تميل صناعة التأمين السيبراني نحو الاستقرار ولكنها لا تخلو من التحديات. “الاستقرار و ليس البساطة ” هو ما يلخص حالة التأمين الإلكتروني لعام 2023 . وبينما استقرت الأسعار ، نسبياً، تقوم شركات التأمين بإدخال تغييرات كبيرة قد تحد من التغطية المتعلقة بانقطاع الخدمات السحابية. و كذلك نقاط الضعف الرئيسية في البرامج وغيرها من الأحداث السيبرانية واسعة النطاق. كما تلوح تغييرات كبيرة في الأفق فيما يتعلق باستثناء “الأعمال الحربية” من تغطية التأمين والذي يعتبر مقلقاً بشكل خاص بالنظر إلى الصراع المستمر في أوكرانيا. يشارك معكم روبودين في هذا المقال بعض الأفكار الهامة حول موضوع التأمين الإلكتروني.
التأمين السيبراني في الوضع الراهن
تكبدت شركات التأمين ضد جرائم الانترنت خسائر فادحة خلال عام 2020. أهم أسباب ذلك هي هجمات برامج الفدية و اختراق البريد الإلكتروني للأعمال BEC. رداً على ذلك ، زادت شركات التأمين أقساط التأمين في عامي 2021 و 2022 بمعدلات كانت تصل إلى 50 إلى 100٪ ، وفقاً لتقرير The Betterley. في الوقت نفسه ، بدأ العديد من شركات التأمين في تقييم المخاطر بعناية أكبر. و صارت تصدر استبيانات أكثر تفصيلاً ، واستخدام التكنولوجيا لتقييم المخاطر ، واستخدام ممارسات ضمان أكثر صرامة وتقليل التغطية.
كانت النتيجة صادمة لمشتري بوالص التأمين حتى منتصف عام 2022. عانى العديد منهم بسبب رفض التغطية الكاملة لمطالباتهم. سارع آخرون لتلبية متطلبات شركات التأمين مثل اعتماد المصادقة متعددة العوامل MFA قبل أن يحين موعد تجديد عقودهم مع تلك الشركات. في ظل الاضطرابات ، وصلت معدلات الاحتفاظ بالعملاء إلى “أدنى مستوياتها على الإطلاق” مع قيام المؤسسات بتبديل شركات التأمين بسرعة لشراء ما يعتبرونه صفقات معقولة.
ومع ذلك ، فقد نما سوق التأمين السيبراني. على الرغم من أن بعض شركات التأمين أسقطت عن عمد وثائق التأمين التي اعتبرتها ضعيفة ، بحلول منتصف عام 2022 ، ظهرت شركات ناشئة جديدة تستكشف السوق. بالنسبة للمؤمن عليهم المحتملين ، تُرجم هذا إلى المزيد من الخيارات ، على الرغم من أن بعض الداخلين الجدد كان لديهم خدمات أقل نضجاً في مراحل قبل الاختراق و كذلك في قدرات دعم الاستجابة للحوادث الأمنية.
بعض الأمل
لحسن الحظ ، من المرجح أن يعيش مشترو بوالص التأمين تجربة أفضل في العام المقبل. سعت شركات التأمين لتحسين نسب الخسارة. وفقاً لأحدث تقرير صادر عن مفوضي التأمين ، انخفض متوسط معدلات الخسارة لعام 2021 بشكل طفيف لأول مرة منذ خمس سنوات. نتيجة لذلك ، يتم تخفيف القيود. قال تقرير لشركة الخدمات المالية AON: “بينما نعمل خلال النصف الثاني من عام 2022 ، أصبح سوق التأمين الإلكتروني أكثر ملاءمة للمشترين مقارنة بالعام الماضي”.
لكن ذلك المشهد قد لا يكون وردياً تماماً. هناك نقطتان مهمتان: سياسات جديدة للحد من المخاطر ، والتغييرات الأخيرة في استثناءات “أعمال الحرب”. يمكن أن تحد هذه المشكلات بشكل خطير من قيمة بوليصة التأمين الإلكتروني ، لذلك يحتاج المشترون المحتملون إلى الانتباه لما يجري.
تغييرات المخاطر
عندما توقف AWS عن العمل في ديسمبر 2021 ، تصدر ذلك نشرات الأخبار. عانت الشركات بما في ذلك Instacart و Venmo و Roku و McDonald’s و Netflix. ذكرت شبكة CNBC أن “الكليات … اضطرت إلى تأجيل الامتحانات النهائية”. كان ذلك مجرد مثال واحد على الضرر الهائل الذي يمكن أن يسببه أي اضطراب تشغيلي لخدمات مزودي التكنولوجيا الرئيسين.
تسببت الثغرات الأمنية في البرامج أيضاً في إحداث الفوضى ، لا سيما تلك التي أثرت على منتجات منتشرة مثل Microsoft Exchange. بعد اكتشاف سلسلة من العيوب في مخدم البريد الإلكتروني الشهير في عام 2021 ، اقتحم المتسللون أكثر من 30 ألف مخدم أمريكي في غضون أيام قليلة وتسببوا في أضرار لا حصر لها.
مخاطر ضمن التغطية
تتصارع شركات التأمين السيبراني بشأن كيفية إدارة المخاطر بطرق مختلفة. على سبيل المثال، أعلنت بيزلي Beazley ، في عام 2022 أنها حددت النوعين التاليين من الأحداث السيبرانية الكارثية التي تنطبق عليها شروط التسويات:
- انقطاع الخدمة الممتد لمزود خدمات سحابي رئيسي ، على وجه التحديد AWS أو Microsoft أو Google أو IBM أو الشركات التابعة لها ؛
- هجوم برامج ضار واسع النطاق يؤثر على نظام تشغيل مثل Windows أو iOS.
في المقابل ، حدد تشب Chubb الفئتين التاليتين من الأحداث:
- الأحداث ذات التأثير المحدود. هي حوادث إلكترونية محلية تؤثر على المؤسسة والكيانات التي تربطها بها علاقات ، مثل المالكين والشركاء والعملاء.
- الأحداث المنتشرة هي هجمات إلكترونية يمكن أن تؤثر على العديد من المؤسسات في وقت واحد ، مثل ثغرة أمنية كبيرة في البرامج أو عمليات استغلال سلسلة التوريد أو غيرها من الأحداث السيبرانية الكارثية.
قد تخضع التغطية من Chubb للأحداث واسعة النطاق للتأمين المشترك أو القيود المتصاعدة أو غيرها من القيود ، ما لم يتم شراء تغطية إضافية. بالنسبة لحاملي وثائق التأمين ، يمكن أن يعيق ذلك جهود التخطيط ، حيث قد تتم تغطية المطالبة وقد لا تتم تغطيتها بناءاً على عدد الأشخاص الآخرين المتأثرين. يجب أن يكون عملاء التأمين الإلكتروني حريصين على تتبع التغيرات في المخاطر وتقييم كيفية تأثر مؤسستهم بعناية.
التأمين السيبراني – استثناءات جديدة للأعمال الحربية
في أوائل عام 2022 ، فازت شركة الأدوية العملاقة Merck في نزاع بقيمة 1.4 مليار دولار مع شركة التأمين التابعة لها ، شركة Ace American Insurance ، بعد أن رفضت الأخيرة تغطية الأضرار الناجمة عن إصابة 40 ألف جهاز كمبيوتر بالبرامج الضارة.
وفقاً لشركة التأمين ، فإن البرمجيات الخبيثة NotPetya المستخدمة في الهجوم كانت من عمل حكومة أجنبية وبالتالي يمكن استبعادها تحت بند العمليات الحربية. غير أن قاضٍ أمريكي لم يوافق على ذلك ، وحكم “دون تردد” لحامل البوليصة Merck ، مشيراً إلى أن شركة التأمين “لم تفعل شيئاً لإعلام هذا المؤمن عليه بشكل معقول في أنها تنوي استبعاد هذا النوع من الهجمات الإلكترونية.”
أحدث الحكم صدمة في صناعة التأمين. خشي الكثيرون من أن صناعة التأمين ببساطة لا تملك القدرة على استيعاب الخسائر التي قد تنجم عن هجمات مماثلة – لا سيما مع اندلاع الحرب في أوكرانيا.
لغة سياسات التأمين
و كتب أحد مدراء Lloyd’s في نشرة داخلية : تمتلك الجهات الحكومية المعادية قدرات على نشر هجوم بسهولة ، وكذلك القدرة على نشر البرامج الضارة في ظل اعتماد مطلق للمجتمعات على البنية التحتية لتكنولوجيا المعلومات مما يعني أن الخسائر لدى هذه المجتمعات تتجاوز ما يمكن لسوق التأمين استيعابه بشكل كبير . وقالت النشرة إن الشركة تطلب بوالص تأمين إلكتروني مستقلة لكي تستبعد بوضوح تغطية بعض الخسائر الناتجة عن الحرب أو الهجمات الإلكترونية التي ترعاها الدول عندما “تضر الخسائر بشكل كبير” بالدولة المستهدفة.
قدمت Lloyd’s أربعة بنود نموذجية ، على الرغم من أن شركات التأمين والوسطاء أحرار في تطوير لغتهم الخاصة. اعتباراً من 31 آذار 2023 ، يجب أن تتضمن جميع بوالص التأمين الإلكترونية المستقلة الجديدة الخاصة بـ Lloyd وكذلك عمليات التجديد لغة محدثة.
بالنسبة لحاملي وثائق التأمين ، يكون الوضوح أفضل بشكل عام. لكن قيود اللغة والتغطية الجديدة ستخلق بلا شك شكوكاً جديدة. قد يكون من الصعب تحديد من هو وراء لهجوم الإلكتروني بوضوح ، لا سيما في نظام القراصنة المعقد حيث توظف الدول قراصنة مستقلين أو مجموعات قرصنة بطريقة تجعل من الصعب ربط هذه المجموعات بالدول التي تشغلها. في حين أن عبء الإثبات يقع عادةً على شركة التأمين ، لا يريد أي حامل وثيقة اللجوء إلى المحكمة لتلقي مدفوعاته بعد تعرضه لإصابة من هجوم إلكتروني. يجب على المنظمات مراقبة استثناءات الحرب والبنود المماثلة في العام المقبل و الحصول على استشارة قانونية حسب الحاجة.
4 نصائح لتحقيق أقصى استفادة من التأمين السيبراني في عام 2023
التأمين السيبراني معقد ، لكن الخيارات الجيدة ما زالت متاحة لمعظم منظمات الأعمال. لذلك يُنصح باتباع هذه النصائح لاختيار بوليصة تأمين إلكتروني قوية والحصول على أكبر قيمة في العام المقبل:
- أخذ الوقت الكافي لدرساة البوليصة. مع كل التغييرات الجديدة في التغطية ولغة سياسة التأمين، من الجيد أن تمنح نفسك وقتاً إضافياً لمراجعة التفاصيل الدقيقة.
- استخدم وسيط تأمين متمرس. لا يوجد نموذج قياسي للتأمين السيبراني، ولكل شركة تأمين سجل إنجازات مختلف عندما يتعلق الأمر بمعالجة المطالبات والتغطية. يمكن للوسيط الإلكتروني المتمرس الذي يفهم الفروق الدقيقة أن يساعد في ضمان حصولك على أفضل قيمة و منحك فرصة أكبر عند الحاجة إلى تقديم مطالبة.
- اتخذ خطوات أمنية استباقية. لا تؤجل نشر المصادقة متعددة العوامل؟ أنجز هذه التحسينات الأمنية الرئيسية وغيرها قبل تقديم طلبك. قامت العديد من شركات التأمين بطرح استبيانات جديدة وأكثر تفصيلاً وحتى تقنية تقوم بمسح أنظمتك. كن مستعداً لمزيد من التدقيق والتعامل مع ما يمكنك فعله في وقت مبكر.
- استفد من خدمات ما قبل الاختراق pre-breach services. تقدم العديد من شركات التأمين خصومات قيّمة أو حتى خدمات مجانية قبل الاختراق لحملة الوثائق تشمل التدريب ، وقوالب السياسات الأمنية ، ومسح الثغرات الأمنية ، وتقييمات الجاهزية ، وتمارين الطاولة tabletop exercises . يمكن أن يساعدك ذلك على تقليل المخاطر – وهو أمر مفيد لك ولشركة التأمين.
مع استمرار نمو صناعة التأمين الإلكتروني ، توقع رؤية المزيد من التأويلات المتعلقة بالتغطية بالإضافة إلى المزيد من الاستبعادات. تأكد من فهمك للسياسة التي اشترتها شركتك ، وكذلك ما تفعله وما لا تغطيه. استفد من خدمات ما قبل الاختراق القيّمة التي قد تكون متاحة لتقليل مخاطر مؤسستك.