Asigurarea riscului cibernetic - o mare provocare cu care se confruntă economiile moderne

Articol realizat de dl. prof.univ.dr. Leonardo Badea, Presedintele ASF È™i dl. lect.univ.dr. Călin Rangu, Director în cadrul ASF

Articolul este inclus în numărul 6 al Revistei de Studii Financiare.

Introducere

Tehnologia informaÈ›iei È™i a comunicaÈ›iilor digitale este prezentă zilnic în viaÈ›a noastră, atât personală cât È™i a activităților profesionale, în servicii, în comerÈ›, în susÈ›inerea infrastructurilor critice, peste tot. Dacă în asigurări unul din conceptele principale este cel de omogenizare, prin conectarea tuturor într-o reÈ›ea distribuită, prin intermediul Internetului, participăm la o reÈ›ea globală, omogenă. DeÈ™i această reÈ›ea virtuală si utilizatorii săi, sunt expuÈ™i unor mari È™i noi riscuri, amenințări concrete care fructifică din ce în ce mai mult vulnerabilitățile instituÈ›iilor, companiilor È™i a persoanelor, conexiunea cu asigurările nu s-a realizat încă È™i este impetuos necesar să se realizeze pentru desfășurarea unei vieÈ›i digitale liniÈ™tite.
Conform Geneva Association  riscul cibernetic este cu siguranță cea mai mare provocare cu care se confruntă economiile  moderne. Acesta poate fi definit ca orice risc care decurge din utilizarea tehnologiei informaÈ›iilor È™i a comunicaÈ›iilor inclusiv  „încercarea deliberată a unor infractori informatici care se folosesc de internet pentru a utiliza reÈ›elele de calculatoare asupra cărora au preluat controlul în scopul de a modifica, de a bloca sau de a distruge sisteme computerizate, reÈ›ele de calculatoare ori date sau programe stocate pe ele ori transmise de acestea” . Atacurile cibernetice compromit confidenÈ›ialitatea, disponibilitatea sau integritatea datelor sau a serviciilor. Acestea duc la întreruperea activităților/afacerilor, indisponibilizând infrastructurile critice (servicii publice, energie, transport, financiar etc), afectând oameni È™i proprietăți.
NoÈ›iunea de risc cibernetic cuprinde o multitudine de riscuri care amenință bunurile firmelor, guvernelor sau persoanelor fizice, pierderile în general incluzând active financiare sau nefinanciare, identități, divulgarea de informaÈ›ii sensibile È™i întreruperea activităților/afacerii.
Riscurile cibernetice apar ca rezultat fie al atacurilor intenÈ›ionate (criminale, teroriste, susÈ›inute de state ostile, activiÈ™ti, È™antaj sau din motive personale), fie evenimentelor accidentale (È™tergeri date, întreruperi servicii) .

1.    Amenințările cibernetice se află într-un trend de creÈ™tere, atât din punct de vedere al numărului, cât È™i al complexității

Conform raportului CERT-RO  privind evoluÈ›ia amenințărilor cibernetice pentru anul 2017 alertele de securitate cibernetică în România au crescut cu 25% față de anul 2016, afectând 33,71% (2,89 de milioane) adrese IP unice din România, din totalul IP-urilor alocate RO. Un procent de 10,32% (14,33 mil.) din alertele procesate se referă la sisteme informatice compromise, în sensul că, fie au fost infectate, fie au fost exploatate  È™i utilizate de atacatori în diferite tipuri de atacuri.
La nivel mondial atacurile majore sunt într-o creÈ™tere accelerată conform Fig.1, în primele 3 luni din 2019 s-au înregistrat 13 atacuri cibernetice importante conform CSIS & Hackmageddon .
 

Figura nr. 1. EvoluÅ£ia anuală a numărului de atacuri cibernetice în perioada 2006 – 2018
Sursa : CSIS & Hackmageddon 2019 şi prelucrări proprii

Pe baza informaÈ›iilor disponibile publicului conform CSIS Technology Policy Program È™i hackmageddon.com, privind spionajul cibernetic È™i războiul cibernetic, excluzând criminalitatea informatică țările de origine È™i al victimelor ar fi cele reprezentate în Fig. 2. Campaniile de spionaj de lungă durată au fost tratate ca evenimente singulare în scopul totalurilor incidentelor. Datele sunt parÈ›iali deoarece unele state ascund incidentele, în timp ce altele nu reuÈ™esc să le detecteze.

Figura nr. 2.  Reprezentarea grafică pe ţări a numărului de atacuri cibernetice ÅŸi de victime, cumulate din 2006 până în 2019, CSIS Technology Policy Program
Sursa: CSIS & Hackmageddon

Estimarea costului incidentelor cibernetice este o provocare, companiile evitând a raporta pierderile. La nivel mondial se estimează pierderi cauzate de riscurile cibernetice la aproape 0,5 % din PIB-ul mondial È™i aproape de două ori mai mult decât media anuală a pierderilor cauzate de dezastrele naturale . Dacă replicăm la nivelul României acelaÈ™i procent de 0,5% din PIB ar rezulta pierderi de aproximativ 9 miliarde de EURO.
Valoarea pierderilor financiare generate de riscul cibernetic este dificil de estimat, existând un deficit de informaÈ›ie. Unele activități de criminalitate informatică nu au un cost direct  sau nu pot fi cuantificate. Industria de profil încearcă să estimeze costurile totale, costurile per incident, È™i costul pe înregistrare a unei încălcări a datelor conform tabelului 16. Fig.3 È™i Fig. 4 prezintă estimări ale costurilor medii anuale ale criminalității informatice pe domenii È™i principalele țări afectate.

Tabel nr. 1. Costuri estimate ale criminalității informatice

 
Sursa: Geneva Association, 2016

În conformitate cu estimările companiei multinaÈ›ionale „Accenture”, de consultanță în management, soluÈ›ii tehnologice È™i outsourcing, pe perioada 2015-2018, cele mai mari daune ale crimei cibernetice se înregistrează în domeniul pierderii informaÈ›iilor stocate electronic (circa 6 milioane de dolari SUA, în 2018), urmate de întreruperea afacerilor (circa 4 milioane de dolari SUA, în 2018), pierderile din cifra de afaceri ÅŸi avarierea echipamentelor (fig. nr. 3.):  
 
Figura nr. 3. Costurile medii anuale ale crimei cibernetice pe principalele domenii ale pierderilor
Sursa: Accenture, 2019

Sunt prezentate în continuare estimările aceleiaÈ™i companii, pe ţări dezvoltate, în care SUA deÅ£ine recordul cu peste 27 milioane de dolari SUA, în 2018, urmată de Japonia, Germania Regatul Unit etc. (fig. nr. 4.).

 
Figura nr. 4.  Costurile medii anuale ale crimei cibernetice pe principalele ţări afectate

Sursa: Accenture, 2019
    
Pe baza unui barometru al riscurilor , realizat prin interviuri asupra a 968 de participanți, la nivelul anului 2019 s-au stabilit principalele cauze ale pierderilor generate de incidentele cibernetice (fig. 5):
1.    Întreruperea afacerii
2.    Pierderea reputaÈ›iei
3.    Daunele generate de pierderea datelor
4.    Costurile cu restaurarea datelor
5.    Amenzi È™i penalități
 
 
Figura nr. 5. Principalele cauze ale pierderilor economice cauzate de incidentele cibernetice

Sursa: Allianz Risk Barometer, 2019

Ca urmare a aplicării Regulamentului GDPR costuri majore, suplimentare, pot fi generate de afectarea datelor cu caracter personal.

2.    Impactul financiar care poate fi acoperit de asigurările de risc cibernetic:

• furtul de active (financiare),
• întreruperea activităților/afacerii cu afectarea veniturilor/cifrei de afaceri,
• costurile pentru protecÈ›ie È™i despăgubiri, costuri adiÈ›ionale cu investigarea pierderilor, costurile de comunicare (autorități, clienÈ›i, păgubiÈ›i) È™i de reparare.

Cu toate aceste pierderi, nivelul asigurărilor de risc cibernetic este foarte redus în comparaÈ›ie cu volumul de ansamblu al pieÈ›ei asigurărilor. Swiss Re estimează ca în 2025 (Fig. 6) acest volum să ajungă la aproximativ 1% din piaÈ›a globală a asigurărilor.
 

Figura nr. 6. Evoluția primelor subscrise pentru asigurările cibernetice

Sursa: Swiss Re, 2018

Previziuni similare realizează È™i portalul german on line pentru statistici „Statista”  pentru primelor de asigurare cibernetică subscrise la nivel mondial în perioada 2014-2020 conform Fig. 7.
 
Figura nr. 7. Valorile estimate ale primelor subscrise pentru asigurările de risc cibernetic 2014-2020 (miliarde USD)
Sursa: © Statista 2019

Conform Raportului privind analiza tematică referitoare la asigurarea de risc cibernetic , elaborat de către A.S.F., riscurile cibernetice sunt în responsabilitatea atât a managementului instituÈ›iilor È™i companiilor, cât È™i la nivel de angajaÈ›i, asigurările cibernetice putând acoperi È™i riscurile profesionale generate de riscurile cibernetice.
Majoritatea politicilor de asigurare a proprietății acoperă pagubele fizice (chiar dacă întreruperea activității este în mod constant o parte din partea de proprietate comercială) È™i în general exclude riscul cibernetic. La nivel mondial mai puÈ›in de 10% dintre companii sunt considerate a fi achiziÈ›ionat astăzi produse de asigurări cibernetice. În România nu avem informaÈ›ii.
Asigurarea este un instrument care completează (È™i nu înlocuieÈ™te) cadrul de gestionare a riscurilor pe care fiecare organizaÈ›ie ar trebui să îl aibă È™i, prin urmare, este relevant deoarece :

• În fiecare zi, organizaÈ›iile se luptă împotriva riscului, concentrându-se asupra frecvenÈ›ei (evitând un incident) prin prevenirea È™i securitatea cibernetică (CISO, CERT etc.)
• În cazul în care atacul are succes È™i impactul este amplu, consecinÈ›ele financiare pot fi uriaÈ™e, iar repercusiunile politice / sociale/ destabilizarea politică / invazia militară sunt uÈ™urate dacă infrastructurile cheie devin nefuncÈ›ionale (energia, telecomunicaÈ›iile, băncile, administraÈ›iile publice, transportul, infrastructuri etc.)
• Asigurarea informatică există pentru a îmbunătăți rezistenÈ›a organizaÈ›iilor prin sprijin financiar.

Accenture în 2018  a prezentat propria analiză asupra costurilor medii ale criminalității informatice, observând că investiÈ›iile în securitatea informatică au un impact pozitiv major (fig. 8) È™i corelaÈ›ia dintre costul anual al criminalității cibernetice ÅŸi dimensiunea organizaÈ›ională a companiilor afectate (fig. 9).

 
Figura nr. 8. Costul mediu global al criminalității cibernetice în perioada 2013 – 2017
Sursa: Accenture, 2018

De asemenea, compania Accenture ne prezintă, la nivelul anului 2017, o evoluÈ›ie a costului anual al criminalității cibernetice în funcÈ›ie de mărimea firmelor afectate din SUA cu un vârf de pierderi de peste 75 milioane dolari SUA pentru companii mari. Regresia acestor înregistrări ne indică, în medie, un vârf de peste 25 milioane dolari SUA pentru firme foarte mari.

 
Figura nr. 9. Corelația dintre costul anual al criminalității cibernetice și dimensiunea organizațională a companiilor afectate
Sursa: Accenture, 2018

3.    Asigurarea riscurilor cibernetice are trei provocări principale :

• Lipsa previzibilității pierderilor cibernetice. Expunerile sunt în mare parte imprevizibile nu numai din cauza lipsei de date statistice din trecut, dar mai mult din cauza dinamicii criminalității cibernetice È™i a riscurilor asociate care complică evaluarea acestora.
• Asimetria informaÈ›ională. SelecÈ›ia adversă este aproape inevitabilă, organizaÈ›ii care au luat asigurare de risc cibernetic au experimentat incidente cibernetice înainte de a cumpăra asigurarea. Lipsa datelor privind pierderile afectează clasificarea riscului deÈ›inătorilor de poliÈ›e de asigurare.
• Limitele de acoperire. Politicile tind să acopere doar pierderi maxime limitate (10-500 milioane USD, vezi, Biener, Eling, Matt È™i Wirfs, 2015; Finkle, 2015), È™i conÈ›in mai multe excluderi (de exemplu, pierderi provocate de sine, accesarea site-urilor nesigure sau a terorismului). PotenÅ£ialele scenarii extreme (uneori numite "Cybergeddon") nu pot fi acoperite de poliÈ›a de asigurare. În plus, ar putea fi indirect neacoperite efectele pierderilor cibernetice care nu pot fi măsurate (de exemplu, pierderile de reputaÈ›ie È™i impactul acestora privind preÈ›urile acÈ›iunilor). Un alt aspect problematic al acoperirii este complexitatea poliÈ›ei. Având în vedere numărul de excluderi È™i natura dinamică a riscului cibernetic, există incertitudine cu privire la ceea ce poliÈ›a de risc cibernetic acoperă de fapt, incertitudine asupra terminologiei convenite, situaÈ›ie care face ofertele de asigurări foarte greu de comparat.

Deloitte  a prezentat cercul vicios al asigurărilor cibernetice (fig. 10) care pune accentul pe faptul că lipsa datelor istorice este, probabil, provocarea fundamentală È™i contribuie la strângerea limitele de acoperire pe pieÈ›ele de asigurări cibernetice È™i apariÈ›ia de excluderi, cum ar fi pierderile de la accesarea site-urilor nesigure sau a terorismului. Unele efecte indirecte ale incidentelor cibernetice nu pot fi măsurate È™i, ca rezultat, nu sunt acoperite ( de exemplu daunele reputaÈ›ionale) .

 
Figura nr. 10. Cercul vicios al asigurărilor cibernetice
Sursa: Deloitte, 2017
    
Cu toate aceste neajunsuri există deja produse de asigurare cibernetică globală oferite la nivel internaÈ›ional È™i adaptate profilului de risc al companiei client. Acestea permit companiilor să beneficieze de o protecÈ›ie completă împotriva criminalității cibernetice È™i a altor incidente cibernetice, indirecte sau externe, rău intenÈ›ionate sau accidentale.

4.    Cele mai importante  5 abordări la nivel global pentru astfel de produse, ar fi:

1. abordarea de sprijinire a clienÈ›ilor cu nevoi de asigurare cibernetică, oferind instrumente de prevenire a pierderilor informatice È™i servicii orientate spre recâÈ™tigarea stabilității în urma unor atacuri cibernetice.
2. abordarea unei zone estinse prin introducerea în mod specific a cazurilor  de eÈ™ec uman sau neglijență a angajaÈ›ilor, deci nu doar asigurări cibernetice de afaceri, dar asigurare în mod individual. Unele domenii cheie din această acoperire includ pagubele produse de hackeri, furtul cibernetic, ingineria socială, extorcarea cibernetică È™i răspunderea pentru mass-media on-line.
3. abordarea analizării gradului în care un client gestionează riscul. Această evaluare cantitativă utilizează modele statistice care sunt apoi aplicate procesului de subscriere. Recunoscând o temă a organizaÈ›iilor care se concentrează în întregime pe evitarea încălcărilor, în general, se urmăreÈ™te o abordare pe care întreprinderile o doresc, personalizată calculând cele mai mari riscuri cibernetice care se confruntă cu o anumită È›intă È™i construind o politică în consecință.
4. abordarea integrată cu managementul tehnologic  clarifică faptul că tehnologia È™i, mai precis, cyber-space ul  au creat o forma de asigurare cu totul nouă. Recunoscând modul în care tehnologia acum pătrunde în societate, se remarcă nivelul ridicat al riscului pe care îl aduce acest lucru. Abordarea a fost formulată pentru a privi dincolo de protecÈ›ia financiara, oferind de asemenea o capacitate de consultanță in spaÈ›iul cibernetic. De fapt sprijinul acordat de experÈ›i în acest domeniu poate ajuta, clienÈ›ii să-È™i îmbunătățească siguranÈ›a. Există platforme care  oferă acces la zeci de asiguratori de risc cibernetici . Folosind această armadă de asistență, se propun, de asemenea, politici de asigurare cibernetică adaptate clienÈ›ilor individuali È™i propriului lor profil de risc specific.
5. abordarea din perspectiva complexității amenințărilor cibernetice. ProtecÈ›ia de confidenÈ›ialitate este o zonă centrală de interes, furnizând acoperirea riscului de reputaÈ›ie, o zonă crucială din cauza creÈ™terii frecvenÈ›ei È™i gravității încălcărilor privind protecÈ›ia  datelor. Sunt luaÈ›i în considerare factori precum costurile medico-legale È™i costurile de monitorizare a creditelor È™i cheltuielile de PR.

În ciuda numeroaselor provocări la adresa asigurării riscului cibernetic, aceste exemple dovedesc că există, modele de risc È™i seturi de date relevante ce se îmbunătățesc continuu. Noii jucători vor creÈ™te capacitatea pieÈ›ei, iar concurenÈ›a se va intensifica.
Swiss Re se aÈ™teaptă să crească brusc asigurarea globală de risc cibernetic la 18 miliarde USD până în 2025; totuÈ™i, aceasta ar fi în continuare mai mică de 1% din piaÈ›a globală de asigurări generale. 99% din pagubele provocate de incidente cibernetice rămân neasigurate.
Nu în ultimul rând, problema fundamentală a asigurării cibernetice poate fi abordată de către parteneriate public-privat pentru a dezvolta din perspectiva riscurilor cibernetice un parteneriat comercial robust.

5.    Asigurarea riscurilor cibernetice este un subiect important pentru autorități  cel puÈ›in din următoarele 6 motive:

1.    Este un element de stabilitate economică, socială È™i politică, atât pentru infrastructurile critice, guvernamentale, cât È™i pentru cele comerciale È™i personale, inclusiv pentru sectorul financiar È™i ar trebui să fie utilizat în evaluarea solidității/sănătății financiare È™i a susÈ›inerii activității prin recuperarea rapidă a pierderilor È™i continuarea activității
2.    Poate fi un element al securității naÈ›ionale (să susÈ›ină activitatea instituÈ›iilor de profil – SRI, MAPN, etc)
3.    Este benefic pentru societate, deoarece pretenÈ›iile legate de confidenÈ›ialitatea datelor (adică pierderea datelor clientului de către un operator de telecomunicaÈ›ii, în sistemul medical, cel de protecÈ›ie  socială, în sistemul bancar È™i nebancar etc.) vor avea un impact asupra vieÈ›ii tuturor cetățenilor. Capacitatea de despăgubire rapidă, cu sprijinul financiar al unui asigurător, este o garanÈ›ie că aceste crize generate de producerea riscului nu va genera unele tulburări în rândul populaÈ›iei timp de luni de zile.
4.    Riscurile cibernetice nu pot fi eliminate oricât s-ar investi, atacatorii fiind înaintea soluÈ›iilor tehnice de remediere. Poate fi acoperit financiar prin sistemul de asigurări, doar un risc rezidual major pentru evitarea răspunderii atât financiare a instituÈ›iilor/companiilor (care pot determina chiar incapacitate de plată), cât È™i personale, sociale, sau chiar penale.
5.    TendinÈ›ele È™i interdependenÈ›ele tehnologice vor aduce noi riscuri cibernetice majore prin interconectarea caselor, a vieÈ›ii curente prin sisteme inteligente (IoT), inteligență artificială, robotică etc.
6.    În prezent instituÈ›iile de rating  È™i autoritățile cer măsuri concrete de eliminare a riscurilor cibernetice, solicitând aplicarea de reglementări, standarde, audituri, care se completează natural cu asigurarea pe zonele în care vulnerabilitățile nu pot fi acoperite tehnic. Unul dintre cele mai importante acte legislative adoptate în domeniul securității cibernetice la nivel european este „Directiva pentru securitatea reÈ›elelor È™i a sistemelor informatice” (NIS Directive 2016/1148)  a Parlamentului European, care stabileÈ™te măsuri în vederea obÈ›inerii unui nivel comun ridicat de securitate a reÈ›elelor È™i a sistemelor informatice în cadrul Uniunii, astfel încât să se îmbunătățească funcÈ›ionarea pieÈ›ei interne. Această directivă solicită măsuri concrete la nivelul infrastructurilor critice dar nu numai, reglementările alocând responsabilitatea către factorii de răspundere È™i către instituÈ›ii/companii.



Calendarul de implementare al Directivei NIS este următorul:

August 2016    –    Intrarea în vigoare a Directivei
Februarie 2017    6 luni    Grupul de cooperare îÈ™i începe activitățile
August 2017    12 luni    Comisia Europeană adoptă actele de punere în aplicare a cerinÈ›elor de securitate È™i notificare pentru furnizorii de servicii digitale
Februarie 2018    18 luni    Grupul de cooperare stabileÈ™te programul de lucru
9 Mai 2018    21 de luni    Transpunerea Directivei NIS în legislaÈ›ia naÈ›ională
Noiembrie 2018    27 de luni    Statele membre vor identifica operatorii de servicii esenÈ›iale
Mai 2019    33 de luni (1 an de la transpunere)    Raportul Comisiei Europene
Mai 2021    57 de luni (3 ani de la transpunere)    Revizuire de către Comisia Europeană

EvoluÈ›ia amenințărilor cibernetice va creÈ™te în frecvență È™i în sofisticare. InstituÈ›iile/companiile au nevoie de o strategie cuprinzătoare de management al riscului cibernetic – strategie bazată pe modelarea riscurilor economice, pe securitate cibernetică optimizată, pe programe de asigurare cibernetică robustă È™i pe capabilități de reacÈ›ie eficace È™i care să răspundă în timp util È™i eficient, menÈ›inând întreruperile la minimum È™i asigurând revenirea la operaÈ›iunile normale cât mai repede posibil, cu costuri cât mai reduse .
În general despre riscurile cibernetice se discută tehnic, cu noÈ›iuni specializate domeniului IT, dar acest subiect deja transcende acest domeniu È™i este transpus în domeniul afacerilor, al economiei sociale, a modelării matematice È™i statistice, a managementului datelor, a teoriilor incertitudinii, a managementului riscurilor, (de exemplu, Maillart È™i Sornette 2010; Biener, Eling È™i Wirfs, 2015). Aceste noÈ›iuni privesc domeniul complexității È™i a structurilor de risc dependente (de exemplu, Hofmann È™i Ramaj, 2011; Ögüt, Raghunathan ÅŸi Menon, 2011) sau domeniul selecÈ›ie adversă ÅŸi al problemelor de hazard moral (de exemplu, Gordon, Loeb È™i Sohail, 2003), domeniul infrastructurilor critice (de ex Forum economic, 2010; Ruffle ÅŸi colab., 2014; Lloyd's, 2015b; Long Finance, 2015). Studiile existente confirmă provocările în gestionarea riscurilor È™i a asigurării riscurilor cibernetice.4
Conform Asociației de la Geneva, prin documentul Ten Key Questions on Cyber Risk and Cyber Risk Insurance4, s-a constat că:

• O cădere globală al internetului este puÈ›in probabilă, dar căderi limitate la nivel regional au avut deja loc; având în vedere conexiunea la nivel global între economie È™i societate, identificăm consecinÈ›e potenÈ›iale masive ale unor scenarii extreme privind companiile È™i persoanele fizice. AcelaÈ™i lucru este valabil È™i pentru alte scenarii cibernetice, cum ar fi, de exemplu, blocarea sistemelor energetice. Pentru asiguratori, astfel de scenarii reprezintă un risc de acumulare putând inhiba asigurarea la nivel general, dacă nu se aplică metode hibride de analiză.
• PiaÈ›a asigurărilor cibernetice este în prezent mică în comparaÈ›ie cu alte linii de afaceri, dar este de aÈ™teptat să crească semnificativ în următorii ani. Statele Unite ale Americii sunt înaintea Europei È™i a Asiei, de exemplu, în ceea ce priveÈ™te cerinÈ›ele de raportare. Principalele probleme ale extinderii acestor asigurări sunt lipsa datelor, riscul de schimbare, riscul de acumulare È™i potenÈ›ialele probleme generate de hazardul moral.
• Datele privind riscul cibernetic sunt foarte puÈ›ine, deoarece victimele sunt reticente să raporteze astfel de evenimente. Cele mai multe lucrări empirice privind riscul cibernetic se bazează pe informaÈ›ii privind pierderea datelor (nu pierderea de informaÈ›ii), dar recent s-au constituit primele baze de date cu pierderi (NetDiligence (2014) în SUA, Biener et al. (2015) la nivel global).
• Industria de asigurări ar trebui: să dezvolte standarde, taxonomii È™i bune practici comune ; să dezvolte analize de scenarii; să iniÈ›ieze È™i / sau intensifice dialogul cu părÈ›ile interesate; să urmărească dezvoltările tehnologice (cloud computing, Internet of Things, blockchain etc.), să crească propriile abilități analitice (criminalistică digitală) È™i să facă propriul IT mai rezistent, să susÈ›ină concret asigurarea cibernetică fie prin dezvoltarea de baze de date anonime de (re) asigurare È™i dezvoltarea de noi politici, fie prin stabilirea de noi modele È™i abordări pe bază de consultanță È™i evaluare
• Modelarea frecvenÈ›ei È™i severității riscului cibernetic poate fi făcută prin aplicarea teoria valorilor extreme È™i abordarea vârfurilor peste limită. Au fost propuse distribuÈ›ii, legea puterii sau distribuÈ›ia log-normală pentru severitate È™i distribuÈ›ia binomială negativă pentru frecvență. Agregarea riscului cibernetic trebuie să ia în considerare dependenÈ›a neliniară. Analiza de scenarii este un instrument popular în astfel de situaÈ›ii.
• Pentru a preveni riscurile cibernetice trebuie să se intensifice combaterea criminalității informatice prin colaborare internaÈ›ională, să se iniÈ›ieze dialoguri globale È™i convenÈ›ii care vizează limitarea războiului cibernetic, să se  stimuleze rezilienÈ›a sistemelor IT, să se  introducă cerinÈ›e de raportare, sprijinirea dezvoltării bazelor de date cu incidente cibernetice È™i elaborarea de standarde minime pentru atenuarea riscurilor.
•  Pentru susÈ›inerea asigurării cibernetice se recomandă a se stabili parteneriate public-privat cu guvernul în calitate de asigurător de ultimă instanță (asigurare guvernamentală pentru scenarii extreme); a se stimula dezvoltarea de baze de date anonimizate, stimularea dezvoltării mecanismelor tradiÈ›ionale È™i alternative de transfer de risc.

Cu toate acestea, Maillart È™i Sornette (2010) au investigat încălcări ale datelor cu caracter personal, cum ar fi cărÈ›ile  de credit, numere de securitate socială, conturi bancare sau dosare medicale. Ei găsesc o creÈ™tere exponenÈ›ială a frecvenÈ›ei acestor incidente (rata evenimentelor) pentru perioada 2001 - 2006 (fig. 11). Referitor la funcÈ›ia de distribuÈ›ie ilustrată în Figura 11, punctele violete sunt observaÈ›iile înainte de 2006, iar puncte albastre observaÈ›iile după acea dată. In timp ce încălcările datelor cu caracter personal sunt doar un tip de risc cibernetic autorii susÈ›in că aceste constatări sunt  reprezentative pentru alte tipuri de riscuri cibernetice provin din Internet .

 
Figura nr. 11. Distribuția severității și a frecvenței
Sursa: Maillart și Sornette, 2010

Cercetarea în domeniul asigurărilor de risc cibernetic cuprinde două aspecte conform Geneva Association4:

• Perspectiva micro: cercetări pe partea cererii (de ex. percepÈ›ia riscurilor, fatalismul); analiza asigurabilităţii È™i a modalităților de îmbunătățire a asigurabilității (în special cercetarea empirică, de exemplu, generarea de date, analiza datelor); analiza managementului optim al riscului (atenuarea vs asigurare) È™i nevoia capital necesar pentru a acoperi riscurile cibernetice.
• Perspectiva macro: analize de scenarii pentru măsurarea È™i de gestionarea riscului de acumulare, dacă companiile de asigurări pot înregistra un risc sistemic cu asigurarea riscurilor cibernetice, actorii implicaÈ›i să devină parte a dialogului global. În lipsa datelor, analizele trebuie realizate mai mult din perspectivă tehnică decât statistică.

În mod deosebit în scopuri de asigurare, un simplu număr de încălcări nu este suficient pentru calcularea primelor, a capitalului sau a rezervelor de capital. În schimb, un indicator de preÈ› corespunzător potenÈ›ialei cereri de despăgubire trebuie să fie alocat fiecărei încălcări a securității. În cele din urmă, măsuri clasice de risc bazate pe medie È™i varianță nu sunt aplicabile È™i meritele diversificării ar putea dispărea datorită momentelor infinite care caracterizează riscurile cibernetice (vezi Chavez-Demoulin et al., 2006).

6.    Riscul cibernetic trebuie gestionat din mai multe perspective.

Procesul clasic de gestionare a riscului constă în cinci etape:
1.    definirea obiectivelor,
2.    identificarea riscurilor,
3.    evaluare /analiză,
4.    gestionarea efectivă a riscurilor (evitarea, atenuare, transfer, retenÈ›ie)
5.    monitorizarea de risc.
    AgenÈ›ia NIST a SUA propune cadrul de lucru descris în figura 12.

 
Figura nr. 12. Cadrul securității cibernetice
Sursa: US Department of Commerce, 2018

În fiecare etapă a procesului de management clasic al riscurilor, riscurile cibernetice prezintă caracteristici speciale, de exemplu managementul riscului cibernetic nu este responsabilitatea departamentului IT, dar este necesar un dialog de-a lungul companiei referitoare la acest risc (de exemplu, sensibilizare, instruire etc). Subiectul ar trebui, de asemenea, să fie încorporat în responsabilitățile conducerii de top, de nivel C .  Deja angajamentul instituÈ›ional - demonstrat prin desemnarea unei persoane responsabile de securitatea informaÈ›iilor – este esenÈ›ial pentru o gestionare reuÈ™ită a categoriei de riscuri.
De exemplu, firmele care au deja un ofiÈ›er de securitate informatică (CISO) sau o poziÈ›ie similară, au o medie mai mică de evenimente când se produce riscul, înregistrându-se o pierdere  de 157 USD / înregistrare vs. 236 USD per înregistrare pentru firmele fără conducere de securitate strategică (vezi Shackelford, 2012).
Accenture (2019) stabileÈ™te o ierarhie a principalelor patru activități de apărare  contra riscurilor cibernetice (fig. 13).

 
Figura nr. 13.   Ponderea a patru activități de apărare contra riscurilor cibernetice
Sursa: Accenture, 2019

Primul pas în procesul de gestionare a riscurilor îl reprezintă definirea situaÈ›iei iniÈ›iale È™i a obiectivelor managementului riscului cibernetic. Până acum, există o multitudine de standarde, în special din domeniul tehnologiei informaÈ›iei, care pot servi ca È™abloane pentru managementul riscului cibernetic, de exemplu, familia ISO / IEC 2700x, standardele BSI-IT-Grundschutz (BSI, 2008) sau Cyber Security Best Practices  (Allianz, 2011). Există È™i posibilitatea de a certifica respectarea acestor standarde. De exemplu U.K.’s Department for Business, Innovation & Skills and Cabinet Office (2014) defineÈ™te, în aÈ™a-numitul Cyber Essentials, un standard de securitate IT È™i o certificarea a implementării sale .
Partenerii de afaceri È™i clienÈ›ii cer tot mai mult companiilor să verifice că îndeplinesc anumite standarde minime de securitate IT. Pentru asigurarea cibernetică asiguratorii ar trebui să se bazeze pe evaluări similare. Companiile care solicită acoperirea cibernetică ar avea nevoie să aibă astfel de certificate iar asigurătorul ar trebui să efectueze o evaluare similară a riscurilor . Asigurătorii vor trebui să intre în zona de consultanță pre-evaluare, în vederea estimării riscurilor cibernetice È™i emiterea poliÈ›elor.
În acest sens, pentru identificarea riscului:

• Trebuie stabilite procesele de afaceri care sunt relevante pentru riscul cibernetic cu activele È™i valoarea lor corespunzătoare. După aceea, amenințările potenÈ›iale, tipul lor È™i sursele trebuie să fie determinate. O listă detaliată a amenințărilor curente se regăsesc în standardul ISO / IEC 27005.
• Trebuie să se colecteze date despre punctele slabe, întotdeauna în conexiune cu activele, amenințările È™i metodele de protecÈ›ie deja existente. Un prim potenÈ›ial indicator pentru identificarea riscului poate fi asigurat de auto-evaluarea de risc cibernetic; de exemplu metode propuse de companii specializate in distribuÈ›ia unor astfel de asigurări . Aceste instrumente pot ajuta la determinarea expunerii la risc È™i gradul de conÈ™tientizare a riscului de companie È™i să furnizeze indicaÈ›ii pentru riscurile încă neidentificate. Un alt aspect ar fi cum un atac cibernetic poate fi detectat cât mai repede posibil de la momentul când s-a întâmplat. Un instrument pentru analiza consecinÈ›elor asupra operaÈ›iunilor este analiza impactului asupra afacerii (BIA).

Pentru gestionarea efectivă a riscurilor există patru opțiuni:

1. evitarea riscurilor,
2. reducerea riscului / atenuarea,
3. transferul de risc
4. auto-asigurarea.

Evitarea riscurilor ar însemna că stocarea electronică a informaÈ›iilor È™i restricÈ›ionarea utilizării sistemelor informatice. În lumea de astăzi, acest lucru este greu de imaginat. Reducerea riscului È™i atenuarea sunt mai eficiente. Acestea sunt instrumente pentru a reduce probabilitatea apariÈ›iei (de ex. software anti-virus, firewall-uri etc.) sau care diminuează dimensiunea pierderilor (de exemplu, planuri de recuperare în caz de dezastru)  .
În general, transferul de risc este posibil prin cumpărare a unui contract de asigurare. Cu toate acestea, piaÈ›a de asigurare cibernetică se dezvoltă, gama de produse va creÈ™te È™i o acoperire suficientă va deveni viabilă. Este deosebit de importantă È™i combinaÈ›ia dintre reducerea / atenuarea È™i transferul riscurilor. Un asigurător va emite poliÈ›a dacă pentru reducerea / atenuarea riscurilor au fost instituite măsuri adecvate È™i asigurătorul a putut verifica situaÈ›ia eficienÈ›ei acestor instrumente în evaluările iniÈ›iale. Prin urmare, evaluările în avans È™i interviurile, sau consultanÈ›a acordată direct de către asigurator, sunt necesare înainte de a semna un contract de asigurare. Aceste evaluări vor contribui, de asemenea, la creÈ™terea gradului de conÈ™tientizare a riscului cibernetic.
În caz de auto-asigurare, compania decide să plătească pierderile pe cont propriu. În acest caz, capitalul firmei trebuie să servească drept tampon de siguranță È™i trebuie alocat în avans. Pe lângă acumularea capitalului propriu, trebuie stabilite planuri de urgență È™i de gestionare a crizelor.
Putem obține următoarele linii directoare pentru managementul riscului cibernetic de către companii (vezi, de asemenea, Biener, Eling, Matt și Wirfs, 2015): angajament instituțional, gestionarea efectivă a crizelor, dialogul despre riscuri cu toți angajații, dialogul despre riscuri cu clienții și furnizorii, certificarea, monitorizare continuă, transferul de risc prin asigurare ca singurul mijloc eficient de transferare a riscului cibernetic.


7.    Riscurile identificate trebuie să se regăsească în acoperirile sau excluderile asigurărilor cibernetice.
    
În general riscurile acoperite prin asigurare de societăți înregistrate în România, conform Raportului A.S.F. privind asigurările de risc cibernetic  , sunt:

• răspundere pentru scurgerea de informaÈ›ii, inclusiv pierderea datelor personale colectate;
• costuri generate de scurgerile de informaÈ›ii inclusiv costuri legate de notificări È™i analiză criminalistică;
• răspundere pentru securitatea reÈ›elelor pentru sisteme compromise, inclusiv cauzate de atacuri DOS;
• răspundere media pentru publicaÈ›ii digitale;
• întreruperea afacerii cauzată de un incident informatic;
• costuri de restaurare a datelor È™i a aplicaÈ›iilor rezultate în urma unui incident de natură să afecteze funcÈ›ionarea afacerii;
• comunicare de criză pentru reducerea riscului reputaÈ›ional;
• răspundere pentru plăți electronice, inclusiv amenzi È™i penalități;
• pierderile generate de furtul de proprietate intelectuală.

Principalele excluderi din asigurare sunt în general:

• Pierderi auto-provocate;
• Acte de terorism;
• Altele: Încălcarea obligaÈ›iilor profesionale; DeficienÈ›e ale furnizorilor de servicii; Patent sau secret comercial; Hacking săvârÈ™it de directori sau parteneri; Distrugerea bunurilor corporale; Vătămare corporală; Sechestru È™i confiscare; Război, terorism È™i riscuri nucleare; DeclaraÈ›ii defăimătoare; Insolventa; Probleme pre-existente; Acte abuzive È™i penale; Conduită iresponsabilă; Cereri de despăgubire cu privire la răspunderea media formulate de angajaÈ›i; Amenzi, penalități È™i sancÈ›iuni; Cereri de despăgubire în afara instanÈ›elor competente.

În cazul producerii unui eveniment asigurat, viteza de reacÈ›ie a societății de asigurare poate fi de 4 ore de la sesizarea evenimentului.

Tabelul nr. 2 arată diferite exemple de acoperiri prin asigurare de risc cibernetic la nivel internațional ca răspuns la diferitele etape ale atacului cibernetic sau a pierderii de date, din perspectiva FERMA (Federația Asociațiilor Europene pentru Managementul Riscurilor) .

Tabel nr. 2 Acoperiri ale asigurărilor de risc cibernetic aferente atacurilor și a pierderii datelor

 
Sursa: FERMA 2018



Concluzii

Conform analizei tematice a A.S.F.  referitoare la asigurarea de risc cibernetic:

• Riscurile cibernetice sunt în responsabilitatea atât a managementului instituÈ›iilor È™i companiilor, cât È™i la nivel de angajaÈ›i, asigurările cibernetice putând acoperi È™i riscurile profesionale generate de riscurile cibernetice.
• InstituÈ›iile/companiile au nevoie de o strategie cuprinzătoare de management al riscului cibernetic asigurând revenirea la operaÈ›iunile normale cât mai repede posibil, cu costuri cât mai reduse.
• Asigurarea de risc cibernetic poate avea un rol esenÈ›ial în a prelua/transfera riscurile la care companiile sunt expuse. Aceasta pot fi un instrument care completează (È™i nu înlocuieÈ™te) cadrul de gestionare a riscurilor pe care fiecare organizaÈ›ie ar trebui să îl aibă È™i ar trebui să fie un element de stabilitate economică È™i socială, atât pentru infrastructurile critice, guvernamentale, cât È™i pentru cele comerciale È™i personale, inclusiv pentru sectorul financiar.
• sigurarea de risc cibernetic ar trebui să fie utilizată în evaluarea solidității/sănătății financiare È™i a susÈ›inerii activității prin recuperarea rapidă a pierderilor È™i continuarea activității.

Având în vedere cele de mai sus, pentru atingerea obiectivului de acoperire È™i a riscurilor generate de societatea digitală, se relevă următoarele concluzii:

• Pentru susÈ›inerea protecÈ›iei infrastructurilor critice, ale activităților sectorului public, a bunului mers al economiei È™i a protecÈ›iei activelor naÈ›ionale È™i individuale, cu expunere majoră la riscuri în contextul lumii digitale actuale, este esenÈ›ială formularea È™i asumarea de politici È™i susÈ›inerea reglementării acoperirii riscurilor cibernetice prin asigurare, cu mutarea responsabilității financiare către cei care pot plăti pagube de dimensiuni posibil foarte mari prin reducerea impactului politic, social È™i economic. Aceste politici vor avea efecte benefice atât la nivelul cererii , cât È™i al ofertei.
• Pentru a asigura pe termen lung seriile de date necesare activității actuariale ale asigurătorilor, este necesară instituirea unui sistem de raportare a pierderilor generate de riscurile cibernetice, cel puÈ›in pentru infrastructurile critice È™i importante,
• Pentru asigurarea dezvoltării produselor de asigurare specifice, pe termen scurt-mediu, este nevoie să se dezvolte È™i utilizeze de către asigurători a unor modele de consultanță È™i evaluare pentru clienÈ›ii care doresc să se asigure împotriva amenințărilor cibernetice, pe baza de standarde È™i certificări recunoscute la nivel mondial, È™i dezvoltarea competenÈ›elor necesare la nivelul asigurătorilor referitor la ingineria acestor riscuri.
• Riscurile cibernetice impun realizarea unui front comun al beneficiarilor, al companiilor tehnologice È™i al asiguratorilor pentru a creÈ™te nivelul maturității informatice È™i a securității cibernetice, a aplicării principiilor de management al riscurilor, implementarea de mecanisme comune de luptă împotriva criminalității cibernetice È™i dezvoltarea de produse de asigurări specifice nevoilor clienÈ›ilor.

Bibliografie

[1]    Geneva Association - Understanding and Addressing Global Insurance Protection Gaps, aprilie 2018;
[2]     CERT-RO  - Raport privind evoluÈ›ia amenințărilor cibernetice în 2017, aprilie 2018;
[3]    Demystifying cyber insurance coverage: Clearing obstacles in a problematic but promising growth market,  Deloitte, 2017
[4]    WannaCry: Lessons learned following ransomware attack, Jean Bayon de La Tour, Marsh;
[5]    Thomas MARCADET  - Navigating through Cyber Risk, , mai 2018, prezentare Marsh;
[6]    www.standardandpoors.com - Cyber Risk And Corporate Credit – June 9, 2015,;
[7]    ACGS (2014)-  Analyses cyber risk management with the Business Model Canvas and the House of IT Quality;
[8]    Ten Key Questions on Cyber Risk and Cyber Risk Insurance, Geneva Association, nov 2016,
[9]    Navigating through Cyber Risk, Thomas MARCADET, mai 2018, prezentare Marsh
[10]    Cyber Risk And Corporate Credit – June 9, 2015,  WWW.STANDARDANDPOORS.COM/RATINGSDIRECT
[11]    The step down of Target’s CEO following a massive data breach in 2014 exemplifies that the top management might be held accountable for cyber incidents (http://www.forbes.com/sites/greatspeculations/2014/05/08/targets-ceo-steps-down-following-the-massive-data-breach-andcanadian- debacle/#799cf7283f56).
[12]    ACGS (2014) analyses cyber risk management with the Business Model Canvas and the House of IT Quality.
[13]    http://www.marsh-stresstest.eu/.
[14]    CIS (2016) or ASD (2014) for guidance on how IT security measures, such as access control, authorisation of devices and software, malware defense, and network configuration, should be used.
[15]    National Vulnerability Database (by NIST), USA-  Collects software vulnerabilities for the U.S., used by Maillart and Sornette; 2010
[16]    Cost of cyber crime study, pag. 12, 17, 30, Accenture, 2017
[17]    Preparing for Cyber insurance(ppt), FERMA, Octombrie 2018
[18]    Interviu Leonardo Badea, PreÈ™edintele Autorității de Supraveghere Finnaciară:
  https://www.ziarulprofit.ro/index.php/semnal-de-alarma-tras-de-presedintele-asf-asigurarea-riscului-cibernetic-o-mare-provocare-cu-care-se-confrunta-economiile-moderne/
[19]    https://wol.jw.org/ro/wol/d/r34/lp-m/102012171#h=1
[20]    https://asfromania.ro/files/analize/Asigurari_risc_cibernetic.pdf
[21]    https://eur-lex.europa.eu/legal-content/RO/TXT/?qid=1479977104870&uri=CELEX:32016L1148
[22]    https://www.hackmageddon.com/category/security/cyber-attacks-statistics/
[23]    https://www.statista.com/markets/414/topic/461/insurance/