0
0
O caos reina no mercado de seguros cibernéticos. Corretores e operadoras de seguros cibernéticos — as empresas que realmente oferecem as apólices — estão reforçando os requisitos sobre o que os candidatos precisam fazer para obter apólices devido às perdas que as seguradoras sofreram com a cobertura de ransomware. No último ano, os prêmios cresceram 18% no primeiro trimestre de 2021 e subiram 34% no quarto trimestre de 2021, segundo Jess Burn, analista sênior da Forrester. .
As organizações muitas vezes descobrem que não podem obter seguro cibernético, não estão sendo renovadas para cobertura que já têm, ou se deparam com preços altos e redução da cobertura. Apesar do valor que muitas organizações colocam no seguro cibernético — em alguns casos, eles são obrigados a carregá-lo para cumprir as regulamentações – a obtenção dessas apólices está ficando mais difícil.
Ao mesmo tempo em que aumenta os prêmios, algumas seguradoras estão reduzindo a cobertura. Se uma organização comprou US$ 10 milhões em cobertura por um determinado preço em 2021, por exemplo, renovar essa política em 2022 pode ver o valor da cobertura cair para US $ 3 milhões e os prêmios para essa cobertura menor aumentar. Esse fenômeno deve-se, em parte, às seguradoras que tentam atingir o equilíbrio correto do perfil de risco dos clientes versus seus esforços de mitigação de riscos.
No relatório recém-lançado “Voz do CISO” lançado recentemente do Proofpoint, apenas 49% dos CISOs de organizações sediadas nos EUA disseram ter seguro cibernético e estão confiantes de que ele estará lá quando necessário. Isso está bem abaixo da média global de 58%; O Canadá liderou o estudo com 88%, enquanto os EUA ficaram em 11º lugar em todo o mundo. Nesse mesmo relatório, 56% dos CISOs globais citaram especificamente o aumento dos ataques de ransomware como um dos principais fatores de preocupação e uma razão chave para obter seguro cibernético.
Perdas estão causando estragos
Essa situação foi sublinhada em um evento de seguro cibernético de março de 2022, patrocinado pelo fornecedor de cibersegurança Sophos, chamado “Otimizando sua posição de seguro cibernético“, onde o consultor de gerenciamento de riscos da Marsh McLennan Agency (MMA), Marc Schein, co-presidente nacional do Cyber Center of Excellence, expôs por que as seguradoras cibernéticas estão revisando seus requisitos para os candidatos e por que seus modelos precisavam mudar.
Schein disse que a média global associada à recuperação de ransomware para 2021 deve atingir cerca de US$ 20 bilhões. A frequência e a gravidade dos ataques estão aumentando, disse ele, e “os modelos de classificação das seguradoras não previram com precisão algumas das gravidades das perdas que eles realmente têm visto [com] a regulação de privacidade em evolução”.
Além disso, o aumento das multas regulatórias e das penalidades “realmente começou a causar estragos no mercado de seguros cibernéticos”, disse Schein.
A indústria está vendo “o aumento da implantação de limites conservadores de certas operadoras em resposta a um aumento da volatilidade de grandes perdas e deterioração do desempenho financeiro”, acrescentou. “Eles não estão apenas elevando os preços, mas também agora estão começando a mudar a forma como a cobertura está estruturada.”
Scott Godes, sócio do escritório de advocacia Barnes & Thornburg, é especialista em seguros cibernéticos. Ele concorda que grandes mudanças estão ocorrendo, observando que algumas operadoras estão implementando novas exclusões e limitações sobre os tipos de cobertura que os segurados mais precisam. Quase todas as transportadoras estão aumentando suas taxas em todo o quadro.
“Os transportadores estão ficando significativamente mais agressivos em suas posições de reivindicação”, diz Godes. “Eles estão usando conselhos externos com muito mais frequência para investigar, lidar e ajustar reivindicações. Parece muito improvável que as transportadoras contratem advogados para ajustar as reivindicações para dar a maior cobertura possível aos seus segurados.”
As seguradoras estão descobrindo que as suposições que fizeram sobre potenciais perdas, com base em sua experiência com outras apólices de seguro, como responsabilidade pessoal e patrimonial, não são precisas. As perdas têm sido muito maiores em algumas apólices de seguro cibernético nos últimos anos do que as seguradoras anteciparam há cinco anos.
Um artigo de agosto de 2021 no Canadian Underwriter destacou o efeito financeiro que algumas dessas suposições estão tendo no resultado final das companhias de seguros. “Em responsabilidade cibernética, os prêmios líquidos totais obtidos para o segundo semestre de 2021 foram de US$ 94,15 milhões – US$ 12,15 milhões de seguradoras canadenses e US$ 82 milhões de seguradoras estrangeiras”, informou. “Mas o total de sinistros líquidos incorridos (sem incluir a participação das resseguradoras, mas incluindo despesas de ajuste) foi de US$ 106,26 milhões (US$ 97,4 milhões de seguradoras estrangeiras e US$ 8,86 milhões de seguradoras canadenses), para uma relação de perdas de quase 113%.”
Definindo controles de segurança da linha de base
Corretores de seguros e operadoras estão respondendo às maiores perdas de ransomware e custos inesperados modificando como e a quem escrevem apólices.
Insurers are beginning to require certain security controls be in place prior to sitting down with a prospect to discuss cyber insurance.
“What cyber insurance brokers and carriers want to see from policyholders is a real effort and investment made to reduce the likelihood of a ransomware attack and to be prepared to respond to one should it happen,” Forrester’s Burn says.
To that end, she recommends that organizations put the following controls in place immediately:
- Securing Remote Desktop Protocol (RDP) and other remote access configurations.
- Restringindo macros de execução quando baixados da Internet.
- Estabelecendo um plano de resposta a incidentes — as empresas devem ter cartilhas para cenários comuns de ataque, como compromissos de ransomware e e-mail de negócios, e devem testar esses planos e cartilhas regularmente com exercícios de mesa e simulações de crise.
- Implementando autenticação multifatorial.
- Implementando uma solução de backup offsite.
A lista de controles do MMA inclui o acima, além do seguinte:
- Treinamento de segurança cibernética de funcionários.
- Gestão de riscos de terceiros (TPRM).
- Gerenciamento de patches.
- Gerenciamento de vulnerabilidades.
- Detecção e resposta de ponto final (EDR) e detecção e resposta gerenciada (MDR).
- Registro e monitoramento.
- Plano de fim de vida.
- Filtragem de e-mail.
- Gestão de acesso privilegiado (PAM).
A TPRM é muitas vezes mal compreendida, uma vez que as organizações têm dificuldade em determinar os riscos associados às suas cadeias de suprimentos. É ainda mais difícil determinar o risco da cadeia de suprimentos de uma cadeia de suprimentos.
Burn diz que espera ver uma nova raça focada de apólices de seguro cibernético nos próximos 12 meses a 18 meses para cobrir o elo mais fraco da cadeia de suprimentos. O que essas políticas cobrirão ainda não está escrito.
FONTE: DARK READING