Tržište za cyber osiguranje dodatno je sazrijelo. Gledajući u budućnost, fokus ostaje na zadovoljavanju rastuće potražnje i upravljanje dinamičkim izloženostima rizicima.
Thomas Blunck, izvršni direktor Munich Re kaže: „Još uvijek postoji previsok udio neosiguranih kibernetičkih rizika. Prema našem trenutnom globalnom cyber istraživanju, 87% anketiranih menadžera navodi da njihova tvrtka nije adekvatno zaštićena od cyber rizika. Svijest o riziku i potražnja nastavit će rasti, također u pozadini brzo rastuće prijetnje od agresivnih cyber kriminalaca, novih tehnologija i ovisnosti, kao i geopolitičkih kriza.”
Kibernetički rizik nastavlja rasti, potaknut brzim tehnološkim napretkom poput (generativne) umjetne inteligencije ili tehnologije oblaka. Globalne industrije sve više ovise o IT-u, IoT (Internet of Things), OT (Operational Technology) i digitalnim uslugama, kao što je računalstvo u oblaku. Svaka od navedenih predstavlja kritični dio opskrbnog lanca za mnoge vlasnike rizika. Nadalje, sve veća sofisticiranost cyber kriminalaca i napeta geopolitička situacija oblikuju krajolik cyber prijetnji i predstavljaju prijetnju globalnim društvima i demokracijama., navodi Svijet Osiguranja
Cyber osiguranje: razina zaštite i dalje neadekvatna
U digitaliziranom globalnom gospodarstvu, osiguravatelji značajno doprinose zaštiti poduzeća od kibernetičkih rizika s kojima se suočavaju. Svojom stručnošću, snažnim mrežama suradnje i jasnim fokusom na analitiku podataka, kvantifikaciju rizika i modeliranje akumulacije, industrija osiguranja ima duboko razumijevanje krajolika prijetnji i razaznaje granice mogućnosri osiguranja. Unatoč činjenici da današnji lanci vrijednosti uvelike ovise o digitalnoj imovini, čini se da je razina zaštite i dalje neadekvatna.
Prema istraživanju Munich Re Cyber Risk and Insurance Survey 2024, 87% globalnih donositelja odluka kaže da njihova kompanije trenutno nije adekvatno zaštićena od kibernetičkih napada. Potrebno je dodatno povećati prodor kibernetičkog osiguranja i povezanu otpornost. Ovo izvješće pruža pregled kibernetičkog rizika i okolne dinamike koja utječe na kibernetičko osiguranje.
Trenutno okruženje cyber rizika – žarišta
Tijekom proteklih mjeseci, Munich Re je primijetio porast kibernetičkih napada, uz ponovno povećanje ransomwarea. Prema Chainalysisu, godišnja isplata kripto otkupnine skočila je sa 567 milijuna USD 2022. na 1,1 milijardu USD 2023. Ostali skupi vektori napada bili su kompromitacija poslovne e-pošte (BEC) i napadi na lanac opskrbe. Između 2021. i 2023. BEC-ovi su prouzročili gubitke od 3 milijarde USD i utjecali na 22 000 žrtava diljem svijeta (Symantec). Samo u 2023. broj slučajeva BEC-a se udvostručio (Verizon).
U 2023. bilo je dvostruko više napada na lanac nabave softvera u usporedbi s prethodne tri godine zajedno. U 2023. lanac opskrbe softverom koštao je poduzeća 45,8 milijardi USD za rješavanje 245 000 incidenata u lancu opskrbe (Juniper Research). Napad na MOVEit, koji je iskoristio zero-day ranjivost u softveru za prijenos podataka, bio je najistaknutiji napad u ovoj kategoriji. Povrede podataka ostale su na visokoj razini. S prosječnom cijenom povrede koja je dosegnula najveću vrijednost svih vremena od 4,45 milijuna USD (IBM).
Stručnjaci i vlasti suočavaju se s izazovima u prikupljanju odgovarajuće statistike o kibernetičkom kriminalu. Vjerojatno je da podaci predstavljaju samo mali udio ukupnog kibernetičkog kriminala. Na primjer, njemački savezni ured kriminalističke policije (BKA) procjenjuje da do 91,5% kriminalnih kibernetičkih incidenata ostane neprijavljeno. Statista predviđa da će godišnji globalni trošak kibernetičkog kriminala dosegnuti 13,8 trilijuna američkih dolara do 2028. Ovo je povećanje u odnosu na 8,15 bilijuna američkih dolara 2023. godine.
Ove brojke jasno pokazuju da osiguranje nikada nije bilo vitalnije u procesu upravljanja kibernetičkim rizikom. Kompanije i organizacije pogođene kibernetičkim napadom izložene su troškovima i gubicima zbog prekida poslovanja, troškovima odgovora na incident (forenzika i oporavak podataka). Također i troškovima i štetama povezanim s povredama podataka. Polica cyber osiguranja može zaštititi od ovih financijskih gubitaka.
Glavni cyber rizici i trendovi u 2024
Prošli trendovi ne moraju uvijek biti pokazatelji budućih. Ipak, lekcije naučene iz obrazaca napada, ranjivosti i gubitaka važne su za buduću kibernetičku spremnost. Jednako tako, bitno je predvidjeti velike utjecaje potencijalnih prijetnji na svim razinama. Od privatnih osoba preko pojedinačnih kompanija do nacionalnih država. Prema stručnjacima Munich Re-a, sljedeći će ključni rizici i trendovi oblikovati krajolik prijetnji u 2024. i kasnije.
Umjetna inteligencija: Za dobro i zlo
Pokretanjem ChatGPT-a, veliki jezični modeli (LLM) i generativna umjetna inteligencija postali su mainstream. Međutim, era (generativne) umjetne inteligencije tek je započela. Njezin je dugoročni utjecaj na gospodarstva, društva i geopolitiku i dalje teško predvidjeti. Državni i komercijalni akteri će gotovo sigurno koristiti AI u više domena.
Što se tiče utjecaja umjetne inteligencije na kibernetičku sigurnost, stručnjaci Munich Rea očekuju da će kibernetički napadi postati sve više automatizirani i personalizirani, kao i jeftiniji i brži za masovnu distribuciju na svim jezicima. Na primjer, napadači koriste umjetnu inteligenciju phishing e-poštom i vishing pozivima za žrtve prijevare. Razvoj novih zlonamjernih LLM-ova kao što je WormGPT također će opremiti igrače koji nisu tehnički potkovani sposobnostima napada.
S pozitivne strane, očekuje se da će sposobnosti umjetne inteligencije također sve više povećati napore kibernetičkih branitelja. Umjetna inteligencija i srodne tehnologije mogu se koristiti za specifično jačanje sposobnosti otkrivanja i odgovora te za poboljšanje pripisivanja kibernetičkih napada protivnicima mapiranjem njihovih tehnika, taktika i postupaka.
Dok se poduzimaju početni koraci, kao što je Zakon o umjetnoj inteligenciji EU-a, uslijedit će više državnih napora u području upravljanja i regulacije umjetne inteligencije.
U sektoru osiguranja, AI će gotovo sigurno biti naširoko raspoređen duž cijelog lanca vrijednosti. Neki od primjera koje Munich Re očekuje su:
- Poboljšana procjena rizika – npr. od strane virtualnih agenata koji mogu podržati ili poduzeti kvantifikaciju izloženosti ili preporuke za kibersigurnostUčinkovitije, prilagođenije i osjetljivije ponude s optimiziranim i aktivnim stvaranjem pokrića temeljenog na riziku.
- Poboljšano praćenje incidencije i odgovori, kao i brža obrada zahtjeva.
- Povećana svijest o ponudi rješenja za kibernetičku sigurnost i upravljanje rizikom za daljnje povećanje otpornosti.
- Pojednostavljenje poslovanja, njegovanje odnosa s klijentima i posrednicima/brokerima te učinkovitost u procesima preuzimanja i prodaje.
- Napredna analiza podataka, telematika i prediktivno modeliranje.
Unatoč ovim vrlo obećavajućim slučajevima upotrebe i razvoju, umjetna inteligencija trenutno ne može zamijeniti stručnost i znanje koje je potrebno za izvrsno razumijevanje i preuzimanje kibernetičkog rizika.
Stefan Golling, član uprave odgovoran za globalne klijente i Sjevernu Ameriku: „Tehnološki razvoj, posebno potencijalni slučajevi upotrebe umjetne inteligencije, također će promijeniti industriju osiguranja. Unatoč tome, naše ulaganje u talent, stručnost i znanje kako bismo osigurali izvrsno razumijevanje i preuzimanje kibernetičkih rizika ostaje središnji stup poslovanja Munich Re-a.”
Cyber aktivnosti i dezinformacije nacionalne države
Porast kibernetičkih aktivnosti i napada (sponzoriranih od strane nacionalne države) predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti na globalnoj razini. Postoji vrlo realna opasnost da mogućnosti koje nudi Gen AI i LLM iskoriste i nacionalne države, osobito u području dezinformacija i informacijskog rata za potkopavanje demokracije. Potencijalni društveni, ekonomski i geopolitički učinak mogao bi biti golem, jer granice između fizičkog i virtualnog svijeta, te između istine i laži, postaju još nejasnije.
Glavni fokus zlonamjernih napada koje pokreće država vjerojatno će biti ometanje izbora na propagandistički i manipulativan način te bacanje sumnje na njihov integritet. Glavni izbori 2024. bit će, naravno, predsjednički izbori u SAD-u. Međutim, više od 40 drugih velikih izbora s više od 4 milijarde birača s pravom glasa (WEF) održat će se diljem svijeta, uključujući EU, Indiju, Južnu Koreju, Indoneziju i Meksiko. Suprotstavljanje dezinformacijama i razotkrivanje lažnog sadržaja bit će izazov za svaku demokraciju, kao i zaštita izbornog procesa sa svim njegovim digitalnim komponentama.
Digitalizacija dovela do dinamičnijeg i složenijeg bojnog polja
Uz dezinformacije (namjerno stvaranje lažnog sadržaja ili manipulacije), zlonamjerne informacije (namjerno objavljivanje štetnih podataka ili privatnih informacija) postat će skupa prijetnja vlasnicima rizika: do 2028. korporativna potrošnja na suzbijanje zloćudnih informacija premašit će 30 milijardi USD, što će potrošiti 10 % proračuna za kibernetičku sigurnost i marketing (Gartner).
Aktivnosti nacionalne države vjerojatno će se proširiti izvan sofisticiranih dezinformacija i utjecaja na izbore te obuhvatiti gospodarsku, vojnu i političku špijunažu. U nekim slučajevima vlasti nacionalnih država aktivno podupiru ili barem toleriraju kibernetičke kriminalce.
Arsenali nacionalnih država rastu i sada obično uključuju kao standard destruktivne wiper napade dizajnirane za trajno brisanje ili oštećenje podataka na sustavima. Također se očekuje da će napadači koje sponzorira država sve više ulagati u istraživanje ranjivosti nultog dana, omogućujući napadačima da iskorištavaju takve ranjivosti dok se ne objave zakrpe. Sveukupno, to omogućuje (podržanim) akterima iz nacionalne države da provode vrlo učinkovite i ozbiljno štetne kibernetičke operacije izbjegavajući otkrivanje.
Zbog sve većeg globalnog natjecanja i velikog oslanjanja na svemirsku, satelitsku i komunikacijsku sigurnost, ovaj će sektor biti ključni čimbenik u svim razmatranjima kibernetičke sigurnosti – i za nacionalne države i za velike komercijalne satelitske operatere. Ne iznenađuje da se 95% donositelja odluka u obrani i zrakoplovstvu slaže da je tekuća digitalizacija dovela do dinamičnijeg i složenijeg bojnog polja (BAE Systems).
Glavni uzročnici gubitaka u kibernetičkom osiguranju
Podaci i iskustvo tvrtke Munich Re o gubicima daju jasnu sliku kibernetičkih rizika i njihovog utjecaja na kibernetičko osiguranje. To posebno vrijedi za ransomware, kompromitaciju poslovne e-pošte i kompromitaciju poslovne komunikacije, povrede podataka i ranjivosti lanca opskrbe.
Ransomware
Ransomware će i dalje biti dominantan pokretač rizika i gubitaka za cyber osiguranje. Napredak u primijenjenom tehnološkom napretku i taktikama ukazuje na složeniji i štetniji krajolik ransomwarea. Sve će se više i jače grupe ransomwarea skratiti svoje vrijeme zadržavanja, uključujući korištenjem taktike brzog ubrizgavanja.
Modeli Ransomware-as-a-Service (RaaS) postat će još konkurentniji na tržištima mračnog weba, dijelom zato što ih AI može pokretati ili poboljšati. AI će potaknuti visok stupanj automatizacije u procesima hakiranja i dovesti do snažne individualizacije napada. S prilagođenim phishingom ili iznuđivanjem e-pošte koje AI može lako prevesti na više jezika u visokoj kvaliteti i tako skalirati u mnogim regijama istovremeno.
Stručnjaci Munich Re također očekuju daljnju diverzifikaciju metoda iznude izvan enkripcije. Nastavljajući već uočeni pomak s fokusa na podatke za iznudu prema podacima koji se mogu iskoristiti za prodaju, potencijalno ciljajući na zaposlenike, dobavljače, klijente i druge treće strane.
Tim za analizu cyber podataka Munich Re primijetio je da je ransomware daleko vodeći uzrok gubitaka u cyber osiguranju. Proizvodnja je identificirana kao industrija s najvećim brojem zahtjeva za ransomware.
Kompromitacija poslovne e-pošte (BEC) i kompromitacija poslovne komunikacije (BCC)
Za 2024. i kasnije, stručnjaci Munich Rea predviđaju nagli porast BCC i BEC napada. Oni će prevariti ljude unutar tvrtki da izvrše štetne radnje, kao što su neovlaštena plaćanja ili dijeljenje osjetljivih podataka izvana. Budući da prevaranti nastoje ubrati relativno nisko visi plod, BEC ostaje glavni vektor napada. Posebno zato što ga je lako izvesti i ne zahtijeva praktički nikakvo tehničko znanje, a žanje vrlo visoke nagrade. Ne koristi se samo e-pošta kao pristupnik, već i sve komunikacijske platforme i kanali društvenih medija. Nepotrebno je reći da BEC i BCC napadi ne uzrokuju samo velike financijske gubitke, već također dovode do erozije povjerenja i štete ugledu.
Primjeri uključuju napade na prijevare izvršnih direktora, gdje se hakeri predstavljaju kao rukovoditelji i daju upute zaposlenicima da prebace novac. Budući da su alati umjetne inteligencije i tehnologije deepfake postali dio alata mainstream kriminalaca, uvjerljivi lažni telefonski pozivi ili digitalni sastanci, kao i videozapisi, široko su i jeftino dostupni za prijevare.
Početkom 2024., zaposlenik multinacionalne kompanije sa sjedištem u Hong Kongu prebacio je gotovo 26 milijuna dolara prevarantima nakon što je prisustvovao videopozivu s deepfakeovima svojih suradnika, uključujući financijskog direktora kompanije. Zaposlenik je bio jedino ljudsko biće koje je prisustvovalo video pozivu. Ostali su lažni sudionici bili oponašani pomoću tehnologije vođene umjetnom inteligencijom.
Povrede podataka
Do kraja 2024. propisi o privatnosti pokrivat će tri četvrtine potrošačkih podataka u cijelom svijetu. 60% svih reguliranih globalnih subjekata borit će se uskladiti sa sve intenzivnijim propisima o zaštiti podataka i zahtjevima za privatnošću (Gartner), s obzirom na visoke stope rasta podataka potaknute tehnologija. 5G će i dalje biti pokretačka snaga rasta mobilnih podataka: Do 2029. udio 5G u mobilnom podatkovnom prometu porast će na 76%. Videopromet činit će većinu mobilnih podataka, eskalirajući s trenutno malo iznad 70% ukupnog mobilnog podatkovnog prometa na 80% do 2029. (Ericsson).
Usred svih tehnoloških razvoja, jedan čimbenik ne treba zaboraviti kada se raspravlja o povredama podataka ili drugim kibernetičkim incidentima: vrijednost i kritičnost podataka. Zajedno s regulacijom podataka i temeljnim pitanjima u vezi s odgovornošću, dodatno će potaknuti pojavu više grupa koje nude hakiranje – usluge iznajmljivanja i krađe podataka.
Unatoč tome, čak i najnaprednije povrede podataka s phishingom poboljšanim AI i dalje će uključivati ljudski element u približno 90% slučajeva (Forrester). Višestrani napori za stvaranje svijesti i provedbu odgovarajuće obrane koja nadilazi tehnologiju jesu i bit će nužni.
Ranjivosti lanca opskrbe
Ovisnosti o lancima opskrbe softvera i hardvera te digitalnim uslugama nastavit će u ogromnom porastu. Kao očigledna Ahilova peta organizacija, opskrbni lanac posljedično privlači napadače. Stručnjaci Munich Re očekuju da će se hakiranja preko mreža dobavljača, proizvođača i pružatelja usluga unutar digitalnih opskrbnih lanaca (IT/OT/IoT) dodatno povećati. Organizacije će također svjedočiti većem broju “napada na lanac opskrbe kao usluge”. Otvarajući ovo polje drugim hakerskim grupama manje upućenim u tehnologiju.
Prema studiji Svjetskog ekonomskog foruma (WEF 2024.), 41% anketiranih tvrtki bilo je pogođeno cyber incidentom treće strane. Male i srednje velike dobavljače sve više napadaju s ciljem kasnijeg hakiranja sustava njihovih većih kupaca. Procjenjuje se da će očekivani porast troškova poduzeća na globalnoj razini zbog napada na lanac opskrbe softverom porasti sa 46 milijardi USD 2023. na 60 milijardi USD 2025. (Juniper Research).
Cyber osiguranje – temelji
U razdoblju od jednog desetljeća, cyber osiguranje postalo je ključna i važna komponenta upravljanja cyber rizicima za organizacije i kućanstva. U ekstremno dinamičnom krajoliku prijetnji, gdje geopolitički i tehnološki faktori stresa postavljaju nove prioritete, suočavanje s izazovima osiguranja i upravljanje akumulacijskim rizikom ključni su za dugoročnu održivost i funkcionalnost tržišta koje još uvijek sazrijeva. Osiguravatelji i modeliri rizika nastavljaju istraživati granice i mogućnosti osiguranja. Nužan je razborit daljnji razvoj tržišta, s očekivanom budućom globalnom potražnjom koja zahtijeva dovoljan kapacitet osiguranja i alternativnih tržišta kapitala.
Cyber rizikom mora se pravilno i zajednički upravljati. To također vrijedi za one rizike kojima privatni sektor ne može upravljati, ili barem ne u potpunosti.
Munich Re ulaže u inicijative i resurse koji produbljuju svoje vlastito i industrijsko razumijevanje ukupne cyber izloženosti. Osim toga, dodatno unapređuju modeliranje rizika. Potreba za robusnim modeliranjem akumulacije podupire sve aktivnosti preuzimanja rizika i upravljanja rizicima u tvrtki Munich Re.
Cilj je osigurati što bolju pouzdanost modela
Jürgen Reinhart, glavni osiguravatelj Cyber kaže: „Naša misija je jasna i ključna za uspješno gospodarstvo. Radimo s klijentima, partnerima i brokerima kako bismo pružili učinkovita rješenja za cyber osiguranje koja štite digitalni krajolik i čine ga otpornijim. Osiguravanje primjerenih modela cyber akumulacije potrebnih za profitabilno, održivo tržište cyber osiguranja ključni je izazov za našu industriju. Munich Re nastavlja težiti izvrsnosti u vlastitom modeliranju i poduprijeti inicijative koje unapređuju modeliranje u cijeloj industriji.”
Munich Re također aktivno surađuje s dionicima u industriji o različitim aspektima u vezi s modeliranjem akumulacije. Cilj je pomirenja razlika u percepciji rizika i osiguravanja sve bolje pouzdanosti modela na cijelom tržištu. Na primjer, stručnjaci Munich Re surađuju s pružateljima podataka trećih strana. Pružateljima usluga i dobavljačima modela kako bi poboljšali kvalitetu i kvantitetu podataka, bolje razumjeli rizike, razvili kvantifikaciju rizika i dodatno unaprijedili modeliranje.
Sofisticirani modeli kibernetičke akumulacije koji odgovaraju svrsi ključni su za osiguravanje profitabilnog, održivog tržišta kibernetičkog osiguranja, što je izazov s kojim se suočava cijela industrija. Jasnoća u vezi s granicama osiguranja preduvjet je za pouzdanost modela. Ako se želi osigurati dugoročna održivost tržišta kibernetičkog osiguranja, tada moraju postojati nužna isključenja, posebno u pogledu kibernetičkog rata.
Cyber osiguranje poovećalo zaštitu
Cyber osiguranje je nedvojbeno umnogome pomoglo u izgradnji učinkovitog sloja otpornosti. Međutim, sposobnost industrije osiguranja za nošenje rizika ima prirodna ograničenja. Šteta od katastrofalnih sustavnih događaja poput cyber rata ili ispada kritične infrastrukture daleko bi premašila kapacitet industrije. Takvi scenariji predstavljaju prijetnju makroekonomskoj stabilnosti zbog čega je društvima potrebna uključenost vlada u upravljanju ovim potencijalno katastrofalnim kibernetičkim rizicima. Munich Re može i hoće podržati razvoj rješenja. Jasno se zalaže za provedbu ekonomske kibernetičke zaštite kao posljednje mjere opreza. Dijalozi o takozvanim “državnim potporama” već su započeli.
Jürgen Reinhart, Chief Underwriter Cyber: „Rizici koje predstavlja digitalizacija predstavljaju izazov za društvo u cjelini. Industrija osiguranja igra svoju ulogu u ublažavanju tih rizika. Međutim, najteže sistemske kibernetičke rizike, poput kvara kritične infrastrukture ili štete od kibernetičkog ratovanja, ne može snositi privatni sektor. Spremni smo pomoći vladama da zajednički upravljaju ovim potencijalno katastrofalnim, sistemskim rizicima za naša društva, tražeći alternativna rješenja.”
Trendovi tržišta cyber osiguranja
Globalno tržište cyber osiguranja doseglo je veličinu od 14 milijardi USD u 2023. Munich Re procjenjuje da će se povećati na oko 29 milijardi USD do 2027. Pokazujući značajan potencijal rasta, tržište je vođeno sviješću o sve većoj učestalosti i sofisticiranosti kibernetičkih napada, uključujući moguće financijske posljedice, kao i strožim regulatornim zahtjevima, kao što je Direktiva o mrežnoj i informacijskoj sigurnosti (NIS2) koja stupa na snagu u listopadu 2024.
NIS2 je ključni razvoj u podizanju europske kibernetičke sigurnosti i otpornosti na više razine. Daljnji čimbenici rasta i dalje su stalna digitalna transformacija i tehnološki napredak u svim sektorima te konkretni zahtjevi koje moraju zadovoljiti poslovni partneri unutar opskrbnog lanca. Ovaj opći trend ilustrira važnost kibernetičkog osiguranja kao ključne komponente upravljanja rizikom kibernetičke sigurnosti.
Tržište cyber osiguranja gotovo se utrostručilo u posljednjih pet godina. To je također zbog snažne predanosti reosiguratelja i nedavnog – iako niskog – interesa koji su tržišta kapitala pokazala za kibernetičke rizike. Međutim, do danas je osiguran samo dio rizika. Velika poduzeća još uvijek čine većinu premija; mala i srednja poduzeća većinu svojih kibernetičkih rizika snose sama.
Osiguravatelji se suočavaju s velikim izazovom u svojim nastojanjima da premosti jaz između ekonomskih i osiguranih gubitaka. S obzirom na vrlo dinamičan rast rizika u digitaliziranom gospodarstvu, najveći je cilj veći prodor osiguranja za cyber rizike. Pomažući u zaštiti digitalnog svijeta, osiguravatelji će još jednom pokazati važnost industrije za otpornost gospodarstva i društva. Industrija osiguranja nudi niz atraktivnih rješenja koja nastavljaju uvjeravati neosigurane. U isto vrijeme, fokus je na osiguravanju da je osiguranje dostatno i da se nudi na održivoj osnovi.
