保险企业正在努力量化网络风险。
新的分析方法将会出现,以更好地量化风险并优化所收取的保费。
网络安全保险是一个快速增长的市场,从2022年的约130亿美元增长到2030年的约840亿美元(26%的复合年增长率),但保险企业正在努力量化提供此类保险的潜在风险。
传统的精算师模型不能很好地应用于这样的环境,在这种环境中,高动机、有创造力和聪明的攻击者动态地追求导致可保险事件的行为。准确估计损失是确定客户保费的关键。但即使在20年后,保险企业之间的损失率也相差很大(-0.5%至130.6%)。承保过程还不够健全,无法正确估计损失并准确定价合理的保费。
为什么保险业在这个问题上挣扎?
问题在于威胁的性质。网络攻击者升级和适应速度很快,这破坏了保险企业所依赖的基于历史的模式。攻击者不断改变策略,识别受害者,造成越来越大的损失,并迅速转移到新的影响领域。
拒绝服务攻击曾经很流行,但后来被数据泄露所取代,造成的损害要大得多。最近,攻击者扩大了其攻击范围,包括勒索软件式的攻击,这使得可保险的损失越来越高。
试图以高精确度预测精算建模师的基础指标——年预期损失和年发生率——超出了保险企业目前的能力。该行业目前对新客户进行评估,以了解其网络安全状况,以确定其是否可以投保,哪些应该包括/不包括在保险单中,并计算保费。当前的流程是权衡控制与最佳实践或同行,以估计保单持有人的安全状况。
然而,这些基本的实践并没有提供必要水平的预测准确性。
保险企业的损失率一直不稳定,在一个分析错误可能造成灾难性后果的世界里。差异和不可预测性让保险企业感到紧张。其最多希望赔付率达到70%,以覆盖支出和费用。根据美国全国保险专员协会在2021年发布的《网络保险市场报告》,前20家保险企业中有近一半(占市场份额的83%)未能达到预期的赔付率。
针对无法预测索赔的情况,保险企业一直在提高保费,以弥补风险缺口。在2021年第四季度,保费的续订增长了惊人的34%。2022年第四季度,保费继续上涨15%。
有人担心,许多客户将被挤出市场和保险业,无法转移风险。对保险企业不利的是,这些企业可能使其产品过于昂贵,从而破坏了巨大的市场增长机会。此外,保险的上限和各种例外条款正在制定,这降低了客户的整体价值主张。
下一代网络保险
现在需要的是更好的工具来预测网络攻击和预估损失。目前的保险精算师队伍还没有实现目标,但还是有希望的。其来自网络风险社区,希望通过避免和减少损失来管理这些模糊和混乱的风险。
这些网络安全专家的动机是优化有限的资源,以防止或迅速破坏攻击。作为这项持续工作的一部分,有机会将最佳做法应用于保险模式,以确定最相关的方面,包括防御态势(技术、行为和过程),并了解相关的威胁参与者(目标、能力和方法),以确定剩余风险。
目标是制定一个统一的网络保险资格标准,以适应网络环境的快速变化。更准确的方法将改善评估,减少保险企业的模糊性,这样其就可以有竞争力地定价其产品。
在未来,这样的计算将是持续的,并展示企业如何通过适当地管理安全以应对不断变化的威胁而受益。这应该会降低总体保费。
下一代网络保险将以新的风险分析方法为基础,使其更加准确,并维持保险业提供的共同利益。
