Dado el interés existente con los seguros en el ecosistema cibernético, desde TEHTRIS hemos decidido dedicarle un artículo. Está claro que el alcance del riesgo está aumentando, así que más y más empresas tendrán que asegurarse y el mercado de los ciberseguros será, por tanto, objeto de un importante crecimiento.
Pero… ¿Qué es un ciberseguro?
Detrás de ese término tan futurista, hay un contrato de seguro enfocado a los riesgos informáticos. El seguro cubre los riesgos financieros debido al daño causado por un ciberataque y ofrece asistencia técnica y legal.
De acuerdo con el informe Anozr Way, las propias aseguradoras también son víctimas de los ciberatacantes, siendo el sector más afectado en Francia, con un 20% de los ataques de ransomware en 2021. En España la situación es muy similar, ya que el sector asegurador es el más afectado, según el informe de Deloitte "El estado de la ciberseguridad en España".
¿Qué dice la ley?
Pagar por el ransomware no es ilegal en España, pero la compañía puede ser acusada de cometer un delito como colaboración con banda criminal, sufragio a organizaciones criminales y financiación del terrorismo. Más allá de la legalidad, se recomienda encarecidamente no pagar los rescates. Efectuar un pago podría animar a los hackers a continuar con sus robos y, además, no asegura que las compañías afectadas por el ataque recuperen los datos perdidos.
Por otro lado, las compañías afectadas por un ataque tienen todo el interés en poner una denuncia, reforzando así su estrategia de resiliencia (proporcionando telemetría, conocimiento de la metodología del atacante, ayuda para establecer medidas de remediación).
"El 64% de las empresas de España que fueron víctimas de Ransomware pagó a los criminales" Hiscox Assurance, 2021.
En Europa
En España, hace unos años, con la ley PIC, la ciberseguridad era tan solo una parte más de la normativa. Sin embargo, con la entrada en vigor de la Ley NIS (Network and Information System Security), la ciberseguridad se convirtió en la niña bonita y aunque es más que recomendable tener un seguro por todas las implicaciones que conlleva, hoy en día no es obligatorio contratarlo en España.
Si ponemos la vista en Europa, la nueva normativa adoptada en materia de protección de datos impone un concepto de seguridad más amplio y una total transparencia que exige la notificación individual a todos los clientes incluidos en los ficheros en cuestión.
Además del reglamento RGPD, la directiva NIS mencionada anteriormente se aplica por igual en cada país de la Unión Europea y hace referencia a la gobernanza de la seguridad, a la protección y defensa de las redes y Sistemas de Información, así como a la resiliencia empresarial.
En Estados Unidos
El mercado de los ciberseguros nació hace 20 años en América, mientras que en Francia o España está todavía en su infancia.
En Estados Unidos, la ley es clara y estricta, la OFAC (Oficina de Control de Activos Extranjeros) sanciona, vía indemnizaciones civiles, a todas las organizaciones que ayuden a las compañías en pagos de rescates como, por ejemplo, compañías de seguros o instituciones financieras.
Además, la Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 exige la notificación obligatoria de los incidentes cibernéticos en un plazo de 72 horas, dentro de las 24 horas siguientes al pago.
¿Los ciberseguros en crisis?
Mientras los ciberdelincuentes varían sus métodos de ataque, los riesgos continúan aumentando, así como el alcance de sus ataques. Este hecho fuerza a las aseguradoras a evolucionar sus contratos. No dudan en añadir exclusiones cibernéticas que limiten la exposición a los riesgos digitales, particularmente al Ransomware. De hecho, algunas compañías están empezando a retirar la cobertura cibernética de sus pólizas. Este es el caso de AXA Francia, que, en mayo de 2021, decidió no cubrir más los pagos de Ransomware de las empresas. Generali siguió su ejemplo en febrero de 2022. Otros, como Lloyd's of London, han indicado que ya no cubrirán los ciberataques entre estados nación.
Además, vamos a añadir que las compañías pueden volverse en contra de sus aseguradoras: este es el caso de Merck & Co, que después del ataque NotPetya en 2017, perdió más de 1.4 mil millones de dólares. La multinacional farmacéutica demandó a sus aseguradoras, que habían rechazado cubrir el impacto del ataque y ganaron el caso.
Este tipo de sucesos hace que las aseguradoras duden más. Los efectos de esta reticencia son innegables y se reflejan en las garantías. Garantías que no son suficientemente satisfactorias para las empresas. La juventud del mercado implica que hay una falta de estudios longitudinales sobre el riesgo. Esto no anima a las ciberaseguradoras a posicionarse ellas mismos en este sector, y cuando lo hacen, el nivel de requerimiento en términos de protección de riesgo es muy alto. El mismo nivel de requerimiento se exige a las empresas de terceros, para proteger toda la cadena de suministro. Así, la configuración de los equipos, la autenticación multifactor, backups, etc. se han convertido en algo obligatorio.
Finalmente, el proceso de suscripción (o renovación) se ha vuelto más engorroso y debe anticiparse, lo que se añade a un presupuesto ya ajustado. Recientemente, se han puesto en marcha herramientas de ciber-rating para las pequeñas y medianas empresas que facturan menos de 50 millones de euros.
Aumento de los seguros premiums
Hasta ahora, las empresas no sabían qué cubría su póliza hasta que se enfrentaban a un ciber incidente. Sin embargo, los asegurados están ahora más atentos al contenido de su póliza, ya que sienten que están pagando mucho para obtener poca o ninguna cobertura. Ven aumentar sus primas y franquicias sin tener la seguridad de estar bien protegidos. Lo mismo ocurre con las aseguradoras, que no se encuentran en condiciones de rentabilizar su oferta. Según una encuesta realizada en diciembre de 2021 por Amrae, el índice de siniestralidad es del 167% en 2020 frente al 84% en 2019.
Por ejemplo, el caso SolarWinds en 2020 costó a las compañías aseguradoras alrededor de 90 millones de dólares.
Esto da lugar a un mercado poco competitivo, que no favorece la bajada de precios. Las previsiones no son optimistas, ya que según un informe de Cybersecurity Ventures, el Ransomware costará más de 265.000 millones de dólares al año en 2031.
Falta de interés entre los asegurados
Las grandes empresas tienen más posibilidades de asegurarse que las pequeñas. Según el informe de Amrae, el 87% de las grandes empresas estaban cubiertas, sólo el 8% de las pequeñas y medianas empresas, el 0,0026% de las PYMES y el 1% de los municipios de más de 5.000 habitantes. No todas las organizaciones pueden asegurarse debido al aumento de los costes de los contratos o los requisitos cibernéticos. Las organizaciones más pequeñas que no están especializadas en ciberseguridad pueden tener dificultades para demostrar la eficacia de sus sistemas. Tendrán que subcontratar y eso les supondrá costes adicionales que no pueden asumir. Los seguros se convierten así en un lujo.
Por otro lado, el nivel de madurez en términos de seguridad es muy dispar de una compañía a otra. Las ofertas de ciberseguridad están empezando a adaptarse a diferentes estructuras empresariales, pero está todavía en pañales. Una vez más, nos encontramos con una falta de oferta y una demanda débil.
Cabe destacar que España es uno de los países líderes en esta área; de hecho, el 83% de las empresas españolas cuentan con pólizas para ayudarles a recuperarse de un ataque de ransomware.
Por qué contratar un ciberseguro
La respuesta es sencilla: obliga a las compañías a tener una política de seguridad fuerte, con la implementación de auditorías regulares y a tener un mapa de riesgos claro y actualizado con frecuencia.
Esta vigilancia les permite protegerse de ciertas vulnerabilidades, pero también conocer el nivel de madurez de su política de seguridad (PSSI). Tendrán que aplicar medidas correctoras, formalizadas mediante procedimientos, y por supuesto justificar las campañas de concienciación con su personal.
Estos seguros fomentan la aplicación de medidas previas, certificaciones Normas ISO, o SecNumCloud. Las aseguradoras condicionarán su indemnización en función de las medidas adoptadas por el asegurado, por lo que una empresa no certificada tendrá que pagar una póliza de seguro más cara.
¿Soluciones?
No tenemos duda de que los ciberseguros evolucionarán al mismo ritmo que las amenazas en los próximos años.
Entre las soluciones que se podrían plantear:
- Poner en común los riesgos dentro de una organización mediante la capitalización para cubrir el riesgo.
- Ayudar a la digitalización de las empresas muy pequeñas
- Fomentar la reinversión en seguridad
- Aclarar el contenido de la cobertura de los seguros para facilitar la posibilidad de comparar las ofertas de seguros y suscribirlas. Esto reforzará la confianza que se ha perdido últimamente entre los asegurados y las aseguradoras.
- Definir una legislación europea para los ciberseguros.
- Proponer ofertas híbridas, para satisfacer las necesidades del mercado.
- Establecer ayudas estatales a través de créditos fiscales a la investigación para fomentar la inversión en seguridad y prevención.
- Fomentar la colaboración entre los sectores privado y público para poner en común sus competencias.
- Hacer obligatorio el ciberseguro. Por supuesto, esta solución es controvertida.
La aseguradora tendrá que controlar el alcance de la amenaza y los riesgos. Y este trabajo debe realizarse siempre en estrecha colaboración con las empresas.
No podemos olvidar que las agencias de ciberseguros exigen a sus clientes que se responsabilicen y protejan su propia red, reforzando su seguridad con herramientas de prevención eficaces. Una buena estrategia cibernética se basa siempre en la inversión en herramientas de protección. Implemente un enfoque holístico que le permita detectar amenazas en todos los sistemas, redes y nube de forma hiperautomatizada. Solo así estará realmente protegido.