Οι ασφαλιστικές εταιρείες βρίσκουν λόγους ώστε να αποκλείουν αξιώσεις σε μία ασφάλιση cyber όπως η έλλειψη πρωτοκόλλων ασφαλείας, το ανθρώπινο λάθος, οι πολεμικές πράξεις και η μη τήρηση των κατάλληλων διαδικασιών συμμόρφωσης.
Σύμφωνα με έρευνα που διεξήχθη σε 300 οργανισμούς από την εταιρεία Censuswide, για λογαριασμό της Delinea, οι οργανισμοί – πελάτες ασφαλιστικών επιχειρήσεων που διαθέτουν ασφάλιση cyber αντιμετωπίζουν πολλά εμπόδια στην σύναψη ή στην ανανέωση της ασφαλιστικής κάλυψης. Ταυτόχρονα έρχονται αντιμέτωποι με υψηλές απαιτήσεις και πρότυπα προστασίας την στιγμή που επιλέγουν να ασφαλιστούν.
Συγκεκριμένα η πλειοψηφία των οργανισμών που ήδη διαθέτει ασφάλιση κατά του κυβερνοκινδύνου, δηλαδή 4 στις 5 επιχειρήσεις, δηλώνει πως είδαν τα ασφάλιστρά τους να εκτοξεύονται στο +50% ή και +100% όταν υπέβαλαν αίτηση για ανανέωση συμβολαίου.
Η έκθεση έρχεται σε μια σημαντική στιγμή για τον κλάδο της ασφάλισης στον κυβερνοχώρο. Μετά από αρκετά χρόνια ταχέως αυξανόμενων ασφαλίστρων και αστάθειας, η αγορά κάλυψης στον κυβερνοχώρο έχει αρχίσει να σταθεροποιείται καθώς νέες ασφαλιστικές εταιρείες εισέρχονται στον κλάδο και η ζήτηση έχει αυξηθεί από μια ευρύτερη ομάδα δυνητικών πελατών.
Παράλληλα όμως έχουν αυξηθεί σε σημαντικό βαθμό η συχνότητα των κυβερνοεπιθέσεων όπως επίσης και η σφοδρότητα. Ο οικονομικός αντίκτυπος από μία τέτοια επίθεση υπερβαίνει κατά πολύ παρ’ όλα αυτά το κόστος των ετήσιων ασφαλίστρων, όπως έχουμε δει και σε προηγούμενο άρθρο.
“Οι ασφαλιστές στον κυβερνοχώρο έχουν ωριμάσει από τον περασμένο χρόνο, αποκτώντας σημαντικές γνώσεις σχετικά με τους παράγοντες που οδηγούν σε επιτυχημένες επιθέσεις”, σύμφωνα με τον Joseph Carson, επικεφαλή επιστήμονα ασφαλείας και σύμβουλο, CISO στη Delinia.
“Αυτό σημαίνει ότι γίνονται πιο σθεναροί όσον αφορά τις απαιτήσεις ασφάλειας και τις αξιολογήσεις κινδύνου για να διασφαλίσουν ότι οι επιχειρήσεις – πιθανοί πελάτες λαμβάνουν τα σωστά μέτρα για να προστατεύονται [οι ίδιοι] από επιθέσεις στον κυβερνοχώρο”, είπε ο Carson.
Οι δυνητικοί πελάτες επομένως έχουν ακόμα ένα πράγμα να προσέξουν. Είναι οι εταιρείες καταλλήλως καλυμμένες, στον βαθμό τουλάχιστον που τους επιτρέπεται, ώστε να είναι “επιλέξιμες” της συγκεκριμένης ασφάλισης;
Προκειμένου μία εταιρεία, οποιουδήποτε μεγέθους, να ασφαλιστεί κατά των κυβερνοκινδύνων απαιτείται να τηρούν κάποια πρότυπα ασφαλείας. Πριν την σύναψη συμβολαίου ο δυνητικός πελάτης συμπληρώνει ένα ερωτηματολόγιο και η εταιρεία περνά από αξιολόγηση των συστημάτων ασφαλείας της προκειμένου να διασφαλιστεί ότι η κάλυψή της δεν θα αποτελέσει ρίσκο για την ασφαλιστική.
Οι ασφαλιστές ζητούν ολοένα και περισσότερο τυπικές πληροφορίες συμμόρφωσης που βρίσκονται σε πρωτόκολλα όπως το PCI ή το ISO 27001, σύμφωνα με τον Carson. Για παράδειγμα, θέλουν να γνωρίζουν εάν οι αντισυμβαλλόμενοι έχουν εφαρμόσει έλεγχο ταυτότητας πολλαπλών παραγόντων, εάν έχει εφαρμοστεί εκπαίδευση εργαζομένων και εάν η εταιρεία διαθέτει στρατηγική δημιουργίας αντιγράφων ασφαλείας και ανάκτησης δεδομένων.
Πολλοί οργανισμοί στην έρευνα δήλωσαν πως ακριβώς αυτή η διαδικασία ήταν άκρως χρονοβόρα. Για 20 από τους ερωτηθέντες, δηλαδή ένα ποσοστό της τάξης του 7%, ανέφερε πως η διαδικασία κράτησε έξι μήνες ή και περισσότερο!
Με τον κίνδυνο στον κυβερνοχώρο ολοένα να αυξάνεται, βλέπουμε αυξήσεις ασφαλίστρων, αύξηση στις απαιτήσεις που πρέπει να τηρούνται πριν την απόφαση κάλυψης όπως επίσης και βασικές και αναγκαίες καλύψεις στο συμβόλαιο να καταλήγουν στα ψιλά γράμματα με αποτέλεσμα οι πελάτες να τις παραβλέπουν.
