Cyber-Versicherung - Eine strategische Sichtweise

Die Cyberversicherung ist noch relativ neu, historische Daten sind rar, das Risiko hat zugenommen, sie ist nicht stabil und vorhersehbar. Vor diesem Hintergrund sprach Vincent Van de Winckel mit zwei Experten auf diesem Gebiet von everis Portugal: Nuno Castro, Leiter der Versicherungspraxis, und Mauro Almeida, der für Informationssicherheit und Cybersicherheit verantwortlich ist. Das Gespräch behandelt Themen wie die Arten der Cyberversicherung, die Rolle der Prävention im Risikomanagement, die Unterstützung bei Vorfällen, die Rolle von Vertriebsnetzen und Empfehlungen für Versicherer, die in diesen Geschäftsbereich eintreten und dort tätig sind.

Vincent van de Winckel (VVdW): Welche Arten von Produkten gibt es in Portugal? Sind sie an den aktuellen Kontext und das Risiko angepasst? Wenn nicht, wie werden die Richtlinien am besten angepasst?

Nuno Castro (NC, Bild unten): Die Cyber-Versicherung in Portugal kann jetzt abonniert werden. Verschiedene Beispiele wie Cyber ​​Safety von Fidelidade, Cyber ​​Risks von Tranquilidade oder Cyberclear von Hiscox. Letzteres enthält auch einen Taschenrechner zur Berechnung der Exposition [2]. Daher gibt es bereits Beispiele für eigenständige Produkte.

Der auf Cyber ​​ausgerichtete Produktansatz als Alternative zu einer Erweiterung eines anderen Versicherungsprodukts ermöglicht es den Versicherern auch, zusätzlichen Versicherungsschutz und zusätzliche Dienstleistungen anzubieten. Zum Beispiel enthält die Cyber-Versicherung von Tranquilidade eine von Dritten bereitgestellte Präventionssoftware, mit der IP-Verbindungen, Webseiten analysiert und eine Anti-Ransomware-Anwendung installiert werden.

Darüber hinaus passt jeder Versicherer seine Klauseln an, um zu versuchen, die Ein- und Ausschlüsse seines Produkts zu identifizieren. Diese Art der Analyse und Besorgnis wurde mit der Zunahme stiller Cyber-Ereignisse verstärkt. Mit anderen Worten, nicht bejahende oder stille Risiken beziehen sich auf die Exposition gegenüber Cyber-Ereignissen, die zu anderen Arten von Versicherungen führen können (z. B. zivilrechtliche Haftung). Diese Situationen verursachen Reibungen mit den Kunden, da sie eher zu Interpretationssituationen als zu Gewissheit führen.

Betrachten Sie das Abonnement und definieren Sie den Umfang des Produkts Versicherer kann vier Ansätze haben[3]:

• Bejahend - einschließlich Cyber-Exposition;
• Bejahend mit Untergrenzen für die Deckung - einschließlich Cyber-Exposition, aber klare Grenzen für die Deckung;
• Alle Expositionen ausschließen - Ansprüche in Bezug auf Cyber ​​werden nicht akzeptiert.
• Belichtung ausschließen, aber einige außergewöhnliche Komponenten zulassen.

Diese Ansätze machen es erforderlich, dass Versicherer ihre traditionellen Versicherungsverträge erneut prüfen und anpassen, um sicherzustellen, dass das Risiko nicht höher als erwartet ist. In Großbritannien gab Lloyds beispielsweise eine Erklärung ab [4] einen Plan für die Anpassung der verschiedenen Arten von Produkten aufzustellen, um den Kunden klar zu machen, ob die Cyber-Exposition in ihrer traditionellen Versicherung abgedeckt ist oder nicht.

VVdW: Was ist der Teil der Prävention beim Management dieses Risikos? Woraus besteht „Cyber-Hygiene“? Welche Dienstleistungen können Versicherer ihren Kunden diesbezüglich anbieten?

Mauro Almeida (MA, Bild unten): Unternehmen sind heute mehr denn je einem hohen Risiko von Cyberkriminalität ausgesetzt. Die Angriffsfläche auf Organisationen hat exponentiell zugenommen. Unternehmen, die nicht bereit sind, vorbeugende Maßnahmen gegen diese Bedrohungen zu ergreifen, erleiden mit größerer Wahrscheinlichkeit finanzielle Verluste, Betriebs- oder Reputationsschäden. Information Sicherheitdienstund Cybersicherheit können daher nicht als Kosten für Organisationen angesehen werden, sondern als Kosten vorbeugende Investition konzentrierte sich auf die Reduzierung der Risiken, die die Organisation und ihre Vermögenswerte bedrohen.

Der Begriff Cyber-Hygiene kann als die minimale oder wesentliche Reihe von Maßnahmen auf der Ebene von Personen, Prozessen oder Technologien beschrieben werden, die von Organisationen implementiert werden müssen, um das Risiko und ihre Gefährdung durch Cyberangriffe zu verringern. Ich beziehe mich zum Beispiel auf die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen für Mitarbeiter zu den Themen Informationssicherheit, damit diese nicht die Hauptinstrumente für die Einführung von Bedrohungen in der Organisation oder das Vorhandensein regelmäßiger Backups sind In der Organisation implementierte Mechanismen oder Prozesse der Zugriffsverwaltung. Es ist wichtig zu erwähnen, dass die Grundlagen für die Gewährleistung einer Cyber-Hygiene vom Top-Management stammen müssen. Nur so kann garantiert werden, dass es im gesamten Unternehmen korrekt angewendet wird.

In einer präventiven Komponente können und sollten Versicherer bei ihren Kunden eine führende Rolle spielen. Cybersicherheit sollte von Kunden als erweiterter und wertschöpfender Service wahrgenommen werden, der nicht auf die Übertragung des Risikos vom Versicherten auf den Versicherer beschränkt ist. Zu diesem Zweck müssen Versicherer mit Technologiepartnern zusammenarbeiten, um dieses vorbeugende Angebot zu erstellen, das mit Cybersicherheit, Risikobewertung, kontinuierlicher Überwachung potenzieller Schwachstellen und Unterstützung bei der Umsetzung von Maßnahmen zur Informationssicherheit und Cybersicherheit verbunden ist. Die Schaffung dieses Wertangebots führt zu einer Erhöhung der Cyber-Resilienz des Versicherten, was sich in einer Verringerung des Risikos des Versicherers niederschlägt und sich beispielsweise in einem Anreiz oder einer Verringerung der jährlichen Versicherungsprämie niederschlägt.

VVdW: Wie können sie ihren Kunden helfen, die negativen Auswirkungen eines Angriffs zu bewältigen? Welche Unterstützung und Dienstleistungen könnten sie bereithalten?

Aus Sicht der von Versicherungsunternehmen zu erbringenden erweiterten Dienstleistungen ein 24 × 7 Incident Detection Service kann seinen Kunden im Zusammenhang mit der Existenz von zur Verfügung gestellt werden ein CSIRT-Team (Rechner Team für die Reaktion auf Sicherheitsvorfälle). Der Incident Detection Service ermöglicht die Verwaltung aller Warnungen, die vom SIEM (Security Information and Event Management) eines Kunden (installiert) stammen On-Prem oder auch in einem SaaS-Modell verfügbar), während das CSIRT-Team die Verwaltung, Unterstützung und Lösung von Cybersicherheitsvorfällen sicherstellen und deren korrekte Eindämmung, Analyse und Beseitigung sicherstellen würde. Diese Arten von Dienstleistungen sind äußerst spezialisiert und differenziert und erstrecken sich auf den Bereich eines Versicherers Kerngeschäft. Aus Kosten- / Nutzen-Sicht sehe ich, dass dieser Service ihren Kunden über einen Technologiepartner aus der Ferne zur Verfügung gestellt wird.

VVdW: Sind die Vertriebsnetze ausreichend geschult und über das Cyber-Risiko informiert?

NC: Cyber-Risiko, eine neue Art von Risiko, benötigt eine End-to-End-Analyse der Aktivitäten in der Wertschöpfungskette des Versicherers. Dieses neue Risiko erfordert die Schaffung eines neuen Produkts, und als solches sind alle Aktivitäten in der Wertschöpfungskette betroffen.

Von der versicherungsmathematischen Gestaltung bis zum Schadenmanagement muss darüber nachgedacht werden, wie Kunden jetzt unterstützt werden, damit sie die Versicherungsgesellschaft weiterhin als die Organisation wahrnehmen können, die ihnen im Falle eines unerwünschten Ereignisses hilft.

In der traditionellen Versicherung spielen Vertriebsnetze eine äußerst wichtige Rolle, nicht nur beim Verkauf / der Erneuerung von Policen, sondern auch bei der Kundenbetreuung. Im Falle des Cyber-Risikos, bei dem es sich um eine relativ junge Versicherung handelt, handelt es sich um eine solche wird notwendig sein, um das Vertriebsnetz zu schulen für die verschiedenen Aktivitäten, an denen sie beteiligt sein werden.

Im aktuellen Kontext ist noch unklar, ob die Rolle des Vertriebsnetzes auch die Verwaltung / Überwachung von Schadensfällen umfasst, da es sich um Kontexte mit hoher Komplexität handelt, die sich vollständig von der „analogen“ Welt unterscheiden. Wo früher der Mediator leicht zu sehen war, wie er dem Kunden beim Versenden einer freundlichen Erklärung half, ist es hier bereits schwieriger, einen Mediator in Kontakt mit einer IT-Abteilung zu visualisieren, um einen Verstoß bei einem Kunden zu melden und die erforderlichen Daten bereitzustellen. Andererseits, Wir können uns den Mediator als einen einflussreichen Akteur vorstellen, der versucht, die Sicherheitslage seiner Versicherungsnehmer zu verbessern.

Darüber hinaus können wir auch über den Eintritt neuer Akteure nachdenken, ohne die traditionellen Partner von Agenten und Mediatoren bei dieser Art von Produkten zu sein. Mit anderen Worten, Partner, die über die zusätzlichen Fähigkeiten verfügen, um digitale Risiken zu managen, oder die die Reaktion koordinieren können, um die Erwartungen dieser Art von Versicherung zu erfüllen.

VVdW: Welche weiteren Maßnahmen sollten Versicherer ergreifen, um die Attraktivität und Rentabilität der Cyberversicherung sicherzustellen?

NC: Bei einer Risikoanalyse des Produktportfolios ist es immer wichtig, das von mir akzeptierte Risiko zu verstehen. Wie ich es messen kann, um das Abonnement zu akzeptieren, und wie ich es überwachen kann, um zu verstehen, ob sich der Kontext geändert hat. Im Falle von Cyber- Versicherung bestehen diese Aktivitäten weiter. Die notwendigen Fähigkeiten sind jedoch unterschiedlich.

Bei der Risikodefinition muss der Versicherer in der Lage sein, Kriterien zu definieren, um zu verstehen und vorherzusagen, welchen Arten von Risiken er ausgesetzt ist, da Cyber ​​ein aktuelles Produkt ist. Im Automobilgeschäft gibt es jedoch eine zentralisierte Schadensdatenbank - Segurnet in Portugal - im Fall von Cyber- Dies existiert noch nicht, obwohl es bereits mehrere Akteure (z. B. EIOPA) gibt, die auf die Notwendigkeit eines solchen Tools hinweisen. Diese Lücke behindert den Wissenstransfer, der auch eine rechtliche Vertragsgestaltung erfordert, die zwischen den verschiedenen noch sehr dynamisch ist So können Sie die Grenzen der Abdeckung definieren und enthalten.

In Bezug auf die korrekte Marktsegmentierung und die Kriterien, die beim Underwriting hilfreich sind, gibt es derzeit zwei Ansätze: einer über Fragebögen und der andere über digitale Tools zur Risikobewertung. Im ersten Fall wird ein traditioneller Ansatz verfolgt, um die wichtigsten Kriterien für Fragen an Kunden zu ermitteln und den Fragebogen zur Risikobewertung auszufüllen. Im zweiten Fall gab es mehrere Neuerungen bei der Identifizierung riskanter Haltungen durch Scannen Tools (z. B. BitSight) für das, was von dieser Organisation öffentlich zugänglich gemacht wird. Diese Einschätzung ermöglicht es, die durchschnittliche Laufzeit der Dienstleistungen zu ermitteln, die der potenzielle Versicherte den jeweiligen Kunden erbringt.

Falls wir das Risiko bereits eingegangen sind und der Vertrag besteht, schulen sich die Versicherer derzeit ebenfalls dafür Scannen Tools oder für regelmäßige Prüfungsprozesse, um zu überprüfen, ob das Risiko bestehen bleibt oder sich ändert. Wenn beispielsweise bei einem IT-Dienstleister wie AWS ein Fehler auftritt, sind alle Kunden, die über diesen Dienst verfügen, betroffen, und es kann sich daher um ein Portfolio mit sehr hohem Risiko handeln. Für Versicherer ist es äußerst wichtig, die Dynamik und die Schwankungen des Risikos zu verstehen, damit sie auch kalibrieren können, welche Versicherungsnehmer das Risiko verringert hat, aber auch welche, die steigen werden, damit sie sich anpassen können gebühr.

In Bezug auf die Risikobegrenzung haben wir auch die Notwendigkeit gesehen, einen rechtlichen Rahmen zu schaffen, der eine klare Konstruktion von Vertragsklauseln zwischen den verschiedenen Betreibern sowie Deckungen mit vordefinierten Werten und Kenntnissen der verschiedenen Ereignisse ermöglicht, um in die Richtlinien aufgenommen oder von diesen ausgeschlossen zu werden . In Großbritannien waren die Versicherer beispielsweise verpflichtet, Verluste im Zusammenhang mit auszuschließen Cyber- Ereignisse aus anderem Versicherungsschutz (z. B. ein Brand infolge eines Kurzschlusses durch a hacken).

Kurz gesagt, Versicherer müssen ihre Fähigkeiten zur Auswahl und Überwachung digitaler Risiken erwerben und verbessern sowie sich mit dem Thema befassen Cyber- Thema auf ganzheitliche Weise und beschränken Sie einige Cover, die sie sehr widrigen Situationen aussetzen können.

VVdW: Einige Beispiele wie Intel argumentieren, dass eine globale Zusammenarbeit erforderlich ist, um Cyber-Bedrohungen einzudämmen und vor ihnen zu schützen, insbesondere in Bezug auf Standardisierung und Weitergabe von Informationen. Was sind die aktuellen Initiativen dieser Art in Portugal und in Europa?

MA: Im Cyberspace gibt es keine Grenzen. Es ist ein Land, das nur uns allen gleichzeitig gehört. In diesem Zusammenhang wird es äußerst schwierig, wenn nicht unmöglich, zu verwalten und zu kontrollieren, wer zu welchem ​​Zeitpunkt Zugriff auf was hat. Die Verschiedenartigkeit, die zunehmende Komplexität und Professionalisierung sowie die Zunahme der Internetkriminalität, die mit der mangelnden Sichtbarkeit der Kriminalität verbunden ist, führen zu einem übermäßigen und gefährlichen Vertrauensniveau für Organisationen, was zu einer Zunahme der Gefährdung von Organisationen durch Cyberangriffe führt Auswirkungen dieser gleichen Angriffe.

Globale Kooperationsinitiativen, insbesondere im Zusammenhang mit der Standardisierung und dem Austausch von Informationen, sind von grundlegender Bedeutung für die Sensibilisierung von Organisationen für Cyberkriminalität, für eine koordinierte Reaktion auf Cyberangriffe und für eine allgemeine Verbesserung ihrer Fähigkeit, Cyber ​​zu identifizieren, zu mindern und sich davon zu erholen -Anschläge.

Auf nationaler Ebene haben die Arbeiten von staatlichen Stellen wie dem Nationalen Sicherheitsbüro, insbesondere dem Nationalen Zentrum für Cybersicherheit, maßgeblich zur Förderung einer Sicherheitskultur und zur Unterstützung staatlicher Stellen, Betreiber kritischer Infrastrukturen und Unternehmen beigetragen Sensibilisierung und Sensibilisierung für Informationssicherheit sowie Erhöhung der Widerstandsfähigkeit gegenüber Cyber-Angriffen.

International haben die Europäische Kommission und der Europäische Auswärtige Dienst (EAD) im Dezember 2020 eine neue EU-Strategie für Cybersicherheit vorgestellt[5] mit dem Ziel, die Widerstandsfähigkeit Europas gegen Cyber-Angriffe zu stärken und sicherzustellen, dass alle Bürger und Unternehmen in vollem Umfang von zuverlässigen und glaubwürdigen digitalen Tools und Diensten profitieren können. Die neue Strategie enthält konkrete Vorschläge für den Einsatz von Regulierungs-, Investitions- und Handlungsinstrumenten.

In frühen 2021, die europäischer Rat verabschiedete Schlussfolgerungen zur Cyber-Sicherheitsstrategie, in der es betont, dass Cybersicherheit für den Aufbau eines widerstandsfähigen ökologischen und digitalen Europas von wesentlicher Bedeutung ist und dass das Ziel festgelegt wurde, strategische Autonomie bei gleichzeitiger Wahrung einer offenen Wirtschaft zu erreichen. Dies beinhaltet die Stärkung der Fähigkeit, autonome Entscheidungen im Bereich der Cybersicherheit zu treffen, mit dem Ziel, die digitale Führung der EU und ihre strategischen Fähigkeiten zu festigen.

VVdW: Was würden Sie Versicherern empfehlen, die erwägen, in diesen neuen Geschäftsbereich einzusteigen?

NC: Das Cyber- Die Niederlassung verfügt über zwei mögliche Pfade, die sich nicht gegenseitig ausschließen: Der eine konzentriert sich mehr auf die Sicherheit und der andere mehr auf den Betrieb. Im Falle der Sicherheit gibt es verschiedene Versicherungen für Cyber-Attacke / Malware oder andere direkte Angriffsstrategien. Im Falle der Operation können wir von Beispielen wie Parametrix sprechen [6] die sich auf die Bereitstellung von Versicherungen gegen konzentriert Ausfallzeit von 3^rd Parteien, von deren Diensten die Tätigkeit der Organisation abhängt.

Die Aktivierung einer Versicherung wie der oben beschriebenen ist ein Beispiel dafür, wie Die Versicherung digitaler Vermögenswerte ist ein Marktsegment mit hohem Potenzial für Wachstum und Differenzierung. Der Ausbau der Informationstechnologie in den verschiedenen Geschäftsprozessen und in der Gesellschaft verstärkt nicht nur diesen Trend, sondern auch die damit verbundenen Schwachstellen. Daher sind Vorsichtsmaßnahmen erforderlich.

Es ist auch wichtig, dass Versicherer einen Technologiepartner finden, der sie in drei sich ergänzenden Dimensionen unterstützt: in Bezug auf den internen oder externen Kunden; in einer strategischen Dimension; Entwerfen, Implementieren, Kommunizieren und Verwalten von Veränderungen.

MA: Strategisch ist es wichtig, einen Sicherheitsplan zu definieren. Wir bei everis glauben, dass die Grundlage eines erfolgreichen Sicherheitsplans die korrekte Identifizierung der Risiken ist, denen das Unternehmen ausgesetzt ist, sowie die tatsächlichen Auswirkungen und die Wahrscheinlichkeit dieser Risiken. Wir unterstützen nationale und internationale Organisationen durch die Durchführung von Cyber-Analysen - Risiken, die auf den wichtigsten Methoden und Standards basieren und durch iterative Prozesse systematisiert werden, die für die Organisation transversal sind. Diese von unseren Experten für Cyber-Risiken durchgeführten Analysen ermöglichen es uns, die erforderlichen kritischen Sicherheitskontrollen zu identifizieren und zu priorisieren, den Sicherheitsplan für die Implementierung festzulegen und die Tools und Technologien zu identifizieren, die die Annahme eines angemesseneren Sicherheitsmodells oder einer angemesseneren Sicherheitsstrategie unterstützen die Organisation.

Aus Sicht des Designs und der Implementierung muss der Partner strategische Partnerschaftsbeziehungen mit den wichtigsten Herstellern von Sicherheitslösungen, Marktführern, differenziertem Wissen und der erforderlichen Erfahrung beim Design und der Implementierung dieser Lösungen gewährleisten. Diese beiden Faktoren garantieren den Versicherern die notwendigen Kapazitäten für die Einführung dieser Technologien, von der Analyse und Gestaltung der zu implementierenden Prozesse und Architekturen bis hin zu deren Installation und Integration in den bestehenden Technologiepark, wodurch Informationssicherheit und Cybersicherheit zu einem Differenzierungsfaktor werden Markt, in dem sie tätig sind.

In Bezug auf die Informationssicherheit glauben wir, dass es notwendig ist, Überzeugungen zu ändern, um Verhaltensweisen zu ändern. Die Mitarbeiter des Unternehmens sind die Hauptakteure des Wandels. In diesem Aspekt unterstützt everis durch seine multidisziplinären Teams Organisationen bei der Definition und Durchführung von Änderungsmanagement- und Kommunikationsplänen sowie bei der Erstellung und Durchführung von Sensibilisierungsprogrammen, die an die Geschäfts- und Organisationskultur angepasst sind Zeit, und die Mechanismen zur Bewertung ihrer Wirksamkeit enthalten.

[2] https://www.hiscoxgroup.com/cyberexposurecalculator/

[3] http://www.guycarp.com/insights/silent-cyber-web.html

[4] https://kennedyslaw.com/thought-leadership/article/non-affirmative-cyber-risk-phase-2-classes-of-business/

[5] https://www.consilium.europa.eu/en/policies/cybersecurity/

[6] https://parametrixinsurance.com/