Indeksi cyber rizika mogli bi pomoći osigurateljima

Datum objave: 11.4.2018., 13:03
S jedne strane, postoje "planine" podataka o cyber imovini i rizicima, prema Raveemu Ismailu, direktoru za osiguranje i reosiguranje u Fractal Industriesu. No, s druge strane postoji nedostatak tehničkih istraživanja za primjenu tih podataka na osiguranje i formiranje cijena cyber polica.
To je problem jer se smatra da ljudi u gotovo bilo kojem svojstvu, uključujući osiguratelje i kupce, vole imati jedan broj kao mjeru rizika u odnosu na druge rizike. "Analitičari se mogu frustrirati kada donositelji odluka ne uzimaju u obzir kontekst i nijanse koje idu u izračunavanje broja. Jasno je da oni još uvijek cijene posjedovanje jednog broj kao pokazatelj", dodao je.

U tu svrhu, Ismail i Ari Chatterjee - budući glavni direktor osiguranja u Envelop Risku, razvili su jedan broj da bi pomogli osigurateljima koji nude cyber osiguranje identificirati relativnu razinu cyber rizika koje predstavljaju pojedine tvrtke ili industrijski sektori. Ocjena o cyber riziku koju su razvili Ismail i Chatterjee je broj između 0 i 1 te se naziva PTBA (eng. propensity to be attacked - hrv. sklonost napadima). Indeks '0' prikazuje da je vjerojatnost uspješnog cyber napada nikakva, dok indeks '1' označava da bi se takav napad gotovo sigurno mogao dogoditi.

Komponente
PTBA je izveden iz jedne od četiri "funkcija profita napadača", jednadžbi razvijenih od strane Ismaila i Chatterjeea, da bi procijenili analizu troškova i koristi za svaku od četiri vrste aktera koji vrše napad:
  • Akter je nacionalna država - najozbiljnija prijetnja, ima motivaciju i sredstva za održavanje sofisticiranih napada prema bilo kojoj meti koja se smatra strateški važnom.
  • Samostalni kriminalac - vrlo osjetljiv na razmatranja o "monetarnoj dobiti" te odabire ciljeve prema raspoloživim nagradama u odnosu na potrebne troškove i napore.
  • "Hacktivist" - nezavisna grupa ili pojedinac koji je motiviran za neku vrstu štete, ali ne mora imati sredstva i sofisticiranost za održavanje učinkovitih napada.
  • "Insider" - može imati novčane (npr. financijski problemi) ili emocionalne (traženje osvete) motive te već, barem privremeno, zna snage i ranjivosti ciljanih podataka.
Funkcija profita napadača odvaja troškove i vrijeme potrebno za uspješan napad, od izravnih i neizravnih nagrada uspješnog napadača. Na taj način, PTBA indeks odražava učinkovitost cyber obrane u mjeri da produljuje vrijeme i troškove napadača. Iako velike organizacije obično otkrivaju da su njihovi podatkovni sustavi istraženi od strane potencijalnih hakera, Chatterjee je primijetio da "godišnji prihod ne korelira uvijek s višim PTBA". Manje tvrtke mogu biti lakši, no svejedno unosni ciljevi ako posjeduju podatke nerazmjerne njihovom prihodu (npr. brokeri podataka).

Do sada su Ismail i Chatterjee pokazali da se PTBA može izračunati za različite komercijalne sektore iz javno dostupnih podataka, dajući rezultate na raspolaganje za odabir rizika i upravljanje korelacijom rizika u cyber osiguranju. S obzirom da rezultati postaju precizniji zbog sve veće dostupnosti podataka, smatraju da se PTBA indeksi mogu koristiti za poboljšavanje mjernih podataka u određivanju cijena za pojedinačne cyber police.