Recientes ataques de piratería informática importantes han generado datos valiosos que permitieron a las aseguradoras determinar qué exigir a los asegurados sobre sus defensas mínimas contra los piratas informáticos e informaron a las aseguradoras cómo fijar el precio del riesgo que cubren, dijeron aseguradoras y analistas.

Aun así, el mayor riesgo aún no se ha materializado: un ciberataque contra una empresa o un sistema de servicios de información tan importante para una economía, o para la sociedad en su conjunto, que alcance niveles sistémicos. Uno tan grande, tal vez, podría derribar portaaviones.

“Creo que es importante que enfaticemos que la industria de seguros no ha tenido un evento catastrófico”, dijo John Coletti, director de reaseguro cibernético de Swiss Re.

Incidentes importantes como el virus NotPetya en 2017, ataques contra proveedores de infraestructura crítica, incluido Colonial Pipeline Co. en 2021, y vulnerabilidades en software de uso común como Microsoft Cuerpo

Los productos de intercambio hicieron sonar la alarma y probaron los límites de cobertura, dijo Coletti. Pero ninguno ha hecho metástasis en una amenaza existencial.

Las aseguradoras modelan tales ataques por su potencial contagio. Un ataque contra un gran proveedor de logística, por ejemplo, puede tener un impacto significativo pero limitado, como interrupciones del sistema que interrumpen algunas cadenas de suministro o detienen temporalmente los servicios a los clientes. Eso sucedió durante un ataque cibernético al proveedor de servicios administrados Kaseya Ltd. en 2021 que dejó a cientos de clientes sufriendo interrupciones o infectados por ransomware.

Sin embargo, un ataque a una parte clave del canal del sistema financiero, o contra un importante proveedor de la nube que impulsa a los operadores de infraestructuras críticas, podría desencadenar reclamos financieramente devastadores.

Tales escenarios preocupan a las aseguradoras y, como resultado, algunas están comenzando a limitar la cobertura.

“Los estamos viendo ir tan lejos como para nombrar proveedores de nube específicos y decir que no cubrirán completamente un evento si hay una interrupción parcial o total de los servicios de ese proveedor de nube”, dijo John Farley, CEO. de la práctica de responsabilidad cibernética en el negocio de corretaje de seguros de los EE. UU. de Arthur J. Gallagher & Co.

En agosto, el mercado mundial de seguros Lloyd’s of London Ltd. ordenó a sus sindicatos que adoptaran un lenguaje de políticas que excluyera los ataques cibernéticos catastróficos por parte de los estados-nación. Patrick Tiernan, jefe de mercados de Lloyd’s, dijo que las restricciones de cobertura son naturales en clases de seguros relativamente inmaduras como la cibernética, a medida que la industria desarrolla una comprensión de sus riesgos.

Por el contrario, las formas más antiguas de seguro, como el envío, tienen opciones más amplias porque las aseguradoras tienen una experiencia significativa con los problemas potenciales y el tamaño de las reclamaciones que se esperan.

“Tenemos cientos de años de historia de comprensión de ese riesgo”, dijo Tiernan.

Parte del desafío en el modelado de catástrofes cibernéticas es que los datos históricos simplemente no existen para producir modelos precisos, dijo Tiernan. Eso obliga a Lloyd’s ya las aseguradoras a estimar los daños utilizando métodos más simples, como sumar los límites de la póliza que entrarían en juego en un escenario específico.

El uso de modelos simples puede generar problemas. Por ejemplo, las aseguradoras pueden verse obligadas a mantener capital en reserva para los peores escenarios, o pueden cubrir solo riesgos cibernéticos muy específicos, lo que requiere que las empresas contraten múltiples pólizas costosas.

Aunque la mayoría de los principales operadores están comenzando a abordar escenarios cibernéticos catastróficos (Lloyd’s, por ejemplo, consideró una interrupción en un importante proveedor de nube, dijo Tiernan), los modelos de riesgo que emplean difieren y no existe un estándar de la industria para usar como punto de referencia. .

La variación incluso se extiende a aspectos básicos como si las aseguradoras están analizando eventos ultra raros, como los que pueden ocurrir cada 500 años, o eventos más regulares, dijo Coletti de Swiss Re.

“Estos modelos son realmente importantes y tienen mucho peso cuando se trata de cuánto capital están dispuestas a desplegar las empresas”, dijo. “Probablemente debamos prestar un poco más de atención a las suposiciones detrás de ellos”.

Escriba a James Rundle a [email protected]