El seguro cibernético es un producto de seguro especializado destinado a proteger a las empresas de los riesgos basados en Internet y, de manera más general, de los riesgos relacionados con la infraestructura y las actividades de tecnología de la información . Los riesgos de esta naturaleza suelen estar excluidos de las pólizas de responsabilidad civil general comerciales tradicionales o, al menos, no están definidos específicamente en los productos de seguros tradicionales. La cobertura proporcionada por las pólizas de seguro cibernético puede incluir cobertura de primera y tercera parte contra pérdidas como destrucción de datos, extorsión, robo, piratería y ataques de denegación de servicio ; cobertura de responsabilidad que indemnice a las empresas por pérdidas a terceros causadas, por ejemplo, por errores y omisiones, falta de protección de datos o difamación; y otros beneficios que incluyen auditorías de seguridad periódicas , relaciones públicas posteriores al incidente y gastos de investigación, y fondos de recompensa por delitos.
Dado que el mercado de seguros cibernéticos en muchos países es relativamente pequeño en comparación con otros productos de seguros, su impacto general en las amenazas cibernéticas emergentes es difícil de cuantificar. [1] Como el impacto de las amenazas cibernéticas sobre las personas y las empresas también es relativamente amplio en comparación con el alcance de la protección proporcionada por los productos de seguros, las compañías de seguros continúan desarrollando sus servicios.
A medida que las aseguradoras pagan por las pérdidas cibernéticas y las amenazas cibernéticas se desarrollan y cambian, cada vez más los productos de seguros se compran junto con los servicios de seguridad informática existentes. De hecho, los criterios de suscripción para que las aseguradoras ofrezcan productos de seguros cibernéticos también están en una etapa temprana de desarrollo, y las aseguradoras se están asociando activamente con las empresas de seguridad informática para desarrollar sus productos.
Además de mejorar directamente la seguridad, el seguro cibernético es enormemente beneficioso en caso de una violación de seguridad a gran escala. El seguro proporciona un mecanismo de financiación ágil para la recuperación de pérdidas importantes, lo que ayuda a las empresas a volver a la normalidad y reduce la necesidad de asistencia gubernamental. [2]
Como beneficio adicional, muchas pólizas de seguros cibernéticos requieren que las entidades que intentan adquirir pólizas de seguros cibernéticos participen en una auditoría de seguridad informática antes de que la compañía de seguros vincule la póliza. Esto ayudará a las empresas a determinar sus vulnerabilidades actuales y permitirá a la compañía de seguros evaluar el riesgo que están asumiendo al ofrecer la póliza a la entidad. Al completar la auditoría de seguridad informática, la entidad que adquiere la póliza estará obligada, en algunos casos, a realizar las mejoras necesarias en sus vulnerabilidades de seguridad informática antes de que se pueda adquirir la póliza de seguros cibernéticos. Esto, a su vez, ayudará a reducir el riesgo de delitos cibernéticos contra la empresa que adquiere el seguro cibernético. [3]
Por último, el seguro permite distribuir equitativamente los riesgos de ciberseguridad, de modo que el costo de las primas sea proporcional a la magnitud de las pérdidas esperadas derivadas de dichos riesgos, lo que evita concentraciones de riesgo potencialmente peligrosas y, al mismo tiempo, impide el aprovechamiento indebido de los riesgos.
La tecnología de la información es una faceta inherente a prácticamente todas las empresas modernas; el requisito de un producto separado sólo existe gracias a un ejercicio deliberado de alcance que ha excluido el robo y los daños asociados con las tecnologías modernas de las líneas de productos existentes.
Bruce Schneier [4] ha postulado que las prácticas de seguros existentes tienden a seguir el modelo de "inundación o incendio" [5]; sin embargo, los eventos cibernéticos no parecen estar modelados por ninguno de estos tipos de eventos, lo que ha llevado a una situación en la que el alcance del seguro cibernético se restringe aún más para reducir el riesgo para los aseguradores. A esto se suma la escasez de datos relacionados con los daños reales correlacionados con el tipo de evento, la falta de estándares asociados con la clasificación de eventos y la falta de evidencia asociada con la eficacia de las "mejores prácticas de la industria". [6]
Los seguros se basan en datos actuariales sólidos en un contexto de riesgo en gran medida estático. Dado que estos datos no existen en la actualidad, es poco probable que los compradores de estos productos logren los resultados de valor que desean. Esta visión del mercado se refleja en el estado actual del mercado, donde las exclusiones estándar dan lugar a una situación en la que "una aseguradora podría argumentar que se aplican a casi cualquier violación de datos". [7]
Según Josephine Wolff, el seguro cibernético ha sido “ineficaz para frenar las pérdidas de ciberseguridad porque normaliza el pago de rescates en línea, mientras que el objetivo de la ciberseguridad es el opuesto: desincentivar dichos pagos para que el ransomware sea menos rentable”. [8]
Según la investigación de Josephine Wolff sobre la historia del seguro cibernético, sus orígenes se remontan a una convención de la International Risk Insurance Management Society en abril de 1997 en la que Steven Haase presentó el lanzamiento del primer producto de seguro cibernético, que incluía coberturas de primera y tercera parte. [9] [10] [11] Haase ideó por primera vez el concepto de seguro cibernético unos años antes y lo había discutido con varios colegas de la industria en ocasiones, pero este evento de 1997 marcó un momento decisivo cuando se lanzó realmente la primera póliza de seguro cibernético y la primera plataforma de suscripción. El evento resultó en la creación de la primera póliza diseñada para centrarse en los riesgos del comercio por Internet, que fue la póliza de responsabilidad de seguridad de Internet (ISL), desarrollada por Haase y suscrita por AIG. [12] Alrededor de esta misma época, en 1999, David Walsh fundó CFC Underwriting en el Reino Unido, una empresa que trata el ciberespacio como una de sus principales áreas de enfoque. [13] [14] Chris Cotterell fundó Safeonline aproximadamente al mismo tiempo, que pronto se convirtió en otro actor importante en el espacio de los seguros cibernéticos. [15] [16] La primera reunión entre Haase y 20 colegas de la industria en Hawái se conoce ahora comúnmente como la “Breach on the Beach” y se considera un momento crucial en el que se reconoció y celebró por primera vez el seguro cibernético. [17] [18]
Los primeros trabajos de la década de 1990 se centraron en los méritos generales del ciberseguro. A finales de esa década, cuando la perspectiva empresarial de la seguridad de la información adquirió mayor importancia, se formularon visiones del ciberseguro como herramienta de gestión de riesgos . Aunque sus raíces en la década de 1980 parecían prometedoras, el mercado del ciberseguro, golpeado por acontecimientos como el Y2K y los ataques del 11 de septiembre , no prosperó y permaneció en un nicho para demandas inusuales. La cobertura es muy limitada y entre los clientes se incluyen PYMES (pequeñas y medianas empresas) que necesitan un seguro para calificar para licitaciones o bancos comunitarios demasiado pequeños para cubrir los riesgos de sus operaciones bancarias en línea .
Si bien no fue la primera, al menos una de las primeras pólizas de responsabilidad cibernética, como las llamamos ahora, fue desarrollada para el mercado de Lloyd's de Londres en el año 2000. La póliza fue encabezada por Keith Daniels y Rob Hamesfahr, entonces abogados del bufete de abogados Blatt, Hammesfahr & Eaton de Chicago, Illinois. Trabajando en estrecha colaboración con Ian Hacker, entonces asegurador de Lloyd's, y Ted Doolittle y Kinsey Carpenter, entonces corredores de Kinsey Carpenter, un corredor de seguros de San Francisco, California, la póliza brindaba cobertura de terceros junto con cobertura de interrupción comercial. En aquellos primeros días, se pensaba que un gran riesgo sería que una empresa transmitiera por negligencia un virus que pudiera infectar los sistemas de otras empresas, que luego presentarían una demanda contra la empresa original, así como por interrupción comercial. La póliza también fue una de las primeras en incluir coberturas de primera y tercera parte en la misma forma. Si bien es probable que tales errores y omisiones hayan sucedido, las demandas contra organizaciones sobre esta base han demostrado ser poco frecuentes. Las pólizas que se han desarrollado desde el año 2000 se han centrado en la interrupción de las actividades comerciales, el pago de multas y sanciones, los costos de supervisión de crédito, los costos de relaciones públicas y el costo de restaurar o reconstruir datos privados, y continúan expandiéndose y evolucionando en la actualidad. Además, las pólizas de errores y omisiones tecnológicas ahora se venden con cobertura de terceros a organizaciones, como programadores e instaladores de tecnología, que podrían ser demandados si su asesoramiento o producto no satisface a sus clientes. Otros de los primeros participantes en el mercado cibernético fueron American International Group (AIG) y Chubb. Hoy en día, más de 80 empresas compiten en el mercado cibernético.
Incluso un pronóstico conservador de 2002, que predecía un mercado global de seguros cibernéticos por valor de 2.500 millones de dólares en 2005, resultó ser cinco veces mayor que el tamaño del mercado en 2008. [19] En general, en términos relativos, el mercado de seguros cibernéticos se contrajo a medida que crecía la economía de Internet.
La historia reciente muestra que la compra de seguros cibernéticos ha aumentado debido al aumento de los ataques basados en Internet, como los ataques de ransomware. Oficina de Responsabilidad Gubernamental, "Los clientes de seguros están optando por la cobertura cibernética, en comparación con el 26 % en 2016 hasta el 47 % en 2020. Al mismo tiempo, las entidades aseguradoras estadounidenses vieron que los costos de los ciberataques casi se duplicaron entre 2016 y 2019. Como resultado, las primas de seguros también experimentaron importantes aumentos". [20]
En la práctica, varios obstáculos han impedido que el mercado de los seguros cibernéticos alcance su madurez: la ausencia de datos actuariales fiables para calcular las primas de seguros, la falta de concienciación entre los responsables de la toma de decisiones que contribuye a una demanda demasiado baja, así como obstáculos jurídicos y procesales se han identificado en la "primera generación" de literatura sobre seguros cibernéticos hasta aproximadamente 2005. [21] Este último aspecto puede causar frustración a la hora de reclamar una indemnización por daños. Además, las entidades que consideran la posibilidad de contratar seguros cibernéticos deben someterse a una serie de procedimientos de evaluación de seguridad a menudo invasivos, que revelan sus infraestructuras y políticas de TI. Mientras tanto, ser testigo de miles de vulnerabilidades, millones de ataques y una mejora sustancial en la definición de estándares de seguridad y en la informática forense pone en tela de juicio la validez de estos factores para explicar causalmente la falta de un mercado de seguros. [ verificación necesaria ]
La infraestructura, los usuarios y los servicios ofrecidos en las redes informáticas hoy en día están sujetos a una amplia variedad de riesgos planteados por amenazas que incluyen ataques distribuidos de denegación de servicio , intrusiones de diversos tipos , escuchas clandestinas, [22] [23] piratería informática , [24] phishing , gusanos , virus , spam , etc. Para contrarrestar el riesgo planteado por estas amenazas, los usuarios de la red han recurrido tradicionalmente a software antivirus y antispam , cortafuegos , sistemas de detección de intrusos (IDS) y otros complementos para reducir la probabilidad de verse afectados por amenazas. En la práctica, una gran industria (empresas como Symantec, McAfee, etc.) así como considerables esfuerzos de investigación se centran actualmente en el desarrollo e implementación de herramientas y técnicas para detectar amenazas y anomalías con el fin de proteger la ciberinfraestructura y sus usuarios del impacto negativo resultante de las anomalías.
A pesar de las mejoras en las técnicas de protección de riesgos durante la última década gracias al hardware, el software y las metodologías criptográficas, es imposible lograr una protección de ciberseguridad perfecta o casi perfecta. La imposibilidad surge debido a una serie de razones: [25]
Dadas las inevitables barreras mencionadas anteriormente para una mitigación de riesgos cercana al 100%, surge la necesidad de métodos alternativos para la gestión de riesgos en el ciberespacio. Para destacar la importancia de mejorar el estado actual de la ciberseguridad, el presidente de los Estados Unidos, Barack Obama, emitió una orden ejecutiva sobre ciberseguridad en febrero de 2013 [26] que enfatiza la necesidad de reducir las ciberamenazas y ser resilientes a ellas. En este sentido, algunos investigadores de seguridad en el pasado reciente han identificado el ciberseguro como una herramienta potencial para una gestión de riesgos eficaz.
El ciberseguro es una técnica de gestión de riesgos mediante la cual los riesgos de los usuarios de la red se transfieren a una compañía de seguros, a cambio de una tarifa, es decir, la prima del seguro. Entre los posibles ciberaseguradores se incluyen los proveedores de servicios de Internet, los proveedores de la nube y las organizaciones de seguros tradicionales. Los defensores del ciberseguro creen que este conduciría al diseño de contratos de seguros que trasladarían cantidades adecuadas de responsabilidad de autodefensa a los clientes, con lo que el ciberespacio sería más robusto. En este caso, el término "autodefensa" implica los esfuerzos de un usuario de la red por proteger su sistema mediante soluciones técnicas, como software antivirus y antispam, cortafuegos, uso de sistemas operativos seguros, etc. El ciberseguro también tiene el potencial de ser una solución de mercado que puede alinearse con los incentivos económicos de los ciberaseguradores, los usuarios (individuos/organizaciones), los responsables de las políticas y los proveedores de software de seguridad. Es decir, las aseguradoras cibernéticas obtendrán ganancias al fijar precios apropiados para las primas, los usuarios de la red buscarán cubrir pérdidas potenciales comprando seguros en forma conjunta e invirtiendo en mecanismos de autodefensa, los responsables de las políticas garantizarían el aumento de la seguridad general de la red y los vendedores de software de seguridad podrían experimentar un aumento en las ventas de sus productos mediante la formación de alianzas con las aseguradoras cibernéticas. [27]
Un área clave para gestionar el riesgo es establecer qué es un riesgo aceptable para cada organización o qué es una "seguridad razonable" para su entorno de trabajo específico. La práctica del " deber de cuidado " ayuda a proteger a todas las partes interesadas (ejecutivos, reguladores, jueces, el público que puede verse afectado por esos riesgos). La Norma de análisis de riesgos del deber de cuidado (DoCRA) [28] proporciona prácticas y principios para ayudar a equilibrar el cumplimiento, la seguridad y los objetivos comerciales al desarrollar controles de seguridad.
Legislación
En 2022, Kentucky y Maryland promulgaron una legislación sobre seguridad de datos de seguros basada en la Ley Modelo de Seguridad de Datos de Seguros de la Asociación Nacional de Comisionados de Seguros (“NAIC”) (MDL-668). [29] La SB 207 de Maryland [30] entra en vigor el 1 de octubre de 2023. El Proyecto de Ley 474 de la Cámara de Representantes de Kentucky [31] entra en vigor el 1 de enero de 2023.
En consecuencia, durante 2005, surgió una “segunda generación” de literatura sobre seguros cibernéticos, que se centraba en la gestión de riesgos de las redes cibernéticas actuales. Los autores de dicha literatura vinculan la falla del mercado con propiedades fundamentales de la tecnología de la información, especialmente las asimetrías de información de riesgo correlacionadas entre aseguradores y asegurados y las interdependencias. [32]
La asimetría de la información tiene un efecto negativo significativo en la mayoría de los entornos de seguros, donde las consideraciones típicas incluyen la incapacidad de distinguir entre usuarios de diferentes tipos (de alto y bajo riesgo), es decir, el llamado problema de selección adversa, así como los usuarios que realizan acciones que afectan negativamente las probabilidades de pérdida después de que se firma el contrato de seguro, es decir, el llamado problema de riesgo moral. El desafío debido a la naturaleza interdependiente y correlacionada de los riesgos cibernéticos es particular del ciberseguro y diferencia los escenarios de seguros tradicionales (por ejemplo, seguro de automóvil o de salud) del primero. En un gran sistema distribuido como Internet, los riesgos abarcan un gran conjunto de nodos y están correlacionados. Por lo tanto, las inversiones de los usuarios en seguridad para contrarrestar los riesgos generan externalidades positivas para otros usuarios en la red. El objetivo del ciberseguro aquí es permitir que los usuarios individuales internalicen las externalidades en la red para que cada usuario invierta de manera óptima en soluciones de seguridad, aliviando así el riesgo moral y mejorando la seguridad de la red. En los escenarios de seguros tradicionales, el alcance del riesgo es bastante pequeño (a veces abarca solo una o dos entidades) y no está correlacionado, por lo que es mucho más fácil internalizar las externalidades generadas por las inversiones de los usuarios en seguridad.
En 2019, FM Global realizó una encuesta a directores financieros de empresas con una facturación superior a los mil millones de dólares. La encuesta reveló que el 71% de los directores financieros creía que su proveedor de seguros cubriría "la mayor parte o la totalidad" de las pérdidas que su empresa sufriría en un ataque o delito cibernético. Sin embargo, muchos de esos directores financieros informaron que esperaban daños relacionados con los ataques cibernéticos que no están cubiertos por las pólizas típicas de ataques cibernéticos. En concreto, el 50% de los directores financieros mencionó que preveían que después de un ataque cibernético se devaluaría la marca de su empresa, mientras que más del 30% esperaba una disminución de los ingresos. [33]
Al igual que otras pólizas de seguros, el seguro cibernético suele incluir una cláusula de exclusión de guerra , que excluye explícitamente los daños causados por actos de guerra. Si bien la mayoría de las reclamaciones por seguros cibernéticos se relacionan con conductas delictivas simples, cada vez es más probable que las empresas sean víctimas de ataques cibernéticos por parte de estados nacionales u organizaciones terroristas, ya sean específicamente dirigidos o simplemente por daños colaterales. Después de que los gobiernos de Estados Unidos y el Reino Unido caracterizaran el ataque NotPetya como un ciberataque militar ruso, las aseguradoras argumentan que no cubren tales eventos. [34] [35] [36]
Es bien sabido, a partir de la práctica del mercado, que los mercados de seguros cibernéticos no han florecido en términos de entrada de primas inyectadas, tal como se esperaba. Existe una gran brecha de oferta y demanda de miles de millones de dólares, lo que indica una falla del mercado en un sentido económico. Si bien los estudios de políticas y legales [37] han tenido una opinión sólida sobre por qué es así, es el campo de la investigación de modelos matemáticos el que ha establecido formalmente el hecho de por qué es así.
Entre los ejemplos de trabajos de modelado seminales que estudian la eficiencia económica de los mercados de seguros cibernéticos que cubren riesgos cibernéticos no acumulativos se incluyen (i) Lelarge y Bolot, [38] (ii) Pal et al., [39] (iii) Pal et al., [40] (iv) Pal et al., [41] (v) Johnson et al., [42] y (vi) Shetty, et al. [43]. Estos trabajos primero muestran el comportamiento de oportunismo de los usuarios de Internet (principalmente usuarios y organizaciones) sin la presencia de un ciberseguro, y luego estudian cómo el seguro puede reducir el oportunismo dentro de una red de organizaciones.
Los trabajos de Lelarge y Bolot y Shetty et al. presentan los beneficios del ciberseguro para incentivar a los usuarios de Internet a invertir adecuadamente en seguridad. Sin embargo, sus trabajos abordan tipos de mercado restringidos que solo consideran los ciberriesgos residuales independientes de varias fuentes de usuarios que llegan a las ciberaseguradoras. Lelarge et al. no modelan la asimetría de la información en su trabajo. Aunque Shetty et al. demuestran que los mercados de ciberseguros son ineficientes en condiciones de asimetría de la información, sus resultados no se extienden generalmente a entornos en los que las organizaciones aseguradas están interconectadas entre sí. Johnson et al. analizan el papel de la existencia conjunta del autoseguro y el seguro de mercado en la adopción de los diferentes tipos de seguros por parte de los usuarios, pero no modelan la red de organizaciones interdependientes. En el trabajo más reciente, Pal et al. en una serie de artículos conjuntos demuestran la ineficiencia de los mercados de ciberseguros en condiciones de asimetría parcial de la información y riesgos correlacionados y muestran la existencia de mercados eficientes (tanto regulados como no regulados) en condiciones de discriminación de primas.
Los trabajos recientes sobre modelos matemáticos de riesgo cibernético para estudiar la sostenibilidad del mercado de la cobertura del riesgo cibernético agregado por parte de las (re)aseguradoras cibernéticas han sido realizados únicamente por Pal et al. [44] [45] [46] Basándose en una serie de análisis de modelos rigurosos sobre las dimensiones de la economía y la estadística, demuestran que solo en el caso de agregar riesgos cibernéticos de cola ligera y de fuentes independientes (un evento prácticamente menos probable) los mercados de seguros cibernéticos eficientes serán sostenibles. En todos los demás casos, los mercados de (re)seguros cibernéticos existirán, pero serán en gran medida ineficientes con síntomas como baja inyección de primas, mercado de limones, alta brecha de oferta y demanda y pocas reaseguradoras. La asimetría de información entre el asegurado y el proveedor de seguros junto con la naturaleza correlacionada de los riesgos cibernéticos son las razones principales de tales ineficiencias del mercado.
Cunningham, Pfleeger, [47] Pal, Liu et al., [48] y Liu et al. [49] argumentan computacionalmente contra la existencia de mercados de (rea)seguros cibernéticos sostenibles bajo asimetría de información. El mensaje común de su estudio es que los sistemas impulsados por TI tienen demasiadas vulnerabilidades para que las computadoras las detecten (eliminando así la asimetría de información) en un tiempo prácticamente factible, sin mencionar a los humanos. Mientras que Cunningham argumenta lógicamente que este problema es Turing Indecidible, Pal et al., [50] y Liu et al., [51] son los primeros en demostrar formalmente que el problema es NP-Hard y derivar una solución de aproximación para aliviar el problema de asimetría de información. Los resultados justifican por qué los mercados de (rea)seguros cibernéticos han sido tan dispersos durante la última década.
En 2014, el 90% del volumen de primas de seguros cibernéticos cubría la exposición en Estados Unidos. Aunque al menos 50 compañías de seguros tienen ofertas de productos de seguros cibernéticos, la emisión real se concentra en un grupo de cinco suscriptores. Muchas compañías de seguros han dudado en entrar en este mercado de cobertura, ya que no existen datos actuariales sólidos sobre la exposición cibernética. Lo que obstaculiza el desarrollo de estos datos actuariales es la divulgación inadecuada de los ataques cibernéticos por parte de los afectados. [52] Sin embargo, después de un importante incidente de malware en 2017, Reckitt Benckiser publicó información sobre cuánto afectaría el ciberataque al rendimiento financiero, lo que llevó a algunos analistas a creer que la tendencia es que las empresas sean más transparentes con los datos de los incidentes cibernéticos. [53]
Se espera que las primas de seguros cibernéticos aumenten de aproximadamente 2.000 millones de dólares en 2015 a aproximadamente 20.000 millones de dólares o más en 2025, por lo que las aseguradoras y reaseguradoras siguen perfeccionando los requisitos de suscripción. La inmadurez del mercado y la falta de estandarización son dos razones por las que suscribir productos cibernéticos hoy en día lo convierte en un lugar interesante para estar en el mundo de los seguros. No solo se cuenta con un mercado de seguros que está tratando de alcanzar un estándar y adaptarse a las necesidades de los asegurados actuales, sino que también se cuenta, al mismo tiempo, con un panorama de exposición y una capacidad disponibles en rápido desarrollo.
En 2019, el costo promedio del seguro de responsabilidad cibernética en los Estados Unidos se estimó en $1,501 por año para una cobertura de responsabilidad de $1 millón, con un deducible de $10,000. [54] La prima anual promedio para un límite de responsabilidad cibernética de $500,000 con un deducible de $5,000 fue de $1,146, y la prima anual promedio para un límite de responsabilidad cibernética de $250,000 con un deducible de $2,500 fue de $739. [55] Además de la ubicación, los principales impulsores del costo del seguro cibernético incluyen el tipo de negocio, la cantidad de transacciones con tarjeta de crédito/débito realizadas y el almacenamiento de información personal confidencial, como la fecha de nacimiento y los números de Seguro Social.