Cybersecurityverzekeringen zijn een snelgroeiende markt, die groeit van ongeveer $13 miljard in 2022 tot naar schatting $84 miljard in 2030 (26% CAGR), maar verzekeraars hebben moeite met het kwantificeren van de potentiële risico's van het aanbieden van dit soort verzekeringen.
De traditionele actuarismodellen zijn niet goed van toepassing in een omgeving waarin zeer gemotiveerde, creatieve en intelligente aanvallers dynamisch acties nastreven die verzekerbare gebeurtenissen veroorzaken. Een nauwkeurige schatting van verliezen is essentieel voor het bepalen van de klantpremies. Maar zelfs na twintig jaar zijn er nog steeds grote verschillen in verliesratio's tussen verzekeraars (-0.5% tot 130.6%). De acceptatieprocessen zijn niet robuust genoeg om de verliezen goed in te schatten en redelijke premies nauwkeurig te beprijzen.
Waarom worstelt de verzekeringssector hiermee?
Het probleem zit hem in de aard van de dreiging. Cyberaanvallers escaleren en passen zich snel aan, wat de historische modellen waarop verzekeringsmaatschappijen vertrouwen ondermijnt. Aanvallers veranderen voortdurend hun manoeuvres om slachtoffers te identificeren, steeds meer verliezen te veroorzaken en snel over te schakelen naar nieuwe impactgebieden.
Denial of service-aanvallen waren ooit populair, maar werden vervangen door datalekken, die veel meer schade aanrichten. Onlangs hebben aanvallers hun repertoire uitgebreid met aanvallen in ransomware-stijl, waardoor de verzekerbare verliezen steeds groter werden.
Het met een hoge mate van nauwkeurigheid proberen te voorspellen van de belangrijkste maatstaven voor actuarismodelbouwers – de jaarlijkse verliesverwachting en het jaarlijkse percentage van voorkomen – ligt buiten de huidige mogelijkheden van verzekeraars. De sector voert momenteel beoordelingen uit voor nieuwe klanten om inzicht te krijgen in hun cyberbeveiligingspositie, om te bepalen of ze verzekerbaar zijn, wat wel/niet moet worden opgenomen in/uitgesloten van polissen en om premies te berekenen. Het huidige proces bestaat erin de controles af te wegen tegen de best practices of peers om de veiligheidspositie van een verzekeringnemer in te schatten.
Deze rudimentaire praktijken leveren echter niet het noodzakelijke niveau van voorspellende nauwkeurigheid op.
De verliesratio voor verzekeringsmaatschappijen is volatiel geweest, in een wereld waar een verkeerde analyse catastrofaal kan zijn. Variaties en onvoorspelbaarheid maken verzekeraars nerveus. Ze willen maximaal een verliesratio van 70% om hun uitbetalingen en kosten te dekken, en volgens het National Association of Insurance Commissioners Report on the Cyber Insurance Market in 2021 heeft bijna de helft van de twintig grootste verzekeraars, die 20% van de markt vertegenwoordigen, slaagde er niet in de gewenste verliesratio te bereiken.
Als reactie op het onvermogen om claims te voorspellen, hebben verzekeraars de premies verhoogd om de risicokloof te dekken. In het vierde kwartaal van 4 stegen de premieverlengingen met maar liefst 2021%. In het vierde kwartaal van 34 bleven de premies met nog eens 4% stijgen.
Er bestaat bezorgdheid dat veel klanten uit de markt en de verzekeringssector zullen worden geprijsd en geen middelen meer zullen hebben om risico's over te dragen. Ten nadele van de verzekeraars kunnen de bedrijven hun producten zo duur maken dat ze de enorme kansen op marktgroei ondermijnen. Bovendien worden er bovengrenzen voor de verzekerbaarheid en verschillende uitzonderingsclausules ingesteld, die de algehele waardepropositie voor klanten verminderen.
De volgende generatie cyberverzekeringen
Wat nodig is, zijn betere instrumenten om cyberaanvallen te voorspellen en verliezen in te schatten. Het huidige leger van verzekeringsactuarissen heeft niets opgeleverd, maar er is hoop. Het komt van de cyberrisicogemeenschap die deze dubbelzinnige en chaotische risico's wil beheersen door verliezen te vermijden en te minimaliseren.
Deze cybersecurity-experts worden gemotiveerd door het optimaliseren van beperkte middelen om aanvallen te voorkomen of snel te ondermijnen. Als onderdeel van die voortdurende oefening zijn er mogelijkheden om best practices toe te passen op het verzekeringsmodel om de meest relevante aspecten te identificeren, waaronder defensieve houdingen (technologie, gedrag en processen) en om de relevante bedreigingsactoren (doelen, capaciteiten en methoden) te begrijpen. om de restrisico's te bepalen.
Het doel zou zijn om een uniforme standaard te ontwikkelen voor het kwalificeren voor cyberverzekeringen die zich zou aanpassen aan de snelle veranderingen in het cyberlandschap. Nauwkeurigere methodologieën zullen de beoordelingen verbeteren om de dubbelzinnigheid van verzekeraars te verminderen, zodat zij hun aanbiedingen concurrerend kunnen prijzen.
In de toekomst zullen dergelijke berekeningen continu plaatsvinden en laten zien hoe een bedrijf voordeel zal halen uit het goed beheren van de beveiliging in lijn met veranderende dreigingen. Dit zou de totale premiekosten moeten verlagen.
De volgende generatie cyberverzekeringen zal voortkomen op de fundamenten van nieuwe risicoanalysemethoden om nauwkeuriger te zijn en de wederzijdse voordelen van de verzekeringssector te behouden.
