Managing Partner
CRUX Insurance Broker
La aceasta intrebare a incercat sa raspunda un studiu facut de Lloyds impreuna cu University of Cambridge's Centre for Risk Studies dat publicitatii in iulie 2015 referitor la impactul pe care l-ar avea un colaps al sistemului energetic (engl. blackout) in 15 state americane plus Washington DC ca urmare a unui atac cibernetic. Raspunsul este de-a dreptul infricosator.... Impactul total asupra economiei americane in cazul unui atac cibernetic ar putea fi de pana 243 miliarde de dolari, iar pentru cel mai rau scenariu pierderile ar fi de pana la 1.000 miliarde. Daunele ce ar fi acoperite de piata asigurarilor ar fi de aproximativ 21,4 miliarde in primul caz, mergand pana la 71,1 miliarde de dolari pentru scenariul cel mai sumbru.
Probabil ca aceasta intrebare este de foarte multe ori adresata directorilor de IT ai companiilor din domeniul tehnologiei, comertului, financiar, utilitatilor, energiei si sanatatii - care sunt in general companiile ce sunt cele mai expuse riscurilor cibernetice si care cauta de cele mai multe ori sa se protejeze impotriva consecintelor financiare ce le-ar avea producerea unor astfel de riscuri. Din pacate deseori raspunsul pe care ar putea sa il dea un director de IT este ca: 'e foarte greu de estimat'. Motivul? Varietatea expunerilor este foarte mare, iar posibilitatea de a estima un impact financiar pentru fiecare dintre acestea este dificil. Un atac cibernetic poate conduce la pierderi care sa afecteze proprietatea (tangibila sau intangibila), la pierderi directe sau indirecte de profit (business interuption/ contingent business interuption) sau poate sa atraga raspunderea civila (vatamari corporale, daune materiale, calomnie, incalcarea proprietatii intelectuale sau daune cauzate de erori si omisiuni) si nu in ultimul rand daune datorate reputatiei, acestea din urma fiind expuneri neasigurabile, dar care se pot trata prin planurile de continuitate in afaceri sau management al crizei ale companiilor.
Riscurile cibernetice in SUA
Interesul pentru a se transfera acest risc prin asigurare in SUA este foarte mare, piata crescand de la an la an si ajungand in 2014 in la 2,7 miliarde de dolari (fata de 2 miliarde in 2013) - conform unui studiu al Betterley Risk Consultants Inc. Potentialul de crestere este mare, estimandu-se ca piata va continua sa creasca cu doua cifre de la an la an. Printre factorii ce influenteaza cresterea cererii se numara evenimentele tot mai dese de incalcare a securitatii datelor, educarea pietei de catre brokeri/asiguratori, dar si ca urmare a introducerii de catre Security and Exchange Commission (SEC - reglementatorul pietei de capital din SUA) in 2011 a obligativitatii companiilor listate la bursa de raportare a modalitatii in care se trateaza din punct de vedere financiar riscul cibernetic. Chiar si fara a fi listate la bursa din ce in ce mai multe IMM-uri din SUA care desi nu activeaza in domeniile mai sus mentionate incep sa constientizeze si sa isi acopere riscurile cibernetice prin asigurari. Spre exemplu, simpla existenta a unui web-site atrage o expunere de raspundere fata de promovare a produselor si serviciilor, iar un atac cibernetic poate sa modifice continutul site-ului fara sa fie observat acest lucru si sa conduca la daune de raspundere civila intrucat in general companiile sunt mult mai putin precaute in a urmari continutul web-site-ului comparativ cu continutul metodelor de comunicare clasice (brosuri, publicitate in mass media etc).
In ceea ce priveste tipurile de asigurari pentru riscurile cibernetice acestea sunt foarte diverse. In cele mai multe cazuri acestea sunt incluse ca acoperiri suplimentare pe politele de proprietate sau raspundere, insa exista si polite dedicate, cu mai multe sectiuni ce acopera tipurile de expuneri mai sus mentionate. Marea majoritate a asiguratorilor ce au produse dedicate riscurilor cibernetice au capacitati de acoperire a acestor riscuri de pana la 10-25 milioane de dolari, existand insa si asiguratori cu capacitati de pana la 100 milioane sau chiar mai mult, insa numarul lor este limitat si in general se adreseaza companiilor cu expuneri foarte mari. Desi numarul daunelor creste de la an la an - cu o dauna medie platita de asiguratori pentru incalcarea securitatii datelor de aproximativ 200.000 de dolari, aceste tipuri de asigurari sunt profitabile pentru asiguratori, ca atare tot mai multi intra pe aceasta piata. Existand capacitate suficienta si fiind profitabile, piata este una relativ soft, rezultatul fiind ca aceste asigurari sunt relativ accesibile, un IMM american tipic putand sa negocieze conditii si termeni favorabili. In ceea ce priveste managementul riscului, daca pentru IMM-uri, care cumpara limite in general reduse, nu sunt impuse de obicei masuri speciale de management al riscului cibernetic, pentru a face acceptabil pentru asiguratori un potential client ce doreste limite mari sau/si are expuneri complexe, asiguratorii cer ca diverse masuri de management al riscului cibernetic (fizice, proceduri de control, de control al personalului, de management, investigarea incidentelor etc) sa fie implementate inainte de a se accepta sa se acopere respectivul risc.
Situatia pietei de asigurari de risc cibernetic in Romania si cum s-ar putea imbunatati
Contrar tendintelor de pe piata internationala, in Romania cererea de asigurari pentru riscurile cibernetice este foarte redusa si nu pare sa aiba un reviriment prea curand. Deseori aprecierea subiectiva a riscului este unul dintre motive (raspunsul clasic - 'mie nu mi se poate intampla') acest motiv nefiind insa singurul. Asa cum mentionam mai sus, datorita unor acoperiri ce exista deja in programele de asigurari existente, fac ca potentialul asigurat sa creada ca are deja acoperite riscurile cibernetice, desi nu are o privire de asamblu asupra tuturor expunerilor la riscuri cibernetice la care este expus. De asemenea unul dintre motive este si lipsa de intelegere a politelor specifice, acesta fiind si unul dintre principalele obstacole pentru care potentialii clienti nu cumpara polite de asigurare de risc cibernetic nu numai la noi ci si la nivel international, 73% dintre potentialii clienti mentionand ca nu inteleg expunerea la riscuri cibernetice, iar 48% nu inteleg produsele de asigurare specifice conform unui studiu al Partner Re din 2014. Ca atare probabil in Romania ca este necesara o noua abordare a pietei, similara cu cea pentru microasigurari (asigurari asociate creditelor de nevoi personale sau leasing-ului) care au in comun ceea ce se poate cuprinde in acronimul SUAVE (Simple, Usor de inteles, Accesibile, Valoroase pentru client si Eficiente).
- Produsele trebuie sa fie Simple si targetate - spre exemplu nu este nevoie sa fie prezentata unui potential asigurat o expunere de cyber contingent business interuption cand el nu are o expunere de acest gen;
- Produsele trebuie sa fie Usor de inteles - deseori celui caruia i se prezinta produsul/expunerea ii lipseste limbajul specific de asigurari si chiar si de IT (daca decidentul este un CFO sau CEO) si ca atare este necesar ca asiguratorul/brokerul sa nu foloseasca un argou specific asigurarilor, ci un limbaj cat mai simplu de inteles de potentialul asigurat;
- Informatiile despre asigurari/expuneri trebuie sa fie usor Accesibile - desi au existat chiar si in Romania foarte multe seminarii, conferinte pe teme legate de riscuri cibernetice, iar brokerii au inceput sa promoveze agresiv asigurarile specifice, totusi marea majoritate a companiilor nu au acces la un set complet de informatii despre produse/expuneri; spre exemplu chiar si in Marea Britanie, care este o piata sofisticata din punct de vedere al cumparatorilor de asigurari, doar 2% dintre companii cumpara polite dedicate riscurilor cibernetice, restul cumparand extensii ale politelor clasice de proprietate sau raspunderi ce acopera doar anumite riscuri cibernetice, iar motivul este lipsa accesului facil la informatiile despre produsele dedicate. In plus trebuie diversificate canalele de promovare - cu cat vor fi mai multi brokeri care vor explica expunerile si vor promova produsele specifice informatia va ajunge mai repede la potentialii clienti;
- Produsele trebuie sa fie Valoroase pentru client - este prima adecvata pentru tipul de client careia se adreseaza produsul? Este acoperirea ceea ce are nevoie clientul? Acestea sunt intrebarile la care trebuie raspuns inainte de a fi promovat produsul/explicata expunerea - spre exemplu al treilea obstacol in promovarea asigurarilor de risc cibernetic este costul conform Partner Re (47% dintre repondenti); acoperirea trebuie sa fie cat mai usor de customizat pentru a se putea oferi clientului exact ceea ce are nevoie si pentru a nu incarca cu prima suplimentara pentru o acoperire suplimentara doar pentru a vinde ceva in plus caci senzitivitatea la pret este destul de mare conform studiului Partner Re;
- In final si probabil ca ar fi trebuit inceput cu acest lucru: Eficienta - necesara atat din punct de vedere al vanzarii cat si al daunelor pentru a se putea mentine costul redus al produselor de asigurare pentru riscul cibernetic.
Este nevoie de mult efort din partea tuturor actorilor pietei de asigurari pentru a creste piata si a proteja economia romaneasca impotriva unor daune ce pot fi catastrofale, daca facem o extrapolare a potentialelor daune produse de riscurile cibernetice economiei americane. Riscurile cibernetice sunt o reala amenintare - ele au fost considerate la intalnirea de la Davos din 2015 a World Economic Forum intre primele 5 riscuri la nivel global, ca atare Romania si companiile romanesti nu fac exceptie.