Cuando en1992 el Huracán Andrew dejó devastada la costa sur de la Florida dejando docenas de muertos y causando pérdidas superiores a los US$ 25.000 millones por daños, quedaron a la vista las debilidades del modelo que usaban las aseguradoras para cuantificar el valor de las propiedades en función del costo potencial que tendría una catástrofe natural de esa naturaleza. Muchas compañías sufrieron pérdidas monumentales y otras quebraron.
Hoy, el problema del negocio del seguro es comprender el alcance económico de un nuevo tipo de posible catástrofe, no provocada por la naturaleza sino por seres humanos: un cíber ataque desvastador. El problema a resolver es muy diferente.
Uno de los grandes desafíos para diseñar un modelo probabilístico es la dificultad de reunir suficientes datos relevantes, dice Scott Stransky, científico jefe y vicepresidente del AIR, o Institute Certified Catastrophe Modeller Programme. Stransky, quien disertará en la Cyber Risk Insights Conference el 16 y 17 de mayo en Chicago, dice que “a diferencia de lo que ocurre con los huracanes, donde los datos sobre el recorrido de la tormenta están a disposición del público, los cíber datos son escasos porque a las empresas no les gusta decir que han sido hackeadas”.
Desde finales de los años 90, muchas aseguradoras ofrecen cíber pólizas pero en casi todos los casos centradas en la filtración de datos.
Cuando no hace mucho se produjo una serie de ataques de alto perfil las grandes compañía advirtieron que el problema ya no es tecnológico sino de negocios. PricewaterhouseCoopers calcula que para 2020 las empresas van a pagar unos US$ 7.500 millones en cíber seguros.
¿Cuánto abarca el cíber riesgo?
Las aseguradoras siguen tratando de entender la naturaleza del cíber riesgo y cómo estructurar sus pólizas para no quedar expuestas a pérdidas catastróficas. “Admitir que la cíber seguridad es un problema de negocios y no de IT”, dice Arvind Parthasarathi, CEO de Cyence, una firma que ayuda a las aseguradoras a modelar cíber riesgos, “significa reconocer que la solución no es clara, que el riesgo se puede controlar pero no eliminar. Lo que los ejecutivos se están preguntando es cuánto riesgo están dispuestos a correr”.
Las aseguradoras se hacen la misma pregunta al tratar de determinar qué valor ponerle a las nuevas pólizas de cíber seguridad. Porque el peligro es nuevo, es complejo y evoluciona rápidamente. El desafío más apremiante es cuantificar el riesgo de una cíber catástrofe que dañe a muchos asegurados a la vez y estimar la pérdida máxima en el peor de los escenarios. Eso es precisamente los que las aseguradoras no hicieron antes del Huracán Andrew.
Un desastre cibernético comparable en escala al del aquel huracán es difícil de modelar, en principio porque todavía no ocurrió. En octubre del año pasado se pudo tener una pálida idea de un tipo parecido de calamidad cuando un grupo de hackers atacó a Dyn, un importante router del tráfico en Internet y durante varias horas millones de personas no pudieron entrar a Amazon, Netflix y Spotify ni a otros muchos sitios web de Estados Unidos.
Todavía no se sabe cuánto costó el ataque a Dyn, pero cuando hace poco el sistema de almacenamiento en la nube S3 de Amazon estuvo fuera de servicio durante cuatro horas (y no por un cíber ataque), eso le costó a compañías del S&P 500 por lo menos US$ 150 millones. No es difícil imaginar que un ataque a gran escala a su servicio cloud podría causar miles de millones en pérdidas.
También preocupa un cíber ataque a una infraestructura física tradicional, como el que dejó a oscuras a Kiev, Ucrania, en diciembre. Lloyd’s de Londres analizó un escenario hipotético en el cual un apagón en el nordeste de Estados Unidos deje a 93 millones de personas sin electricidad. Concluyó que ese hecho podría costar a las aseguradoras entre US$ 21.000 y US$ 71.000 millones.
Scott Stransky dice que su compañía (AIR Worldwide Corp.) espera tener un modelo listo de cíber riesgo para consumo general dentro de los próximos dos o tres años.
Pero ¿hasta qué punto pueden las aseguradoras hacer a las compañías menos vulnerables a los cíber ataques?
El desafío de tratar de cuantificar el cíber riesgo es similar a lo que las aseguradoras enfrentaron en los años 90 nada más que porque tienen muy poca experiencia con este tipo de riesgo. Les llevó 15 años crear los conjuntos de datos que sostienen los complejos y detallados modelos para catástrofes naturales con que hoy cuentan las aseguradoras, explica Tom Harvey a Mike Orcutt del MIT Technology.
Modelos de riesgos
Harvey es gerente de producto de Risk Management Solutions, que desarrolla modelos de riesgos catastróficos para aseguradoras. “Ahora las cosas se mueven mucho más rápido en el cíber universo y los datos que juntan las empresas son bastante inconsistentes”. Eso hace más difícil agregar información y estudiar tendencias”.
Hay diferencias importantes entre modelar catástrofes naturales y cíber catástrofes. En primer lugar, las naturales son causadas por leyes físicas y las otras, por hábiles seres humanos. Las motivaciones de los hackers, sus tácticas, sus técnicas y sus objetivos cambian rápidamente para superar nuevas defensas. “El desafío es entender que estamos ante un adversario activo dice Parthasarathi, cuya compañía usa la teoría de los juegos y la economía conductista para modelar la conducta de los atacantes.
Comprender la geografía de Internet también es fundamental para evaluar el riesgo de un cíber ataque grande. “Las aseguradoras necesitan un “mapa” de los lugares donde está almacenada la información valiosa y ver si los dueños de esos activos la protegen”, dice Stephen Boyer, CTO y cofundador de BitSight.
“Lo que deben evitar las compañías de seguros es hacer la versión cíber de lo que hicieron en la costa de Florida antes del Huracán Andrews: cubrir a todos”, dice Boyer. Cosas como vender pólizas a muchas compañías que dependen de la misma tecnología o proveedor de servicios, como Amazon Web Services, por ejemplo. “Cuando ese servicio se cae”, todo el mundo tiene un reclamo”, dice.
