Las aseguradoras luchan por poner precio a una catástrofe cibernética

jack sachs





En 1992, el huracán Andrew devastó la costa sur de Florida, matando a decenas de personas y causando daños por más de $25 mil millones. La tormenta también expuso debilidades críticas en la forma en que las aseguradoras de propiedad cuantificaron el costo potencial de tal catástrofe natural. Muchas compañías de seguros sufrieron grandes pérdidas en los meses que siguieron a la tormenta y varios fallidos .

Hoy en día, las aseguradoras luchan por comprender el alcance económico de un nuevo tipo de catástrofe potencial, esta provocada por el hombre: un ciberataque devastador. Se aplican algunas de las lecciones de 1992, pero en otras formas, este es un tipo de problema muy diferente para resolver.

Las grandes aseguradoras, incluidas AIG y Chubb, han ofrecido pólizas cibernéticas desde fines de la década de 1990 y, en la actualidad, aproximadamente 80 compañías las venden, la mayoría enfocadas en filtraciones de datos. El mercado de seguros cibernéticos recientemente comenzó a crecer rápidamente a medida que una serie de ataques de alto perfil convencieron a los altos ejecutivos de que los piratas informáticos representan una seria preocupación. PricewaterhouseCoopers estimados las empresas pagarán $ 7.5 mil millones por seguros cibernéticos en 2020, por encima de un estimado $ 2.75 mil millones en 2015.



Sin embargo, las aseguradoras aún luchan por comprender la naturaleza del riesgo cibernético y comprender cómo estructurar sus pólizas de manera que no las deje vulnerables a pérdidas catastróficas.

La gente está empezando a ver la seguridad cibernética como un riesgo comercial en lugar de un problema de TI, dice Arvind Parthasarathi, director ejecutivo de Cyence, una firma de tres años que ayuda a las aseguradoras a modelar los riesgos cibernéticos. Eso significa reconocer que esto no es un problema con una solución clara, sino un riesgo que puede gestionarse, aunque no eliminarse. Ahora, dice Parthasarathi, los ejecutivos se preguntan: ¿Cuánto riesgo me siento cómodo manteniendo?

Las aseguradoras se hacen la misma pregunta al tratar de determinar cómo fijar el precio de las nuevas pólizas de ciberseguridad. La amenaza cibernética moderna es compleja y evoluciona rápidamente. El desafío más apremiante es cuantificar el riesgo de que una catástrofe cibernética afecte a muchos asegurados a la vez, estimando la pérdida máxima en el peor de los casos. Eso es lo que las aseguradoras no hicieron antes del huracán Andrew.



Un desastre cibernético comparable en escala con el huracán Andrew es difícil de modelar en parte porque aún no ha ocurrido. En octubre pasado, pudimos vislumbrar una forma en que tal calamidad podría desarrollarse cuando los piratas informáticos utilizaron una red de cámaras web, DVR y otros dispositivos de Internet de las cosas requisados ​​para lanzar un ataque masivo de denegación de servicio en Dyn, un importante enrutador de tráfico de Internet. El ataque hizo que muchos sitios web destacados, incluidos Amazon, Netflix y Spotify, no estuvieran disponibles para millones de usuarios en los Estados Unidos durante horas (consulte 10 Tecnologías innovadoras 2017: Botnets of Things).

El costo del ataque Dyn aún no está claro, pero una reciente interrupción de cuatro horas del sistema de almacenamiento en la nube S3 de Amazon (que no fue el resultado de un ataque cibernético) costó a las empresas S&P 500 al menos $ 150 millones, según una estimación de Cyence. No es difícil imaginar un ataque a gran escala en un servicio en la nube que cause pérdidas de miles de millones.

Un ciberataque a la infraestructura física tradicional, como el que eliminó una parte sustancial de la red en Kiev, Ucrania, en diciembre, también es motivo de preocupación. Algunos han atribuido el ataque a piratas informáticos patrocinados por el estado ruso. el mercado de seguros Lloyd's de Londres Recientemente analizó un escenario hipotético en el que un apagón en el noreste de EE. UU. deja a 93 millones de personas sin electricidad. Llegó a la conclusión de que un evento como ese podría costar a las aseguradoras entre $ 21 mil millones y $ 71 mil millones, lo que ilustra cuán difícil es determinar el costo de tales riesgos.

El desafío de tratar de cuantificar el riesgo cibernético es similar en algunos aspectos al que enfrentaron las aseguradoras en la década de 1990, ya que tienen muy poca experiencia con este tipo de riesgo. Tomó 15 años construir los conjuntos de datos que subyacen a los complejos y detallados modelos de catástrofes naturales en los que confían las aseguradoras hoy en día, dice Tom Harvey, gerente de producto de Risk Management Solutions, que desarrolla modelos de riesgo catastrófico para aseguradoras. Si bien las cosas se están moviendo mucho más rápido para la cibernética, dice, los datos que recopilan las empresas aún son bastante inconsistentes. Eso dificulta agregar información y estudiar las tendencias de la industria.

Existen diferencias importantes entre modelar catástrofes naturales y catástrofes cibernéticas, por supuesto, comenzando con el hecho de que los humanos capacitados impulsan los eventos cibernéticos, no las leyes físicas. Las motivaciones, tácticas, técnicas y objetivos de los piratas informáticos cambian rápidamente para superar nuevas defensas. El desafío es comprender a un adversario activo, dice Parthasarathi de Cyence, cuya compañía se basa en la teoría de juegos y la economía del comportamiento para modelar el comportamiento de los atacantes.

Comprender la geografía de Internet también es crucial para evaluar el riesgo de un gran ciberataque. Las aseguradoras necesitan un mapa de las ubicaciones donde se almacenan los datos valiosos, incluida la información sobre qué tan bien los protegen los propietarios de esos activos, dice Stephen Boyer, CTO y cofundador de BitSight. La empresa de Boyer hace este tipo de mapeo de los activos almacenados en Internet y mide el desempeño de la seguridad de las organizaciones propietarias de esos activos.

Las aseguradoras deben evitar hacer la versión cibernética de cubrir a todos en la costa de Florida antes del huracán Andrew, dice Boyer, cosas como ofrecer demasiadas pólizas a compañías que dependen de la misma tecnología o proveedor de servicios, como Amazon Web Services, por ejemplo. Cuando ocurre un apagón allí, todos tienen un reclamo, dice.

esconder