Asigurări

Modelarea riscului cibernetic. Dincolo de mituri și provocări

Autor:Cristian SUCA
Vineri, 08 Ianuarie 2021
Un raport recent realizat de Cyentia Institute, care analizează cele mai importante 100 de incidente cyber din ultimii 5 ani, arată că aceste evenimente au provocat pierderi de 18 miliarde de dolari și, totodată, au compromis 10 miliarde de fișiere. Doar incidentul NotPetya a fost responsabil pentru aproximativ 20% din totalul pierderilor generate de cele 100 de cazuri analizate.



Potrivit raportului, pierderea medie a fost de 47 de milioane de dolari, însă cel puțin 1 incident din 4 a provocat pierderi de peste 100 de milioane de dolari. De asemenea, 5 din cele 100 de incidente au acumulat pierderi de peste 1 miliard de dolari. Mai mult, 40 dintre cele mai costisitoare evenimente au avut loc în sectoarele financiar (22) și informațional (18). Costurile de răspuns, pierderile în productivitate și amenzile sunt cele mai frecvente forme de pierdere aferente evenimentelor extreme. Breșele de securitate, atacurile ransomware, fraudele și furtul de cryptomonede sunt, de departe, cele mai frecvente și costisitoare incidente cibernetice extreme.

Pentru asigurători, cyber reprezintă o linie de afaceri tot mai importantă, pe o piață care evoluează rapid, arată RMS. Potrivit EIOPA (Autoritatea Europeană pentru Asigurări și Pensii Ocupaționale), primele care au fost subscrise, în Europa, pe segmentul de asigurări cyber au totalizat, în 2018, aproximativ 300 de milioane de euro (350 de milioane de dolari). Astăzi, piața europeană de asigurări cibernetice valorează cel puțin 500 de milioane de dolari - unele estimări sugerând chiar peste 1 miliard de dolari. O astfel de creștere, arată RMS, rezultă, în mod clar, dintr-o digitalizare în creștere a companiilor, combinată cu o conștientizare ridicată a riscului cibernetic - și o cultură a litigiilor.

În ultimii ani, au apărut mai multe soluții de modelare a asigurărilor cibernetice. Aceste soluții pot oferi noi puncte de vedere asupra pericolului cibernetic în sine, dar și diferite moduri de gestionare a riscului, cum ar fi monitorizarea acumulării sau furnizarea de tehnologii analytics, care pot fi utilizate pentru tarifarea asigurărilor cibernetice. Pentru a modela riscul cibernetic, subliniază RMS, trebuie rezolvate mai multe provocări. Unele dintre acestea pot fi analizate, într-o anumită măsură, din perspectiva modelării unor catastrofe naturale precum cutremurele, dar altele sunt mult mai specifice domeniului cibernetic. Cu toate acestea, susține RMS, utilizarea unui model bazat pe expunere presupune mai multe avantaje decât o modelare realizată doar în baza experienței.

Tarifarea bazată pe experiență este, oare, potrivită pentru riscul cibernetic?

Riscul cibernetic este un pericol dificil de tarifat, dacă se folosesc doar date despre daunele anterioare. Și, în acest sens, RMS subliniază trei motive principale:

» Lipsa stabilității datelor - Cele mai multe dintre riscurile asigurate se schimbă destul de lent în raport cu durata unui contract de asigurare. La polul opus, riscul cibernetic este un pericol foarte dinamic, cu un peisaj de amenințări în continuă evoluție. În urmă cu șase ani, notează RMS, cele mai multe dintre cererile de despăgubire aveau la bază faptul că stick-urile USB și/sau laptopurile erau uitate în mijloacele de transport în comun. Azi, peisajul de risc e foarte diferit. De exemplu, la momentul respectiv, ransomware era un subiect de nișă în securitatea cibernetică, în vreme ce, azi, este un subiect extrem de comun.

» Lipsa datelor istorice - Tarifarea unor riscuri obișnuite e bazată, în mod normal, pe experiență (date despre reclamații). Cyber este, însă, un risc nou și, prin urmare, datele disponibile cu privire la reclamații sunt limitate și, adesea, se referă la expunere, care este radical diferită comparativ cu expunerea de azi. Riscul depinde, de obicei, de configurarea și vulnerabilitatea rețelelor IT, de eroarea umană și de intenția ostilă a atacatorului. Chiar dacă toate aceste permutări ar fi fost pe deplin înțelese și înregistrate, notează RMS, este foarte puțin probabil ca aceeași situație să se înregistreze și la o altă entitate. Mai mult, schimbarea legislației, așteptările societății cu privire la modul în care ar trebui să se comporte companiile, precum și digitalizarea rapidă a acestora fac ca datele istorice cu privire la daune să își piardă rapid valoarea directă.

» Lipsa evenimentelor extreme, pentru a înțelege pe deplin riscul - Sunt disponibile date cu privire la experiențele anterioare în materie de incidente cibernetice grave, dar nu suficiente. Un exemplu în acest sens este reprezentat de atacul malware WannaCry, din 12 mai 2017. Acest atac, propagat prin protocoale de partajare a fișierelor (file-sharing network protocols), a blocat computere și servere și, totodată, a infectat utilizatorii sistemelor de operare Microsoft Windows XP și v8 OS neactualizate. Per ansamblu, WannaCry a afectat 300.000 de utilizatori din 150 de țări, în ciuda faptului că utilizatorii Windows v8 au fost protejați de un patch Microsoft, lansat cu două luni înainte de atac, pe 14 martie 2017. Propagarea virusului a fost oprită, după patru zile, de un cercetător care a identificat un kill-switch în software. În total, costurile directe și pierderile indirecte generate de întreruperea afacerii sunt estimate la aproximativ 500 de milioane de dolari. WannaCry, NotPetya, MyDoom, SQLSlammer, IloveYou sunt exemple de atacuri malware severe, dar numărul lor este prea limitat, subliniază RMS, pentru o estimare solidă a riscului.

Limitările enunțate anterior ilustrează, în opinia RMS, importanța utilizării modelelor bazate pe expunere, care, într-un cadru specific, pot beneficia de avantajele metodelor statistice și ale legilor fizice. Astfel de metode pot îmbunătăți viziunea noastră asupra riscului, mergând dincolo de înregistrările istorice limitate. Pentru a calibra aceste modele, trebuie să depășim mai multe concepții greșite. Să explorăm, alături de RMS, cele mai importante două dintre acestea, ambele transformându-se în mituri comune în industrie.

Mitul #1: “Nu există date suficiente despre cyber pentru a ajuta modelarea”

În realitate, susține RMS, există o cantitate mare de date despre riscul cibernetic și atacurile informatice - cu toate acestea, nu sunt neapărat concepute pentru a fi utilizate în modelarea în asigurări. Breșele de securitate și vulnerabilitatea companiilor - două exemple în acest sens.

Pentru breșele de securitate, există o cantitate mare de date disponibile, inclusiv din surse autorizate, dar dificultățile sunt reprezentate de relevanța pentru modelarea în asigurări. De exemplu, numărul fișierelor pierdute este disponibil, dar costurile financiare asociate sau cauzalitatea (vulnerabilitatea specifică sau virusul etc.) nu sunt, de cele mai multe ori, disponibile. În plus, cele mai multe dintre aceste evenimente ar putea să nu fie nici măcar semnificative pentru o companie de asigurări. Cu toate acestea, arată RMS, există o modalitate de a îmbina aceste seturi de date care pot aduce plus-valoare. De exemplu, RMS se folosește de tehnologia machine learning pentru procesarea complexă a limbajului natural (NLP - Natural Language Processing), pentru a colecta în mod activ date despre incidentele cibernetice. Algoritmii pot identifica tipurile de incidente cibernetice, datele la care acestea au fost înregistrate, dar și magnitudinea pierderilor din milioane de surse de pe Internet, pot consolida aceste date și le pot introduce într-o bază de date care poate fi utilizată pentru calibrarea unui model.

Similar breșelor de securitate, există, de asemenea, o mulțime de date și despre vulnerabilitate, notează RMS, însă e dificil să extragi valoarea pe care o au aceste date pentru industria de asigurări. De exemplu, pentru majoritatea furnizorilor IT, Baza Națională de Date a Vulnerabilităților din SUA (NVD - the U.S. National Vulnerability Database) înregistrează, urmărește și punctează vulnerabilitățile (CVSS - Common Vulnerability Scoring System). Cu toate acestea, dificultățile sunt reprezentate de modul în care sunt punctate companiile. De obicei, punctajul se bazează pe potențialul de risc pentru o organizație individuală. Acest lucru înseamnă că, fără înțelegerea întregii rețele corporative, valoarea directă pentru companiile de asigurări este mică. Mai mult decât atât, nu există o putere predictivă în probabilitatea ca o vulnerabilitate să fie exploatată, iar definiția expunerii este, adesea, de o relevanță limitată. Părțile componente ale scorurilor CVSS au valoare, iar RMS rearanjează aceste date pentru a dezvolta propriile punctaje, cu o însemnătate semnificativ mai mare pentru asigurări, și integrează aceste date în calibrarea modelului de vulnerabilitate.

Mitul #2: “Cyber ține de actori umani - nu putem folosi abordări științifice pentru a-l defini”

Acest lucru este, de fapt, total neadevărat, dat fiind faptul că, pentru a cuantifica problema, pot fi folosite abordările științifice. Să explorăm, alături de RMS, câteva abordări diferite.

În primul rând, teoriile economice cu privire la cerere, ofertă și elasticitatea prețurilor pot fi incluse în principiile de modelare ale RMS. Dacă vrem să înțelegem câte atacuri cibernetice ar putea avea loc într-un an, trebuie să înțelegem, în primul rând, că infractorii cibernetici acționează rațional. Atacând prea multe organizații și vânzând prea multe date, inunzi piața (neagră). Infractorii nu vor mai folosi un vector de atac atunci când devine neprofitabil să facă acest lucru. Prin urmare, este posibil să definești o limită superioară a numărului de atacuri cibernetice care pot avea loc într-un an. O altă modalitate de a observa acest lucru este reprezentată de examinarea constrângerilor fizice ale sistemului. De exemplu, un atac DDoS nu poate folosi mai multă lățime de bandă decât poate suporta “conducta” pe care se acționează. De asemenea, este posibil ca un furnizor de cloud să poată reconstrui un centru de date în două săptămâni, ceea ce înseamnă că este puțin probabil ca o problemă de cloud să țină mai mult de două săptămâni. Din nou, această înțelegere poate sprijini spațiul de modelare.

O altă abordare folosită de RMS este cea de a modela factorii umani prin utilizarea expertizei RMS în virusologie și modelarea transmiterii virusului. Cât de departe se poate răspândi o tulpină extremă de malware? Pe măsură ce vulnerabilitățile din sisteme sunt rezolvate, devine mai greu ca un malware de tip worm să se răspândească. Dacă sunt refăcute suficiente sisteme, ca și în cazul bolilor umane, se obține o imunitate de turmă.

În cele din urmă, este posibilă și integrarea unei analize contrafactuale, care rulează scenarii de tipul “ce se întâmplă dacă… (what if…)”, prin modificarea unor parametri într-un eveniment real. Să examinăm incidentul WannaCry: ce s-ar fi întâmplat dacă mecanismul kill-switch nu ar fi fost declanșat sau dacă atacul ar fi avut loc înainte ca Microsoft să vină cu un patch pentru Windows 8? RMS estimează că, în aceste scenarii, WannaCry ar fi presupus pierderi nu de 500 de milioane de dolari, ci unele cuprinse între 3 - 6 miliarde de dolari. Analiza contrafactuală a riscului poate ajuta la evaluarea severității riscului într-un model cyber, generând scenarii chiar mai severe decât cele reale.

Modelarea riscului cibernetic: status

Utilizarea abordărilor pentru a completa datele istorice și pentru o expertiză în acest sens, împreună cu modelarea statistică și fizică, permit construirea unor modele mai bune. Aceste modele se maturizează progresiv și, în ceea ce privește funcționalitățile, producția și fiabilitatea, converg către modelele tradiționale de catastrofă.

RMS dezvoltă din 2015 soluții pentru gestionarea riscului cibernetic. Concepute inițial pentru a răspunde cerințelor în materie de reglementare, a fost mai întâi necesar să se definească o structură de date standardizată atât pentru riscurile cibernetice afirmative, cât și pentru cele silențioase, în condițiile în care definițiile expunerii diferă semnificativ în comparație cu liniile de business property și casualty. Inițial, aceste soluții au fost axate pe modelarea acumulării, pierderi maxime probabile (PML - probable maximum loss) și corelare. În ultimii ani, progresele tehnologice și noile tehnologii de date le-au permis modelatorilor să rezolve unele dintre provocările cheie evidențiate anterior. Acest lucru ajută la dezvoltarea soluțiilor de modelare, oferind puncte de vedere probabilistice cu privire la pierderi și incertitudinea asociată.

Astăzi, RMS Cyber Solutions ajută utilizatorii prin îmbogățirea datelor de expunere, întrucât colectarea informațiilor despre expunere este, adesea, o provocare. De asemenea, este posibilă și realizarea unei analize cyber (afirmativă și silențioasă) pentru toate sursele principale care stau la baza pierderilor cyber în IT, precum și pentru tehnologia operațională, cum ar fi: Power Blackout, Property Fires, Marine Cargo Port, Industrial Facilities și Upstream Energy.

Traducere și adaptare: Cristian ȘUCA

Acest articol este proprietatea Media XPRIMM si este protejat de legea drepturilor de autor.
In lipsa unui acord scris din partea Media XPRIMM, puteti prelua maxim 500 de caractere din acest articol. Este necesara precizarea sursei si inserarea in mod vizibil a linkului articolului (Modelarea riscului cibernetic. Dincolo de mituri și provocări).

Comenteaza articolul

Nume*
Comentariu*
Pentru a valida comentariul, va rugam introduceti textul din imagine: