Cat (ne-)ar costa un atac cibernetic

La aceasta intrebare a incercat sa raspunda un studiu facut de Lloyds impreuna cu University of Cambridge’s Centre for Risk Studies dat publicitatii in Iulie 2015 referitor la impactul pe care l-ar avea un colaps al sistemului energetic (engl. blackout) in 15 state americane plus Washington DC ca urmare a unui atac cibernetic. Raspunsul este de-a dreptul infricosator…. Impactul total asupra economiei americane in cazul unui atac cibernetic ar putea fi de pana 243 miliarde de dolari, iar pentru cel mai rau scenariu pierderile ar fi de pana la 1,000 miliarde.   Daunele ce ar fi acoperite de piata asigurarilor ar fi de aproximativ 21.4 miliarde in primul caz mergand pana la 71.1 miliarde de dolari pentru scenariul cel mai sumbru.

Probabil ca aceasta intrebare este de foarte multe ori adresata directorilor de IT ai companiilor din domeniul tehnologiei, comertului, financiar, utilitatilor, energiei si sanatatii  – care sunt in general companiile ce sunt cele mai expuse riscurilor cibernetice si care cauta de cele mai multe ori sa se protejeze impotriva consecintelor financiare ce le-ar avea producerea unor astfel de riscuri. Din pacate deseori raspunsul pe care ar putea sa il dea un director de IT este ca: ’e foarte greu de estimat’. Motivul? Varietatea expunerilor este foarte mare, iar posibilitatea de a estima un impact financiar pentru fiecare dintre acestea este dificil. Un atac cibernetic poate conduce la pierderi care sa afecteze proprietatea (tangibila sau intangibila), la pierderi directe sau indirecte de profit (business interuption/contingent business interuption) sau poate sa atraga raspunderea civila (vatamari corporale, daune materiale, calomnie, incalcarea proprietatii intelectuale sau daune cauzate de erori si omisiuni) si nu in ultimul rand daune datorate reputatiei, acestea din urma fiind expuneri neasigurabile, dar care se pot trata prin planurile de continuitate in afaceri sau management al crizei ale companiilor.

Riscurile cibernetice in SUA

Interesul pentru a se transfera acest risc prin asigurare in SUA este foarte mare, piata crescand de la an la an  si ajungand in 2014 in la 2,7 miliarde de dolari (fata de 2 miliarde in 2013) – conform unui studiu al Betterley Risk Consultants Inc. Potentialul de crestere este mare, estimandu-se ca piata va continua sa creasca cu doua cifre de la an la an. Printre factorii ce influenteaza cresterea cererii se numara evenimentele tot mai dese de incalcare a securitatii datelor, educarea pietei de catre brokeri/asiguratori, dar si ca urmare a introducerii de catre Security and Exchange Commission (SEC – reglementatorul pietei de capital din SUA) in 2011 a obligativitatii companiilor listate la bursa de raportare a modalitatii in care se trateaza din punct de vedere financiar riscul cibernetic. Chiar si fara a fi listate la bursa din ce in ce mai multe IMM-uri din SUA care desi nu activeaza in domeniile mai sus mentionate incep sa constientizeze si sa isi acopere riscurile cibernetice prin asigurari.   Spre exemplu, simpla existenta a unui web-site atrage o expunere de raspundere fata de promovare a produselor si serviciilor, iar un atac cibernetic poate sa modifice continutul site-ului fara sa fie observat acest lucru si sa conduca la daune de raspundere civila intrucat in general companiile sunt mult mai putin precaute in a urmari continutul web-site-ului comparativ cu continutul metodelor de comunicare clasice (brosuri, publicitate in mass media etc).

In ceea ce priveste tipurile de asigurari pentru riscurile cibernetice acestea sunt foarte diverse. In cele mai multe cazuri acestea sunt incluse ca acoperiri suplimentare pe politele de proprietate sau raspundere, insa exista si polite dedicate, cu mai multe sectiuni ce acopera tipurile de expuneri mai sus mentionate. Marea majoritate a asiguratorilor ce au produse dedicate riscurilor cibernetice au capacitati de acoperire a acestor riscuri de pana la 10-25 milioane de dolari, existand insa si asiguratori cu capacitati de pana la 100 milioane sau chiar mai mult, insa numarul lor este limitat si in general se adreseaza companiilor cu expuneri foarte mari. Desi numarul daunelor creste de la an la an – cu o dauna medie platita de asiguratori pentru incalcarea securitatii datelor de aproximativ 200,000 de dolari, aceste tipuri de asigurari sunt profitabile pentru asiguratori, ca atare tot mai multi intra pe aceasta piata. Existand capacitate suficienta si fiind profitabile, piata este una relativ soft, rezultatul fiind ca aceste asigurari sunt relativ accesibile, un IMM american tipic putand sa negocieze conditii si termeni favorabili.  In ceea ce priveste managementul riscului, daca pentru IMM-uri, care cumpara limite in general reduse, nu sunt impuse de obicei masuri speciale de management al riscului cibernetic, pentru a face acceptabil pentru asiguratori un potential client ce doreste limite mari sau/si are expuneri complexe, asiguratorii cer ca diverse masuri de management al riscului cibernetic (fizice, proceduri de control, de control al personalului, de management, investigarea incidentelor etc) sa fie implementate inainte de a se accepta sa se acopere respectivul risc.

Situatia pietei de asigurari de risc cibernetic in Romania si cum s-ar putea imbunatati

Contrar tendintelor de pe piata internationala, in Romania cererea de asigurari pentru riscurile cibernetice este foarte redusa si nu pare sa aiba un reviriment prea curand. Deseori aprecierea subiectiva a riscului este unul dintre motive (raspunsul clasic – ’mie nu mi se poate intampla’) acest motiv nefiind insa singurul. Asa cum mentionam mai sus, datorita unor acoperiri ce exista deja in programele de asigurari existente, fac ca potentialul asigurat sa creada ca are deja acoperite riscurile cibernetice, desi nu are o privire de asamblu asupra tuturor expunerilor la riscuri cibernetice la care este expus. De asemenea unul dintre motive este si lipsa de intelegere a politelor specifice, acesta fiind si unul dintre principalele obstacole pentru care potentialii clienti nu cumpara polite de asigurare de risc cibernetic nu numai la noi ci si la nivel international, 73% dintre potentialii clienti mentionand ca nu inteleg expunerea la riscuri cibernetice, iar 48% nu inteleg produsele de asigurare specifice conform unui studiu al Partner Re din 2014. Ca atare probabil in Romania ca este necesara o noua abordare a pietei, similara cu cea pentru microasigurari (asigurari asociate creditelor de nevoi personale sau leasing-ului) care au in comun ceea ce se poate cuprinde in acronimul SUAVE (Simple, Usor de inteles, Accesibile, Valoroase pentru client si Eficiente).

  • Produsele trebuie sa fie Simple si targetate – spre exemplu nu este nevoie sa fie prezentata unui potential asigurat o expunere de cyber contingent business interuption cand el nu are o expunere de acest gen;
  • Produsele trebuie sa fie Usor de inteles – deseori celui caruia i se prezinta produsul/expunerea ii lipseste limbajul specific de asigurari si chiar si de IT (daca decidentul este un CFO sau CEO) si ca atare este necesar ca asiguratorul/brokerul sa nu foloseasca un argou specific asigurarilor, ci un limbaj cat mai simplu de inteles de potentialul asigurat;
  • Informatiile despre asigurari/expuneri trebuie sa fie usor Accesibile – desi au existat chiar si in Romania foarte multe seminarii, conferinte pe teme legate de riscuri cibernetice, iar brokerii au inceput sa promoveze agresiv asigurarile specifice, totusi marea majoritate a companiilor nu au acces la un set complet de informatii despre produse/expuneri; spre exemplu chiar si in Marea Britanie, care este o piata sofisticata din punct de vedere al cumparatorilor de asigurari, doar 2% dintre companii cumpara polite dedicate riscurilor cibernetice, restul cumparand extensii ale politelor clasice de proprietate sau raspunderi ce acopera doar anumite riscuri cibernetice, iar motivul este lipsa accesului facil la informatiile despre produsele dedicate. In plus trebuie diversificate canalele de promovare – cu cat vor fi mai multi brokeri care vor explica expunerile si vor promova produsele specifice informatia va ajunge mai repede la potentialii clienti;
  • Produsele trebuie sa fie Valoroase pentru client – este prima adecvata pentru tipul de client careia se adreseaza produsul? Este acoperirea ceea ce are nevoie clientul? Acestea sunt intrebarile la care trebuie raspuns inainte de a fi promovat produsul/explicata expunerea – spre exemplu al treilea obstacol in promovarea asigurarilor de risc cibernetic este costul conform Partner Re (47% dintre repondenti); acoperirea trebuie sa fie cat mai usor de customizat pentru a se putea oferi clientului exact ceea ce are nevoie si pentru a nu incarca cu prima suplimentara pentru o acoperire suplimentara doar pentru a vinde ceva in plus caci senzitivitatea la pret este destul de mare conform studiului Partner Re;
  • In final si probabil ca ar fi trebuit inceput cu acest lucru: Eficienta – necesara atat din punct de vedere al vanzarii cat si al daunelor pentru a se putea mentine costul redus al produselor de asigurare pentru riscul cibernetic.

In loc de concluzie…

Este nevoie de mult efort din partea tuturor actorilor pietei de asigurari pentru a creste piata si a proteja economia romaneasca impotriva unor daune ce pot fi catastrofale, daca facem o extrapolare a potentialelor daune produse de riscurile cibernetice economiei americane. Riscurile cibernetice sunt o reala amenintare – ele au fost considerate la intalnirea de la Davos din 2015 a World Economic Forum intre primele 5 riscuri la nivel global, ca atare Romania si companiile romanesti nu fac exceptie.

Paul Dumitru

Raspunderea fata de mediu si asigurarile

BPIn ultimii ani si mai ales in ultimele luni, problemele de mediu au tinut prima pagina a agendei publice din Romania existand foarte multe dezbateri in societate, in mass-media, dar si la nivel politic.  Din perspectiva pietei asigurarilor aceste subiecte sunt destul de putin abordate din varii motive, printre ele fiind cererea destul de redusa pentru acoperirea riscurilor de poluare accidentala datorata probabil perceptiei destul de subiective asupra riscului considerat de potentii asigurati ca fiind redus.  De aceea riscul de poluare este destul de rar acoperit de companii prin intermediul politelor de asigurare specifice, el fiind deseori inclus in alte polite (se acopera spre exemplu cheltuielile de curatare/decontaminare a molozului/poluarii produse de un incendiu ca o sublimita pe politele de bunuri), iar atunci cand se acopera prin polite de raspundere de mediu fata de terti limitele cumparate de asigurati sunt indecvate si nu reflecta adevarata expunere la riscul de poluare.  Istoria a dovedit ca, desi destul de rare, au existat daune catastrofice datorita poluarii care au avut un impact deosebit asupra mediului, comunitatilor si companiilor ce au produs aceste daune.  Celebrul caz de poluare ca urmare a scurgerii de titei in Golful Mexic in urma exploziei platformei de foraj marin Deepwater Horizon din 2010 a costat si va costa compania BP miliarde, chiar zeci de miliarde de dolari pentru plata daunelor produse de poluare, a amenzilor si a curatarii zonelor afectate.  Nici Europa Centrala si de Est nu a fost ocolita de dezastre ecologice, un caz mai putin mediatizat in Romania a avut loc in tara vecina, Ungaria, in 2010 la o uzina de procesare a aluminiumului cand un rezervor de substante caustice de un milion de m3 s-a prabusit provocand contaminarea a aproximativ 40 km2 de teren, provocand decesul a 10 oameni si ranind peste 150.  Doar costurile cu decontaminarea au fost la acel moment estimate la zeci de milioane de Euro.   Desi exista anumite industrii care sunt in general potential interesate de astfel de produse de asigurare (industria chimica/petrochimica, energie, minerit) practic nu exista nicio industrie care sa fie ferita de riscul de poluare.  Spre exemplu, simpla existenta a unui rezervor de combustibil pentru un generator de urgenta al unei companii prezinta un risc de poluare care in general este subestimat.
Desi exista ‘suspectii de serviciu’ din industriile mentionate mai sus care in mod traditional in pietele dezvoltate cumpara asigurari de raspundere fata de mediu, in ultima perioada in SUA, institutiile de invatamant, spitalele sau chiar companiile de inalta tehnologie au inceput sa cumpere asigurari de raspundere fata de mediu ceea ce este surprinzator intrucat la o prima vedere putina lume s-ar gandi la un risc de poluare pentru aceste domenii.

Legislatie si implicatiile legate de asigurari

Desi opinia publica devine din ce in ce mai atenta si ingrijorata de eventualele catastrofe legate de mediu, de foarte multe ori poluatorii evita plata despagubirilor datorita unor lacune legislative sau datorita lipsei resurselor financiare. Ca atare legislatia are un rol critic.

Legislatia romaneasca transpune normele directivei europene de mediu (EC Environmental Liability Directive), directiva care stabileste un standard minim ce a trebuit implementat in legislatia nationala si care se bazeaza pe principiul: “poluatorul plateste”.  Foarte multe parti din directiva europeana sunt similare cu legile si reglementarile fata de mediu din SUA care sunt insa mult mai stricte si mai severe, printre ele numarandu-se Clean Water Act, Clean Air Act, Toxic Substance Control, Oil Pollution Act (ce a aparut ca urmare a celebrului accident Exxon Valdez). Dintre acestea, cele mai importante si cu consecinte pentru industria asigurarilor sunt Resource Conservation and Recovery Act (RCRA) si Comprehenssive Environmental Response, Compensation and Liability Act (CERCLA).

Similar cu prevederile din directiva europeana, Resource Conservation and Recovery Act (RCRA) stabileste modalitatile in care este tratat managementul deseurilor, a apelor reziduale, a tancurilor de depozitare etc. Principala diferenta este ca RCRA impune companiilor ce au activitati potential poluatoare sa dovedeasca ca au capacitatea financiara de a compensa un potential pagubit in cazul unei poluari trebuind acoperite costurile pentru curatarea mediului, precum si eventualele daune materiale sau vatamarile corporale produse tertilor. Legislatia americana lasa la latitudinea companiilor instrumentele financiare ce pot fi folosite pentru a acoperi costurile mai sus mentionate, ele putand sa aleaga intre o multime de variate cum ar fi bonduri de perfomanta, scrisori de credit, cash intr-un cont escrow, polite de asigurare etc.  De cele mai multe ori se apeleaza la asigurare existand destui asiguratori care pot sa ofere acoperire limite de pana la US$ 1-2 milioane (chiar si pe piata romaneasca exista asiguratori care pot sa ofere aceste limite), capacitatea asiguratorilor la nivel international fiind in general pana la US$ 50 milioane.

Cu toate ca in ultimii ani numarul si severitatea daunelor de mediu platite de asiguratori la nivel international a crescut, datorita cererii scazute de asigurari de raspundere fata de mediu, exista capacitate excedentara pe piata, ceea ce din punct de vedere al unui potential asigurat este un lucru pozitiv caci il ajuta in negocierile unor termeni si prime avantajoase.

Prin Comprehenssive Environmental Response, Compensation and Liability Act (CERCLA) statul american a avut in vedere sa gaseasca modalitati de a descoperi si curata toate terenurile contaminate istoric.  Prin aceasta lege absolut toate partile ce au avut un uzufruct de orice natura de pe urma unui teren contaminat  – fie ca vorbim de fosti sau actuali proprietari sau manageri ai companiilor ce au sediul pe acel teren, etc – au o raspundere patrimoniala nelimitata pentru daunele ce le poate produce contaminarea si sunt responsabile sa acopere toate  costurile de expertiza si decontaminare.  Chiar mai mult de atat, este o raspundere comuna si intreaga (engl. joint and several liability), ceea ce inseamna ca oricare dintre cei ce au produs poluarea (indiferent de care este contributia la producerea acelei poluari) sunt responsabili pentru intreg costul decontaminarii sau a daunelor produse.  Aceasta lege a provocat o adevarata furtuna pe piata asigurarilor din SUA la acea vreme (anii ’80), multi asiguratori percepand riscul ca fiind foarte mare si ca atare au decis sa se retraga de pe piata de asigurari de raspundere fata de mediu.  In zilele noastre piata s-a calmat si exista momentan piete de asigurari care accepta sa acopere un astfel de risc daca exista informatii suficiente care sa ii faca confortabili cu riscul.  Acest tip de polite este in general cerut in SUA spre exemplu de potentiali dezvoltatori de real estate care inainte de a cumpara un teren doresc sa fie siguri ca in viitor nu vor trebui sa suporte costurile ce le implica o decontaminare si ca atare cer cumparatorului sa prezinte o polita care sa il acopere pentru eventuale costuri impuse de CERCLA.  Deseori cei care impun o astfel de asigurare sunt chiar finantatorii proiectelor care doresc sa acopere durata imprumutului de 20 sau chiar 30 de ani.  Cu toate acestea foarte putini asiguratori accepta aceste perioade, fiind destul de confortabili sa acopere 3-5 ani, in foarte rare cazuri 10.

Beneficii pentru toate partile interesate

Asa cum mentionam ceva mai sus, avand in vedere ca EC Environmental Liability Directive impune un standard minim de implementare in statele membre, introducerea in legislatia nationala a unor prevederi mai stricte similare cu cele din RCRA sau CERCLA probabil ca ar avea un impact pozitiv asupra comunitatilor, companiilor, pietei asigurarilor, dar si economiei romanesti in general.

Impunerea unor ‘garantii financiare’ pentru eventuale daune produse de poluare pentru companii le-ar obliga sa aiba un management al riscului pentru eventuale daune produse mediului mult mai riguros pentru ca riscul sa fie acceptat de eventuali asiguratori in cazul in care decid sa transfere riscul prin asigurari, iar primele cat mai mici si conditiile cat mai favorabile.  De asemenea eventuale contaminari ale solulului prin raspunderea patrimoniala nelimitata a celor ce au poluat i-ar obliga sa aiba un management al deseurilor foarte riguros.  Ca atare comunitatile ar beneficia de pe urma unor reglementari de mediu caci impunerea de garantii financiare si raspunderea nelimitata ar face ca in cazul unor daune costurile de decontaminare sau daunele materiale si vatamarile corporale sa fie acoperite.

Companiile ar avea de castigat in urma unor reglementari de mediu mai stricte.  Daunele de mediu sunt in general de frecventa redusa, dar impact foarte mare.  Ca atare, in cazul producerii unei eventuale catastrofe s-ar putea sa nu aiba resursele financiare necesare pentru a face fata punand in pericol chiar existenta firmei.  Urmand exemplul de mai sus, al Deepwater Horizon, BP a fost obligat de justitia americana sa plateasca despagubiri si amenzi de aproximativ  de US$19 miliarde, o povara financiara imensa chiar si pentru o companie gigant ca BP.

Pe de alta parte economia in general ar avea de castigat.  Asigurarile de raspundere fata de mediu sunt asigurari ‘long tail’ adica perioada dintre momentul colectarii primelor si al daunelor este mare si ca atare intre timp asiguratorii investesc in diferite instrumente financiare primele colectate acestea reintorcandu-se implicit in economie. Spre exemplu AIG, unul dintre cei mai mari asiguratori comerciali din SUA are rezerve de peste US$700 milioane pentru eventualele daune din asigurarile subscrise in ultimii 20 de ani, bani ce sunt investiti in diverse instrumente financiare si de care beneficiaza implicit economia americana.
In final, piata de asigurari ar avea de castigat crescand si alte tipuri de asigurari decat ‘’traditionalele’’ CASCO/RCA cu un impact pozitiv in final asupra rezultatelor financiare.

Paul Dumitru