواجهه بیمه‌ها در حوزه‌های قضایی خود، باید اطلاعات و بهترین روش‌ها را به اشتراک بگذارند. آنها همچنین باید در نظر بگیرند که چگونه می‌توانند از یک رویکرد یکپارچه برای ریسک‌های سایبری پشتیبانی کنند که به اندازه کافی ریسک را در استراتژی و ریسک‌پذیری شرکت‌های بیمه منعکس کند. در چندین کشور اقداماتی برای افزایش آگاهی نسبت به ریسک و تحت فشار قرار دادن بیمه‌ها برای اتخاذ آگاهی و مدیریت ریسک در حال انجام است؛ اما تلاش‌های بیشتری از سازمان‌های نظارتی و بیمه‌ها انتظار می‌رود.