La contribución del sector de seguros a la mejora de las mejores prácticas de seguridad cibernética hasta la fecha ha sido más limitada de lo que les gustaría tanto a los responsables políticos como a las empresas, y podría ser necesario un restablecimiento en toda la industria para ayudar a las aseguradoras cibernéticas a hacer frente a los desafíos que enfrentan, en particular un “ amenaza existencial ”de ransomware.
Esto es según un artículo recientemente publicado producido por analistas del grupo de expertos del Royal United Services Institute (Rusi), que arroja algo de luz sobre los desafíos que enfrentan las aseguradoras cibernéticas; además del ransomware, estos incluyen problemas con la recopilación y el análisis de datos de riesgo.
En el papel, El ciberseguro y el desafío de la ciberseguridad, que está disponible para que el público lo descargue aquí, el analista cibernético Jamie MacColl de Rusi, el miembro asociado Jason Nurse (también profesor asociado de seguridad cibernética en la Universidad de Kent) y el director de investigación cibernética James Sullivan argumentan que a medida que el sector madura, el seguro cibernético tiene la potencial para cumplir un papel desempeñado por las aseguradoras en otras industrias, como recompensar una buena gestión de riesgos u ofrecer beneficios financieros, o incluso conocimientos y asistencia especializados, a las organizaciones que han implementado mejores controles y estándares de seguridad.
Sin embargo, los autores del artículo dicen que si bien existen las palancas mediante las cuales el seguro cibernético puede incentivar una mejor higiene de la seguridad, todas tienen “limitaciones significativas”, y el incipiente sector del seguro cibernético está “luchando por pasar de la teoría a la práctica”.
Concluyen que para que el seguro cibernético tenga el impacto deseado, el sector debe mejorar no solo en la comprensión e identificación del riesgo cibernético, sino también en la recopilación y el intercambio de datos fiables sobre riesgo cibernético para informar la suscripción y el modelado de riesgos.
Sin estos datos, dice Rusi, las aseguradoras y reaseguradoras son esencialmente incapaces de evaluar con precisión el riesgo o las prácticas de seguridad de un cliente y, por lo tanto, no pueden fijar el precio de sus primas de manera adecuada. Además, dijo, el mercado aún debe adoptar el uso adecuado de los incentivos financieros o las obligaciones impuestas para mejorar las prácticas cibernéticas entre los clientes.
El documento continúa destacando cómo, como resultado de estos enlaces perdidos, el sector puede de hecho estar avanzando en la dirección equivocada, y señala que las aseguradoras cibernéticas han sido criticadas, en algunos casos a un alto nivel, por facilitar los pagos de ransomware a los ciberdelincuentes. Al hacerlo, argumentan los críticos, incentivan una mayor actividad delictiva cibernética y permiten que las bandas criminales existentes inviertan y amplíen sus capacidades. Señala cómo las pérdidas derivadas de la suscripción acrítica de incidentes de ransomware también han contribuido a que algunas aseguradoras, como AXA, abandonen algunos mercados.
Rusi estableció una serie de recomendaciones para que las aseguradoras cibernéticas cambien las cosas. Estos incluyen el convenio colectivo sobre los requisitos mínimos de seguridad durante el proceso de evaluación de riesgos para las PYME; y más colaboración con proveedores de servicios de seguridad administrados, proveedores de servicios en la nube y especialistas en inteligencia de amenazas para aprovechar los datos de los clientes.
También insta a la Oficina del Gabinete y al Servicio Comercial de la Corona a desarrollar una política y un marco legal que haga que la cobertura del seguro cibernético sea obligatoria para todos los proveedores y vendedores gubernamentales.
Sugiere que el Centro Nacional de Seguridad Cibernética (NCSC), la Agencia Nacional contra el Crimen (NCA) y las partes interesadas en los seguros recurran a los modelos existentes de asociación público-privada para combatir los incidentes cibernéticos y los delitos financieros, y establezcan enlaces para compartir información para intercambiar inteligencia sobre amenazas y datos de pago de rescates. – todo anonimizado; que las aseguradoras deben especificar que, si se ofrecen, las pólizas de cobertura de ransomware deben obligar a los titulares de pólizas a notificar al NCSC y a la NCA si son atacadas y antes del pago; y que el sector de seguros debería trabajar con el NCSC y los socios cibernéticos para crear un conjunto de controles mínimos de ransomware basados en información sobre amenazas y datos de reclamaciones.
Rusi también pidió a la Secretaría de Seguridad Nacional que lleve a cabo una revisión de la política sobre la viabilidad e idoneidad de prohibir por completo los pagos de ransomware.
Parece haber una cantidad creciente de apoyo para promulgar algún tipo de prohibición de los pagos de ransomware; Un informe publicado a principios de junio de 2021 para marcar el lanzamiento de una campaña anti-ransomware, #Ransomaware, afirmó que casi el 80% de los profesionales de la seguridad cibernética, y aproximadamente la misma proporción de consumidores, apoyarían una prohibición.