El mercado de seguros Lloyd’s of London ha indicado que se moverá para exigir a sus grupos de seguros que excluyan los ciberataques “catastróficos” de los estados nacionales de las pólizas de ciberseguros a partir del 31 de marzo de 2023.
De acuerdo con la Wall Street Journalque fue el primero en informar la historia, el cambio supuestamente asegurará que el alcance de las pólizas de seguro cibernético quede claro para los compradores, y se hace porque Lloyd’s cree que el impacto de los ataques respaldados por el estado es un “riesgo sistémico”.
El periódico citó un aviso del 16 de agosto escrito por el director de suscripción Tony Chaudhry. Chaudhry dijo que Lloyd’s seguía apoyando firmemente los seguros cibernéticos, pero que tales pólizas debían administrarse adecuadamente dada la naturaleza de rápida evolución del panorama de amenazas.
Chaudhry dijo que, en particular, la capacidad de los actores de amenazas respaldados por el estado nacional para propagar sus ataques rápida y fácilmente y las dependencias críticas que las sociedades ahora tienen de la infraestructura digital significan que las pérdidas que podrían surgir “tienen el potencial de superar en gran medida lo que el seguro mercado es capaz de absorber”.
La medida de Lloyd’s refleja una tendencia creciente entre las aseguradoras cibernéticas de endurecer los términos y condiciones de sus pólizas. Hablando con Computer Weekly a principios de 2022, Heidi Shey, analista principal de Forrester, describió un “endurecimiento del mercado” que ha visto, entre otras cosas, que la aseguradora AXA France suspenda los reembolsos por pagos de ransomware.
En el mismo artículo, Simon Gilbert, de la correduría de seguros Elmore, comentó: “La principal tendencia que hemos visto en los últimos 12 meses es una reducción en el límite de indemnización (la cantidad máxima que pagará una aseguradora bajo una póliza) y el aumento del costo de seguro cibernético debido a las pérdidas de ransomware que afectan la cartera de seguros cibernéticos de casi todas las aseguradoras”.
Los cambios dan más peso a las preocupaciones de que a las organizaciones les resulta cada vez más difícil obtener una cobertura de seguro cibernético adecuada, como mostró una investigación reciente realizada por el especialista en gestión de riesgos Huntsman Security.
El CEO de la firma, Peter Woollacott, dijo que había una serie de factores en juego, incluidos controles regulatorios más estrictos, aumento de las primas, suscripción cada vez más rigurosa, restricciones de capacidad y límites de cobertura como los propuestos por Lloyd’s.
Advirtió que la cantidad de organizaciones que no podrían pagar un seguro cibernético, terminarían con una cobertura insuficiente o se les negaría la cobertura por completo, podría duplicarse para fines de 2023.
“Con este acceso reducido al seguro junto con el aumento de las amenazas cibernéticas y las regulaciones más estrictas, muchas organizaciones están perdiendo el seguro cibernético como una herramienta importante de gestión de riesgos”, dijo Woollacott. “Incluso aquellos que aún pueden obtener un seguro están pagando un costo prohibitivamente alto”.
Por estas razones, los líderes de seguridad deben tener claro que el seguro cibernético es solo una de las muchas palancas que pueden accionar y no deben usarse para reemplazar los controles que ya deberían estar implementados, dijo Tom Venables, director de práctica de aplicaciones y seguridad cibernética. en Consultoría llave en mano.
“Alguien podría asegurar su automóvil, pero aún así obedecer el límite de velocidad, usar el cinturón de seguridad y evitar beber y conducir”, dijo. “En otras palabras, a pesar de estar asegurado, toman medidas preventivas adicionales para garantizar que el riesgo para el automóvil se mantenga al mínimo.
“Al aplicar este principio al seguro cibernético, los profesionales de la seguridad deben centrarse en comprender el riesgo para la organización. Necesitan conocer los activos de información que requieren protección, cómo esos activos pueden ser vulnerables y qué controles se requieren para reducir el riesgo.
“Es posible que todas las bases de datos tengan parches actualizados, pero si una es compatible con una aplicación crítica para el negocio, como el control de una línea de producción, puede ser más crítica en caso de un ataque de ransomware”.
