Politele de asigurare, o solutie pentru riscurile din Data Center

Sunt rentabile poliţele de asigurare pentru centrele de date?

Cresterea impactului ameninţărilor informatice şi a dependenţei mediului business de infrastructurile IT reprezintă o oportunitate pentru companiile de asigurări, care şi-au dezvoltat oferte dedicate pe zona de „Cyber Insurance“. În România fenomenul nu a căpătat încă amploare, dar aceasta nu înseamnă că Data Centerele nu caută activ soluţii de diminuare şi ţinere sub control a riscurilor.

Accelerarea procesului de transformare digitală a organizaţiilor a generat în ultimii ani o creştere semnificativă a sectorului de „Cyber Insurance“.

Conform companiei Aon – broker de asigurări şi reasigurări prezent în 120 de tări, printre care şi România –, „Cyber Insurance“ va deveni peste trei ani liderul pieţei asigurărilor, atingând o valoare globală de 4 miliarde USD.

(1) O estimare pertinentă, având în vedere că, în ultimii cinci ani, primele de cyber-asigurare au avut cea mai mare rată de creștere valorică (23% anual), iar pentru următorii trei ani se preconizează un ritm de 14%.

În România nu se prefigurează încă, o asemenea cerere pe această zonă. Conform raportului Autorităţii de Supraveghere Financiară (ASF), piaţa locală înregistrase anul trecut o creştere semnificativă pe segmentul de asigurări de viaţa (21%), iar asigurările auto reprezentau aproximativ 74% (din totalul primelor brute subscrise).

(2) Piaţa evoluează

La nivel global însă, tot mai multe companii îşi dispută nişa „Cyber Insurance“, printre acestea aflăndu-se nume consacrate, precum AIG, Lloyd’s, Hiscox, Marsh, HSB, CNA, Liberty Mutual,Travelers Insurance, Chubb, Zurich etc.

Concurenţa crescută obligă fiecare jucător să depună eforturi pentru a-şi dezvolta o ofertă cât mai atractivă. De exemplu, CNA, a opta companie de asigurări de pe piaţa nord americană, a anunţat anul trecut că scade valoarea primelor de asigurări pentru organizaţiile care deţin deja certificări Uptime Institute.

(3) Este o politică pe care asigurătorul a dezvoltat-o din 2007, prin programul „Allied Vendor“ care oferă clienţilor acces la iniţiative suplimentare de control al riscurilor.

(Din program mai fac parte, în afară de Uptime Institute, companii specializate în soluţii de recuperare a datelor în caz de dezastru şi continuitate a afacerii.)

Problemele persistă

Deşi estimările de miliarde de dolari îi incită pe analişti să vorbească tot mai frecvent de maturizarea pieţei „Cyber Insurance“, durerile de crestere persistă.

In primul rând pentru că potenţialii cumpăratori de cyber-asigurări trebuie să parcurgă un labirint de furnizori şi parteneri interconectaţi: asigurători, brokeri, reasigurători, consultanţi, furnizori de servicii de evaluare a riscurilor informatice, organizaţii de certificare etc.

Apoi, nu foarte multe organizaţii stapânesc la momentul actual aspectele juridice specifice acestui domeniu (iar GDPR pune o presiune enormă în acest sens) şi nici nu deţin competenţele necesare definirii avantajoase a cheltuielilor deductibile, procentului costurilor asigurate din sublimita de rspundere, excluderilor explicite si restrictiilor implicite etc.

Nu in ultimul rand, primele de cyber-asigurare continuă să aibă o valoare ridicată, acesta fiind şi unul dintre principalele motive pentru care organizaţiile nu le achiziţionează.

Conform unui studiu Ponemon Institute realizat în 2017 în zona EMEA

(4), organizaţiile nu cumpără cyber-asigurări pentru că:

• nu le oferă acoperirea necesară (36%);

• sunt prea scumpe (36%);

• includ prea multe excluderi şi restricţii (28%).

„Cyber Insurance“ în Data Center

În cazul centrelor de date, cyber-asigurările generează o discuţie aparte.

Specialiştii susţin că principala regulă în examinarea recomandărilor pe care un asigurător le face este de a compara „prescripţiile“ acestuia cu probabilitatea apariției evenimentului, respectiv cu frecvenţa de risc.

Un asigurător identifică toate riscurile potenţiale şi apoi stabileşte, pe baza „dotarilor“ de care dispune centrul de date, probabilitatea apariţiei riscului, pagubele pe care le poate genera acesta, valoarea şi costul remedierii lor, obtinând astfel un cost de risc.

Care este elementul de bază în calculul primei de asigurare?

Pentru a ţine sub control valoarea primelor de asigurare, managerul unui centru de date trebuie să realieze un echilibru dinamic între probabilitatea ca un eveniment să se întample şi costul soluţiei recomandate. Dacă frecvența apariţiei riscului este redusă, atunci poate alege eliminarea recomandării. Dacă probabilitatea ca riscul identificat să se producă este crescută, atunci trebuie să investească în soluţii de diminuare/eliminare a riscului, fie să accepte riscul şi să plătească prima de asigurare aferentă.

O căutare rapidă asupra principalelor riscuri care pot genera disfuncţionalitaţi majore într-un Data Center arată că ierarhia acestora nu înregistrează mari modificări în ultimii ani. De exemplu, conform unui studiu comparativ Vertiv, realizat pe perioada 2010-2016

(5), pe primul loc în clasamentul “Root causes of unplanned outages” se menţin echipamentele UPS. La fel de „statornice“ în top sunt şi erorile umane, în timp ce problemele de funcţionare ale sistemelor de răcire (CRAC) şi ale electro-generatoarelor înregistrează o evoluţie lent descendentă.

Excepţia de la regulă o reprezintă atacurile informatice (cu precadere cele de tipul DDoS), care au avut o creştere substanţială în ultimii ani (de la 2% în 2010, la 22% în 2016), devenind a doua cauză a downtime-urilor neplanificate.

Poliţa nu e de ajuns

Pentru majoritatea problemelor semnalate în studiul Vertiv, industria centrelor de date deţine deja soluţii validate în piaţă de ani buni, care au la bază principiul redundanţei echipamentelor. Pe de altă parte însă, apar constant şi noi echipamente care asigură niveluri superioare de disponibilitate şi performanţă – cum sunt, de exemplu, UPS-urile cu baterii Li-Ion sau sistemele de răcire de tipul “Containment Cooling” –, sau soluţii care susţin cresterea eficienţei operaţionale şi reducerea elementului de eroare umană, precum sistemele de Data Center Infrastructure Management (DCIM) s.a.m.d.

Este adevarat, toate aceste soluţii şi echipamente presupun investiţii consistente şi procese de retehnologizare. Însă, prin raportare la valorile ridicate ale primelor de cyber-asigurare, intervalul de amortizare scade rapid. Şi,în plus, prin retehnologizare, Data Centerele au posibilitatea reală de a se adapta la noile tipuri de riscuri ce apar. Astfel, daca s-ar dori a fi acoperite prin „Cyber Insurance“, ar alimenta creşterea valorii primelor de asigurare.

Evident, o soluţie viabilă poate fi şi calea de mijloc – cea în care asigurătorul preia o serie limitată de riscuri pe care centrul de date nu le poate gestiona. Însa, în astfel de cazuri, echilibrul dintre riscurile asumate şi cele acoperite prin poliţa de asigurare trebuie menţinut cu atenţie, deoarece pentru clientul final primează asigurarea continuităţii afacerii sale, securitatea şi integritatea datelor, disponibilitatea aplicaţiilor şi serviciilor şi nu valoarea despagubirilor de care poate beneficia.

 

______

 

Note:

1 – “Cyber insurance premiums to outpace all others, according to a global analysis from Aon”

http://aon.mediaroom.com/news-releases?item=137722

2 – “Evolutia pietei de asigurari 2017” https://asfromania.ro/files/analize/Raport%20asigurari%202017.pdf

3 – “CNA lowers insurance costs for Uptime certificate holders” https://www.datacenterdynamics.com/news/cna-lowers-insurance-costs-for-uptime-certificate-holders/

4 – “2017 Europe, Middle East & Africa Cyber Risk Transfer Comparison Report” http://www.aon.com/attachments/risk-services/cyber/2017-Global-Cyber-Risk-Transfer-Report-Final.pdf

5 – ” Cost of Data Center Outages” https://www.vertivco.com/globalassets/documents/reports/2016-cost-of-data-center-outages-11-11_51190_1.pdf