ביטוח סייבר הוא מוצר ביטוח מיוחד שנועד להגן על עסקים מפני סיכונים מבוססי אינטרנט, ובאופן כללי יותר מסיכונים הנוגעים לתשתיות ופעילויות של טכנולוגיית מידע.
סיכונים מסוג זה בדרך כלל אינם נכללים בפוליסות אחריות כללית מסחרית מסורתית או לפחות אינם מוגדרים ספציפית במוצרי ביטוח מסורתיים.
כיסוי המסופק על ידי פוליסות ביטוח סייבר עשוי לכלול כיסוי צד ראשון מפני אובדנים כגון השמדת נתונים, סחיטה, גניבה, פריצה והתקפות מניעת שירות ; כיסוי אחריות המשפה חברות בגין הפסדים לאחרים שנגרמו, למשל, עקב טעויות והשמטות, אי שמירה על נתונים או לשון הרע; והטבות נוספות כולל ביקורת אבטחה רגילה, יחסי ציבור והוצאות חקירה לאחר תקרית, וקרנות תגמול פלילי.
עורך דין מומלץ
יתרונות
מכיוון ששוק ביטוח הסייבר במדינות רבות קטן יחסית למוצרי ביטוח אחרים, קשה לכמת את ההשפעה הכוללת שלו על איומי הסייבר המתעוררים. מכיוון שההשפעה על אנשים ועסקים מאיומי סייבר היא גם רחבה יחסית בהשוואה להיקף ההגנה שמספקים מוצרי ביטוח, חברות הביטוח ממשיכות לפתח את שירותיהן. לפי סקר, 46% מכלל ההפרות משפיעות על חברות עם פחות מ-1,000 עובדים. במקרה זה, ייתכן שיהיה צורך באמצעי אבטחה חזקים וביטוח אחריות סייבר.
ככל שמבטחים משלמים על הפסדי סייבר, וככל שאיומי סייבר מתפתחים ומשתנים, מוצרי ביטוח נרכשים יותר ויותר לצד שירותי אבטחת IT קיימים. ואכן, קריטריוני החיתום למבטחים להציע מוצרי ביטוח סייבר נמצאים גם הם בשלב מוקדם בפיתוח, והחתמים משתפים פעולה באופן פעיל עם חברות אבטחת IT כדי לפתח את המוצרים שלהם.
בנוסף לשיפור ישיר של האבטחה, ביטוח סייבר מועיל מאוד במקרה של פרצת אבטחה בקנה מידה גדול. הביטוח מספק מנגנון מימון חלק להתאוששות מהפסדים גדולים, עוזר לעסקים לחזור לשגרה ומצמצם את הצורך בסיוע ממשלתי.
כהטבה צדדית, ייתכן שפוליסות ביטוח סייבר יחייבו גופים המנסים לרכוש פוליסות ביטוח סייבר להשתתף בביקורת אבטחת IT לפני שספק הביטוח יחייב את הפוליסה. זה יעזור לחברות לקבוע את הפגיעויות הנוכחיות שלהן ויאפשר לספקית הביטוח לאמוד את הסיכון שהם לוקחים על עצמם על ידי הצעת הפוליסה לישות. על ידי השלמת ביקורת אבטחת ה-IT, הישות הרוכשת את הפוליסה תידרש, במקרים מסוימים, לבצע שיפורים נחוצים בפגיעויות אבטחת ה-IT שלהם לפני שניתן יהיה לרכוש את פוליסת ביטוח הסייבר. זה בתורו יעזור להפחית את הסיכון לפשעי סייבר נגד החברה שרוכשת ביטוח סייבר.
לבסוף, הביטוח מאפשר חלוקת סיכוני אבטחת סייבר בצורה הוגנת, כאשר עלות הפרמיות תואמת את גודל ההפסד הצפוי מסיכונים כאלה.
זה נמנע מריכוזי סיכון שעלולים להיות מסוכנים ובמקביל גם מונע רכיבה חופשית.
חסרונות
טכנולוגיית מידע היא פן אינהרנטי של כמעט כל העסקים המודרניים, הדרישה למוצר נפרד קיימת רק בגלל תרגיל סקירה מכוון אשר הוציא מכלל קווי המוצרים הקיימים גניבה ונזק הקשורים לטכנולוגיות מודרניות.
ברוס שנייר הניח ששיטות הביטוח הקיימות נוטות לפעול לפי מודל “הצפה או שריפה” אולם נראה כי אירועי סייבר אינם מעוצבים על ידי אחד מסוגי האירועים הללו, הדבר הוביל למצב שבו היקף ביטוח הסייבר מוגבל עוד יותר כדי להקטין את הסיכון לחתמים. מה שמרכיב זאת הוא מיעוט נתונים המתייחסים לנזק ממשי בקורלציה לסוג האירוע, היעדר סטנדרטים הקשורים לסיווג האירועים והיעדר ראיות הקשורות ליעילות של “שיטות עבודה מומלצות בתעשייה”.
הביטוח מסתמך על נתונים אקטואריים תקינים על רקע סטטי ברובו של סיכון. בהתחשב בכך שהם אינם קיימים כיום, לא סביר שאף אחד מהקונים של מוצרים אלה ישיג את התוצאות הערך שהם רוצים. תפיסה זו של השוק באה לידי ביטוי במצב השוק הנוכחי שבו החרגות סטנדרטיות גורמות למצב שבו “מבטח יכול לטעון שהם חלים על כמעט כל הפרת מידע”.
לדברי ג’וזפין וולף, ביטוח סייבר לא היה “לא יעיל בבלימת הפסדי אבטחת סייבר מכיוון שהוא מנרמל את תשלום הכופר המקוון, בעוד שהמטרה של אבטחת סייבר היא הפוכה – למנוע תמריצים לתשלומים כאלה כדי להפוך תוכנות כופר לפחות רווחיות”.
רקע על ביטוח סייבר
עבודות מוקדמות בשנות ה-90 התמקדו ביתרונות הכלליים של ביטוח סייבר. בסוף שנות ה-90, כשהפרספקטיבה העסקית של אבטחת מידע התבלטה יותר, גובשו חזונות של ביטוח סייבר ככלי לניהול סיכונים. למרות ששורשיו בשנות ה-80 נראו מבטיחים, מושפעים מאירועים כמו Y2K והתקפות 9/11, שוק ביטוחי הסייבר לא הצליח לשגשג ונשאר בנישה לדרישות חריגות. הכיסוי מוגבל מאוד, והלקוחות כוללים חברות SMB (עסקים קטנים ובינוניים) הזקוקים לביטוח כדי להיות זכאים למכרזים, או בנקים קהילתיים קטנים מכדי לגדר את הסיכונים בפעילות הבנקאות המקוונת שלהם.
אם לא הראשונה, לפחות אחת מהראשונות, פוליסות אחריות סייבר כפי שאנו מכנים אותן כיום פותחה עבור שוק הלויד’ס הלונדוני בשנת 2000. בראש המדיניות עמדו קית’ דניאלס ורוב המספאר עורכי הדין דאז במשרד עורכי הדין בשיקגו, IL של בלאט, האמספר ואיטון. בשיתוף פעולה הדוק עם איאן האקר, אז חתם לויד’ס, וטד דוליטל וקינזי קרפנטר, אז מתווכים עם קינסי קרפנטר, מתווך ביטוח בסן פרנסיסקו, קליפורניה, הפוליסה סיפקה כיסוי צד שלישי יחד עם כיסוי הפסקות עסקיות. באותם ימים ראשונים חשבו שסיכון גדול יהיה שחברה תעביר ברשלנות וירוס שעלול להדביק מערכות של חברות אחרות, שלאחר מכן יגיש תביעה נגד החברה המקורית וכן הפרעה עסקית. הפוליסה הייתה מהראשונות, שכללה גם כיסויים של צד ראשון וצד שלישי באותה צורה. למרות שסביר להניח שטעויות והשמטות כאלה קרו, תביעות נגד ארגונים על בסיס זה התבררו כנדירות. מוקד הטפסים שהתפתחו מאז שנת 2000 היה בהפרעות עסקיות, תשלום קנסות וקנסות, עלויות מעקב אשראי, עלויות יחסי ציבור ועלות שחזור או בנייה מחדש של נתונים פרטיים, והם ממשיכים להתרחב ולהתפתח גם היום. כמו כן, מדיניות טעויות והשמטות טכנולוגיות נמכרות כעת עם כיסוי של צד שלישי לארגונים, כגון מתכנתים ומתקיני טכנולוגיה שעלולים להיתבע אם העצה או המוצר שלהם לא יספקו ללקוחותיהם. נרשמים מוקדמים נוספים לשוק הסייבר כללו את American International Group (AIG) ואת Chubb. כיום, יותר מ-80 חברות מתחרות בשוק הסייבר.
אפילו תחזית שמרנית של 2002, שניבאה שוק עולמי לביטוח סייבר בשווי של 2.5 מיליארד דולר ב-2005, התבררה כגבוהה פי חמישה מגודל השוק ב-2008. בסך הכל, במונחים יחסיים, שוק הסייבר הביטוח התכווץ ככל שכלכלת האינטרנט גדלה.
בפועל, מספר מכשולים מנעו משוק ביטוחי הסייבר להגיע לבשלות; היעדר נתונים אקטואריים אמינים לחישוב דמי ביטוח, חוסר מודעות בקרב מקבלי החלטות התורמים לביקוש קטן מדי, כמו גם מכשולים משפטיים ופרוצדורליים זוהו בדור הראשון” של ספרות ביטוח סייבר עד 2005 בערך. ההיבט האחרון עלול לגרום לתסכול בעת תביעת פיצויים בגין נזקים. יתרה מכך, גופים השוקלים ביטוח סייבר חייבים לעבור סדרה של הליכי הערכת אבטחה פולשניים לעתים קרובות, ולחשוף את תשתיות ה-IT והמדיניות שלהם.
בינתיים, עדים לאלפי נקודות תורפה, מיליוני התקפות ומהותיות.
שיפור בהגדרת תקני אבטחה וזיהוי פלילי מחשב מעמיד בספק את תקפותם של גורמים אלה כדי להסביר באופן סיבתי את היעדר שוק ביטוח.
סוגים
אבטחת רשת – ביטוח לאובדן הנגזר מאירוע סייבר או פריצה.
גניבה והונאה. מכסה אובדן כספים (או מכשיר כספי דומה) הנובע מגניבת נכסים כאלה על ידי גורם זדוני שפעילותו המרמה, בעיקר הגישה הבלתי מורשית למערכות של בעל הפוליסה, מאפשרת לשחקן זה להשיג נכסים כאלה על ידי העברה מזויפת.
חקירה משפטית. מכסה את השירותים המשפטיים, הטכניים או הפורנזיים הדרושים כדי להעריך אם התרחשה מתקפת סייבר, להעריך את השפעת המתקפה ולעצירת מתקפה.
הפרעה עסקית. מכסה אובדן הכנסה ועלויות נלוות כאשר מבוטח אינו מסוגל לנהל עסקים עקב אירוע סייבר או אובדן נתונים.
סחיטה. מעניק כיסוי לעלויות הכרוכות בחקירת איומים בביצוע התקפות סייבר נגד מערכות המבוטח ותשלומים לסחטנים המאיימים להשיג ולחשוף מידע רגיש.
ביטוח מוניטין : ביטוח נגד התקפות מוניטין והשמצות סייבר.
אובדן ושחזור נתונים של מחשב. מכסה נזק פיזי לנכסים הקשורים למחשב, או אובדן שימוש בנכסים, לרבות עלויות של אחזור ושחזור נתונים, חומרה, תוכנה או מידע אחר שנהרס או ניזוק כתוצאה ממתקפת סייבר.
שחזור נתונים.
מכסה הוצאות הקשורות לשחזור או שחזור של נתונים שאבדו עקב כשל אבטחה או במערכת.
צורך נוכחי
התשתית, המשתמשים והשירותים המוצעים כיום ברשתות מחשבים כפופים כולם למגוון רחב של סיכונים הנובעים מאיומים הכוללים התקפות מניעת שירות מבוזרות, חדירות מסוגים שונים, האזנות, פריצה, 13] פישינג, תולעים, וירוסים, דואר זבל וכו’. על מנת להתמודד עם הסיכון הנשקף מאיומים אלה, משתמשי רשת נקטו באופן מסורתי בתוכנות אנטי -וירוס ואנטי -ספאם, חומות אש, מערכות זיהוי חדירה (IDS) ותוספות אחרות על מנת להפחית את הסבירות להיות מושפע מאיומים. בפועל, תעשייה גדולה (חברות כמו Symantec, McAfee וכו’) וכן מאמצי מחקר ניכרים מתרכזים כיום בפיתוח ופריסה של כלים וטכניקות לאיתור איומים וחריגות על מנת להגן על תשתית הסייבר והמשתמשים בה מפני התוצאות הנובעות מכך.
השפעה שלילית של החריגות.
למרות שיפורים בטכניקות הגנת סיכונים בעשור האחרון עקב חומרה, תוכנה ומתודולוגיות קריפטוגרפיות, אי אפשר להשיג הגנת סייבר-אבטחת סייבר מושלמת/כמעט מושלמת.
חוסר האפשרות נובע ממספר סיבות:
קיום מועט של פתרונות טכניים תקינים.
קושי בתכנון פתרונות מתאימים לכוונות מגוונות מאחורי התקפות רשת.
תמריצים שגויים בין משתמשי רשת, ספקי מוצרי אבטחה ורשויות רגולטוריות בנוגע להגנה על הרשת.
משתמשי רשת המנצלים את השפעות האבטחה החיוביות שנוצרות מהשקעות של משתמשים אחרים באבטחה, בתורם, עצמם לא משקיעים באבטחה וכתוצאה מכך בעיית הנסיעה החופשית.
נעילת לקוחות והשפעות מוביל ראשון של מוצרי אבטחה פגיעים.
קושי למדוד סיכונים הגורם לאתגרים בתכנון פתרונות להסרת סיכונים רלוונטיים.
הבעיה של שוק לימונים, לפיו לספקי אבטחה אין תמריץ לשחרר מוצרים חזקים לשוק.
משחקי מעטפת אחריות ששיחקו על ידי ספקי מוצרים.
נאיביות המשתמש בניצול מיטבי של יתרונות התכונות של פתרונות טכניים.
בהתחשב בחסמים הבלתי נמנעים שהוזכרו לעיל לכמעט 100% הפחתת סיכונים, מתעורר הצורך בשיטות חלופיות לניהול סיכונים במרחב הקיברנטי. כדי להדגיש את החשיבות של שיפור המצב הנוכחי של אבטחת סייבר, נשיא ארה”ב ברק אובמה הוציא בפברואר 2013 צו ביצוע אבטחת סייבר המדגיש את הצורך לצמצם את איומי הסייבר ולהיות עמידים בפניהם. בהקשר זה, כמה חוקרי אבטחה בעבר הקרוב זיהו את ביטוח הסייבר ככלי פוטנציאלי לניהול סיכונים יעיל.
ביטוח סייבר הוא טכניקת ניהול סיכונים שבאמצעותה מועברים סיכוני משתמשי הרשת לחברת ביטוח בתמורה לעמלה, קרי דמי הביטוח. דוגמאות למבטחי סייבר פוטנציאליים עשויות לכלול ספק שירותי אינטרנט, ספק ענן, ארגוני ביטוח מסורתיים. תומכי ביטוח סייבר מאמינים שביטוח סייבר יוביל לעיצוב חוזי ביטוח שיעבירו כמויות מתאימות של אחריות להגנה עצמית ללקוחות, ובכך יהפכו את מרחב הסייבר לחזק יותר. כאן המונח ‘הגנה עצמית’ מרמז על המאמצים של משתמש רשת לאבטח את המערכת שלו באמצעות פתרונות טכניים כגון תוכנות אנטי-וירוס ואנטי-ספאם, חומות אש, שימוש במערכות הפעלה מאובטחות וכו’. לביטוח סייבר יש גם פוטנציאל להיות פתרון שוק שיכול להתיישר עם תמריצים כלכליים של מבטחי סייבר, משתמשים (פרטים/ארגונים), קובעי מדיניות וספקי תוכנות אבטחה. כלומר, מבטחי הסייבר ירוויחו רווחים מתמחור הולם, משתמשי הרשת יבקשו לגדר הפסדים פוטנציאליים על ידי קנייה משותפת של ביטוח והשקעה במנגנוני הגנה עצמית, קובעי המדיניות יבטיחו את הגידול באבטחת הרשת הכוללת, וספקי תוכנות האבטחה יוכלו לחוות עלייה במכירות המוצרים שלהם באמצעות יצירת בריתות עם מבטחי סייבר.
תחום מפתח לניהול סיכונים הוא לקבוע מהו סיכון מקובל עבור כל ארגון או מהו ‘אבטחה סבירה’ עבור סביבת העבודה הספציפית שלו. עיסוק ב’חובת הזהירות ‘ עוזר להגן על כל בעלי העניין – מנהלים, רגולטורים, שופטים, הציבור שעלול להיות מושפע מסיכונים אלו. תקן Duty of Care Risk Analysis (DoCRA) מספק שיטות עבודה ועקרונות כדי לסייע באיזון ציות, אבטחה ויעדים עסקיים בעת פיתוח בקרות אבטחה.
חקיקה
בשנת 2022, קנטאקי ומרילנד חוקקו חקיקה לאבטחת מידע ביטוחי המבוססת על חוק מודל אבטחת נתוני הביטוח (MDL-668) של האיגוד הלאומי של נציבות הביטוח (“NAIC”).
חוק SB 207 של מרילנד נכנס לתוקף ב-1 באוקטובר 2023.
הצעת חוק 474 של בית קנטאקי נכנסת לתוקף ב-1 בינואר 2023.
בעיות קיימות
כתוצאה מכך, במהלך שנת 2005, הופיע “דור שני” של ספרות ביטוח סייבר המתמקדת בניהול סיכונים של רשתות סייבר נוכחיות. מחברי ספרות כזו קושרים את כשל השוק עם מאפיינים בסיסיים של טכנולוגיית המידע, אסימטריה מיוחדת של מידע סיכונים בין מבטחים למבוטחים. ותלות הדדית.
לאסימטריה של מידע יש השפעה שלילית משמעותית על רוב סביבות הביטוח, שבהן שיקולים טיפוסיים כוללים חוסר יכולת להבחין בין משתמשים מסוגים שונים (בסיכון גבוה ונמוך), כלומר, מה שנקרא בעיית בחירה שלילית, וכן משתמשים המבצעים פעולות המשפיעות לרעה. הסתברויות אובדן לאחר חתימת חוזה הביטוח, כלומר, מה שנקרא בעיית הסיכון המוסרי. האתגר בשל האופי התלוי והמתאם של סיכוני סייבר הוא מיוחד לביטוח סייבר ומבדיל בין תרחישי ביטוח מסורתיים (למשל ביטוח רכב או בריאות) לבין הראשונים. במערכת מבוזרת גדולה כמו האינטרנט, הסיכונים משתרעים על קבוצה גדולה של צמתים ומתואמים. לפיכך, השקעות משתמשים באבטחה למניעת סיכונים מייצרות השפעות חיצוניות חיוביות עבור משתמשים אחרים ברשת. מטרת ביטוח הסייבר כאן היא לאפשר למשתמשים בודדים להפנים את ההשפעות החיצוניות ברשת, כך שכל משתמש ישקיע בצורה מיטבית בפתרונות אבטחה, ובכך להקל על הסיכון המוסרי ולשפר את אבטחת הרשת.
בתרחישי ביטוח מסורתיים, טווח הסיכון קטן למדי (לפעמים הוא משתרע רק על ישות אחת או שתיים) וללא קורלציה, ובכך הפנמת ההשפעות החיצוניות הנוצרות מהשקעות המשתמשים בבטיחות, היא הרבה יותר קלה.
עמימות במונחים
FM Global ב-2019 ערכה סקר של סמנכ”לי כספים בחברות עם מחזור של למעלה ממיליארד דולר. הסקר מצא כי 71% ממנהלי הכספים האמינו שספק הביטוח שלהם יכסה “רוב או כל” ההפסדים שהחברה שלהם תסבול במתקפת אבטחת סייבר או בפשע.
עם זאת, רבים מאותם סמנכ”לי כספים דיווחו שהם ציפו לנזקים הקשורים בהתקפות סייבר שאינן מכוסות במדיניות התקפות סייבר טיפוסית.
באופן ספציפי, 50% ממנהלי הכספים ציינו שהם צפו לאחר מתקפת סייבר לפיחות במותג של החברה שלהם בעוד יותר מ-30% ציפו לירידה בהכנסות.
סעיפי אי הכללת מלחמה
בדומה לפוליסות ביטוח אחרות, ביטוח סייבר כולל בדרך כלל סעיף חריגת מלחמה – שולל במפורש נזק מפעולות מלחמה. בעוד שרוב תביעות ביטוח הסייבר יתייחסו להתנהגות פלילית פשוטה, יותר ויותר חברות צפויות ליפול קורבן להתקפות של לוחמת סייבר על ידי מדינות לאום או ארגוני טרור – בין אם ממוקדים ספציפיים ובין אם סתם נזק נלווה.
אחרי ארה”ב ובריטניה, ממשלות אפיינו את מתקפת NotPetya כמתקפת סייבר צבאית רוסית.
מבטחים טוענים שהם לא מכסים אירועים כאלה.
מדוע שוקי ביטוח סייבר וביטוח מחדש סייבר אינם פופולריים מספיק מבחינה מסחרית?
זה ידוע משיטות העבודה בשוק כי שוקי ביטוח הסייבר לא פרחו במונחים של הזרמת פרמיות מוזרקת בהתאם לפוטנציאל החזון שלו. יש פער גדול בביקוש בהיצע של מיליארדי דולרים המעיד על כשל שוק במובן כלכלי. בעוד שלמחקרי מדיניות ומשפט היה ביטוי ברור מדוע זה כך, תחום חקר המודלים המתמטיים הוא זה שקבע רשמית את העובדה מדוע זה כך.
דוגמאות לעבודות מודלים מכוננות החוקרות את היעילות הכלכלית של סיכוני סייבר לא מצטברים המכסים את שווקי ביטוח הסייבר כוללות (i) Lelarge ו-Bolot, (ii) Pal et al., (iii) Pal et al., (iv) Pal et al., (v) Johnson et al., and (vi) Shetty, et al. עבודות אלו מציגות תחילה את התנהגות הרכיבה החופשית של משתמשי אינטרנט (בעיקר משתמשים וארגונים) ללא נוכחות של ביטוח סייבר, ולאחר מכן חוקרים כיצד ביטוח יכול להפחית רכיבה חופשית בתוך רשת של ארגונים.
העבודות מאת Lelarge ובולוט; ושטי ואח’. להציג את היתרונות של ביטוח סייבר בתמריץ משתמשי אינטרנט להשקיע כראוי באבטחה. עם זאת, העבודות שלהם מתייחסות לסוגי שוק מוגבלים שמתחשבים רק בסיכוני סייבר בלתי תלויים ממקורות משתמשים שונים המגיעים למבטחי סייבר. Lelarge et al. אין להדגים אסימטריה של מידע בעבודתם. למרות שסטי ואח’. להוכיח ששוקי ביטוח סייבר אינם יעילים בתנאים של אסימטריה של מידע, התוצאות שלהם אינן מתרחבות בדרך כלל להגדרות שבהן ארגונים מבוטחים מרושתים זה בזה. Johnson וחב’ דנים בתפקיד הקיום המשותף של ביטוח עצמי וביטוח שוק באימוץ סוגי הביטוח השונים על ידי המשתמשים, אך אינם מדגמים את רשת הארגונים התלויים הדדיים. בעבודות האחרונות, Pal וחב’ בסדרה של מאמרים משותפים מוכיחים את חוסר היעילות של שווקי ביטוח סייבר בתנאים של אסימטריה חלקית של מידע וסיכונים מתואמים ומראים את קיומם של שווקים יעילים (הן מוסדרים והן לא מוסדרים) תחת אפליה בפרמיה.
עבודה אחרונה על מודלים מתמטיים של סיכוני סייבר כדי לחקור את קיימות השוק של כיסוי סיכוני סייבר מצטברים על ידי מבטחי סייבר (מחדש) נעשתה רק על ידי Pal et al. מבוסס על סדרה של ניתוח מודלים קפדני על ממדי כלכלה וסטטיסטיקה. הם מוכיחים שרק במקרה של צבירת סיכוני סייבר בעלי זנב קל ומקור בלתי תלוי (אירוע כמעט פחות סביר) יהיו שווקי ביטוח סייבר יעילים ברי קיימא. בכל שאר המקרים, שווקי ביטוח סייבר (מחדש) יהיו קיימים אך יהיו לא יעילים במידה רבה עם תסמינים כמו הזרקת פרמיה נמוכה, שוק ללימונים, פערי ביקוש גבוהים בהיצע ומבטחי משנה מעטים. אסימטריה של מידע בין המבוטח לספק הביטוח לצד האופי המתאם של סיכוני סייבר הם הסיבות העיקריות לחוסר יעילות שוק שכזה.
Cunningham, Pfleeger, Pal, Liu et al. וליו וחב’. טוענים מבחינה חישובית נגד קיומם של שווקי סייבר (מחדש) ברי קיימא תחת אסימטריית מידע. המסר השכיח מתוך המחקר שלהם הוא שלמערכות מונעות IT יש יותר מדי פגיעויות מכדי שמחשבים יוכלו לזהות אותן (ובכך לבטל את אסימטריית המידע) בזמן מעשי – עזבו בני אדם בשקט. בעוד קנינגהם טוען באופן הגיוני שהבעיה הזו היא Turing Undecidable, Pal et al. וליו וחב’. , הם הראשונים להוכיח רשמית שהבעיה היא NP-Hard ולהפיק פתרון קירוב כדי להקל על בעיית אסימטריית המידע.
התוצאות מצדיקות מדוע שוקי הביטוח (מחדש) הסייבר היו כה דלילים בעשור האחרון.
זמינות
נכון לשנת 2014, 90% מהיקף פרמיית ביטוח הסייבר מכסה חשיפה בארצות הברית. למרות שלפחות 50 חברות ביטוח יש היצע מוצרי ביטוח סייבר, הכתיבה בפועל מרוכזת בתוך קבוצה של חמישה חתמים. חברות ביטוח רבות היססו להיכנס לשוק הכיסויים הזה, שכן אין נתונים אקטואריים תקינים עבור חשיפת סייבר. המעכב את הפיתוח של הנתונים האקטואריים הללו אינו חשיפה מספקת לגבי התקפות סייבר של הנפגעים. אולם לאחר תקרית תוכנה זדונית משמעותית בשנת 2017, Reckitt Benckiser פרסמה מידע על מידת ההשפעה של מתקפת הסייבר על הביצועים הפיננסיים, מה שהוביל כמה אנליסטים להאמין שהמגמה היא שחברות יהיו שקופות יותר עם נתונים מתקריות סייבר.
עם פרמיות ביטוח סייבר שצפויות לגדול מכ-2 מיליארד דולר ב-2015 לכ-20 מיליארד דולר או יותר עד 2025, מבטחים ומבטחי משנה ממשיכים לחדד את דרישות החיתום. חוסר בשלות בשוק וחוסר סטנדרטיזציה הן שתי סיבות לכך שחתום מוצרי סייבר היום הופכים אותו למקום מעניין להיות בו בעולם הביטוח.
לא רק שיש לך שוק ביטוח שמנסה להגיע לסטנדרטים ולהתאים לצרכים של המבוטחים של היום, אלא גם, באותו הזמן, יש לך נוף חשיפה ויכולת זמינה המתפתחת במהירות.
תמחור
נכון לשנת 2019, העלות הממוצעת של ביטוח אחריות סייבר בארצות הברית הוערכה ב-1,501 דולר לשנה עבור מיליון דולר בכיסוי אחריות, עם השתתפות עצמית של 10,000 דולר.
הפרמיה השנתית הממוצעת עבור מגבלת אחריות סייבר של $500,000 עם השתתפות עצמית של $5,000 הייתה $1,146, והפרמיה השנתית הממוצעת עבור מגבלת אחריות סייבר של $250,000 עם השתתפות עצמית של $2,500 הייתה $739.
בנוסף למיקום, המניעים העיקריים של עלות ביטוח סייבר כוללים את סוג העסק, מספר העסקאות בכרטיס אשראי/חיוב שבוצעו ואחסון מידע אישי רגיש כמו תאריך לידה ומספרי תעודת זהות.