إحدى الرسائل التي أرسلها أجيت جاين، كبير مسؤولي التأمين في وارن بافيت وبيركشاير هاثاواي، إلى المستثمرين خلال الاجتماع السنوي للمساهمين في الشركة في أوماها الشهر الماضي، كانت أن التأمين السيبراني، على الرغم من كونه مربحًا حاليًا، لا يزال ينطوي على الكثير من الأمور المجهولة والمخاطر بالنسبة لشركة بيركشاير، وهي شركة لاعب ضخم في سوق التأمين، ليكون الاكتتاب مريحًا تمامًا.
وقال جين في الاجتماع السنوي إن التأمين السيبراني أصبح “منتجا عصريا للغاية”. وقد كان ذلك بمثابة مصدر دخل لشركات التأمين، على الأقل حتى الآن. ووصف الربحية الحالية بأنها “مرتفعة إلى حد ما” – ما لا يقل عن 20٪ من إجمالي الأقساط ينتهي في جيوب شركات التأمين. لكن في بيركشاير، الرسالة التي يتم إرسالها إلى الوكلاء هي رسالة تحذير. السبب الرئيسي هو صعوبة تقييم كيفية عدم تحول الخسائر الناجمة عن حدث واحد إلى مجموعة من الخسائر السيبرانية المحتملة. أعطى جاين مثالاً افتراضيًا عندما “توقفت” منصة أحد كبار مزودي الخدمات السحابية.
وقال: “إن إمكانات التجميع هذه يمكن أن تكون ضخمة، وعدم القدرة على وجود فجوة في أسوأ الحالات هو ما يخيفنا”.
وقال بافيت: “لا يوجد مكان يدخل فيه هذا النوع من المعضلة أكثر من الإنترنت”. “قد تواجه مجموعة من المخاطر التي لم تحلم بها من قبل، وربما أسوأ من وقوع زلزال في مكان ما.”
تعمل شركة بيركشاير في مجال التأمين السيبراني
يقول محللو الصناعة بشكل عام، في حين أن بعض الحذر من جانب شركة بيركشاير له ما يبرره، فإن الحالة العامة لسوق التأمين على الأمن السيبراني تستقر حيث تصبح مربحة. ويشير جيرالد جلومبيكي، أحد كبار المديرين في مجموعة التأمين الأمريكية التابعة لوكالة فيتش للتصنيف الائتماني، إلى أن شركة بيركشاير هاثاواي تصدر سياسات الأمن السيبراني على الرغم من حذر بافيت. ووفقا لتحليل فيتش، فإن بيركشاير هاثاواي هي سادس أكبر مصدر لهذه السياسات. تعد شركة Chubb، التي كشفت شركة Berkshire مؤخرًا عن استثمار كبير فيها، وAIG، أكبر الشركات.
وقال جلومبيكي: “في الوقت الحالي، لا يزال (التأمين على الأمن السيبراني) نموذجًا تجاريًا قابلاً للتطبيق للعديد من شركات التأمين”. ولا تزال سوقاً صغيرة، ولا تمثل سوى واحد في المائة من جميع السياسات الصادرة، وفقاً لجلومبيكي. نظرًا لأن أعمال الأمن السيبراني صغيرة جدًا، فإنها تمنح شركات التأمين حرية تنفيذ سياسات مختلفة لمعرفة ما ينجح وما لا ينجح، دون قدر هائل من التعرض.
وامتنعت بيركشاير، وكذلك تشب وإيه آي جي، عن التعليق.
وقال جلومبيكي: “هناك عنصر عدم القدرة على التنبؤ وهو أمر مقلق للغاية، وأنا أفهم من أين أتى (بافيت)، لكنني أعتقد أنه من الصعب حقًا تجنب المخاطر السيبرانية تمامًا”. وأضاف أنه على الرغم من ذلك لا توجد حتى الآن أي دعوى قضائية مهمة تحدد المسؤولية أو تختبر حدود السياسات، وإلى أن تستمع المحاكم إلى بعض قضايا المسؤولية، قد تتصرف بعض شركات التأمين بحذر أكبر.
يقول بافيت: “يمكن أن يدمر الشركة”.
كبار المديرين التنفيذيين في بيركشاير وارن بافيت (يسار)، جريج أبيل (وسط) وأجيت جاين (يمين) خلال اجتماع المساهمين السنوي لشركة بيركشاير هاثاواي في أوماها، نبراسكا في 4 مايو 2024.
سي ان بي سي
المشكلة في كتابة العديد من السياسات، حتى مع وجود حد قدره مليون دولار لكل سياسة، هو إذا تبين أن “حدثًا واحدًا” يؤثر على 1000 سياسة. وقال بافيت: “لقد كتبت شيئًا لا نحصل عليه بأي حال من الأحوال بالسعر المناسب، ويمكن أن يؤدي إلى انهيار الشركة”.
في حين أن بعض القادة البارزين، مثل رئيس الأمن الداخلي السابق مايكل تشيرتوف – الذي يدير الآن شركة عالمية لإدارة المخاطر الأمنية – دعوا إلى دعم حكومي للأمن السيبراني من نوع ما، فإن معظم الخبراء لا يعتقدون أن هناك حاجة إلى ذلك في الوقت الحالي. يقول جلومبيكي إنه بينما يبحث الفيدراليون في الدور الذي يمكن أن يلعبوه، فمن المحتمل ألا يحدث التدخل إلا إذا أدى حادث ما إلى ذلك.
وأضاف أن أي تدخل حكومي “من المحتمل أن يحدث بعد وقوع حادث سيبراني كبير ومكلف”. “بعد 11 سبتمبر/أيلول، وضعت الحكومة برنامجاً لمواجهة المخاطر الإرهابية. وفي مجال الإنترنت، لم نشهد بعد هجوماً بهذا الحجم. وما زلنا في مرحلة التفكير في الأساليب الممكنة.”
تظهر بيانات التأمين السيبراني النمو وثقة السوق
في حين أن عدد سياسات الأمن السيبراني التي يتم كتابتها صغير الآن، إلا أن المحللين لا يتوقعون أن يظل الأمر على هذا النحو.
وقال مارك فريدلاندر المتحدث باسم معهد معلومات التأمين: “الأسعار تتراجع، مما يظهر الاستقرار في السوق”. ووفقا لبياناتها، من المتوقع أن تتضاعف أقساط التأمين السيبرانية خلال العقد المقبل. وفي عام 2022، بلغ إجمالي أقساط التأمين 11.9 مليار دولار. ويقول فريدلاندر إنه من المتوقع أن تتضاعف هذه الاستثمارات بحلول عام 2025 إلى 22.5 مليار دولار، ثم تزيد إلى 33.3 مليار دولار بحلول عام 2027.
وقال فريدلاندر: “من الواضح أن هذا أحد أسرع قطاعات التأمين نمواً. ويكتب المزيد من الشركات سياسات الأمن السيبراني أكثر من أي وقت مضى”، وعزا الثقة بين شركات التأمين إلى الاكتتاب الأكثر تطوراً واستقرار الأسعار. وأشار إلى انخفاض بنسبة 6% في أسعار التأمين على الأمن السيبراني في الربع الأول من عام 2024، بعد انخفاض بنسبة 3% في عام 2024، كإشارة واضحة إلى أن شركات التأمين تشعر بثقة أكبر بشأن القفز إلى الأعمال.
وقال فريدلاندر: “معظم التأمين التجاري مثل التأمين على السيارات والمنازل والتأمين على الحياة تزايد، لذا فإن الانخفاض كبير. إنها علامة على الاستقرار وانخفاض شدة المطالبات”.
ويدخل المزيد من شركات التأمين إلى السوق لأن لديها الأدوات والبيانات اللازمة لتسعير المخاطر. وقال فريدلاندر: “إذا تمكنت من القيام بذلك بمعدلات جيدة، فسوف تكتب تلك التغطية”.
“أنت تخسر المال”
بافيت وكبير مساعديه في مجال التأمين لا يتفقون مع هذا الرأي. إن “تكلفة خسارة” التأمين – ما يمكن أن تكون عليه تكلفة البضائع المباعة – هي التي جعلت بيركشاير على الحياد مع تحرك أكبر نحو التأمين السيبراني. وقال جاين إن الخسائر “تم احتواؤها بشكل جيد إلى حد ما” حتى الآن – حيث لم تتجاوز 40 سنتًا على الدولار السياسي على مدى السنوات الأربع إلى الخمس الماضية – لكنه أضاف: “لا توجد بيانات كافية لتتمكن من تعليق قبعتك وقول ما تريد”. تكلفة الخسارة الحقيقية هي.”
قال جاين إنه في معظم الحالات، لا يتم تشجيع وكلاء بيركشاير على كتابة التأمين الإلكتروني، إلا إذا كانوا بحاجة إلى كتابته لتلبية احتياجات العملاء المحددة. وحتى لو فعلوا ذلك، يتركهم جاين بهذه الرسالة: “بغض النظر عن المبلغ الذي تتقاضاه، يجب أن تخبر نفسك أنه في كل مرة تكتب فيها بوليصة تأمين إلكتروني، فإنك تخسر المال. يمكننا أن نتجادل حول مقدار الأموال التي تدفعها” نحن نخسر، ولكن يجب أن تكون العقلية هي أنك لا تجني المال من ذلك… وبعد ذلك يجب أن ننطلق من هناك.”
تقول Google Cloud إن المخاطر مبالغ فيها
هناك تصور بأن المخاطر السيبرانية تتغير بسرعة، وبالتالي، لا يمكن التنبؤ بها بشكل كبير بحيث لا يمكن الاكتتاب فيها بطريقة منهجية، كما تقول مونيكا شوكراي، رئيسة مخاطر الأعمال والتأمين في Google Cloud. لكنها أضافت أن التصور لا يتطابق مع الواقع، وأنه يمكن إدارة المخاطر إلى حد كبير.
وقالت: “نحن لا نحمل نفس وجهة نظر وارن بوفيه حول هذا الموضوع”. من وجهة نظر Google، يمكن منع أو تخفيف غالبية الخسائر الإلكترونية من خلال النظافة الإلكترونية الأساسية.
وقال شكري: “من خلال فهم الأمن، يمكنك الوصول إلى مكان تكون فيه ضوابطك في مكان أفضل بكثير، حيث تكون المخاطر أكثر قابلية للتحكم”. وفي الوقت نفسه، تندرج الهجمات المدمرة التي تشنها الدول القومية في فئة منفصلة وكانت نادرة. وتقوم شركات التأمين بالفعل بتحصين نفسها من المخاطر المحتملة من خلال إجراء استثناءات لبعض الأحداث الكارثية. تتمتع العديد من سياسات الأمن السيبراني بإعفاءات تغطية لهجمات الدولة القومية.
وقال شكري: “ما يحاولون القيام به هو الحفاظ على المرونة والقدرة على السداد في حالة وقوع حدث واسع النطاق؛ وما فعلوه لإدارة ذلك يتم وضعه في الاستثناءات”، وتشمل هذه الاستثناءات البنية التحتية الحيوية، والحرب السيبرانية، وغيرها من الأحداث التخريبية واسعة النطاق. .
الغموض والموضوعية لا تزال قائمة. ماذا لو كان شخص ما ضحية لهجوم إلكتروني من عصابة مقرها أجنبي غير مرتبطة رسميًا بدولة قومية ولكنها ربما تلقت بعض الدعم اللوجستي الإضافي؟ هل يمكن لشركة التأمين الاحتجاج باستبعاد الدولة القومية؟ يقول شقري إن تصنيف كيفية إسناد حدث ما هو موضوع نقاش كبير بين شركات التأمين. وقال شكري: “هذا جدل كبير بين شركات التأمين، وهو تمييز مهم يحتاج إلى الوضوح”.
يقول بعض الخبراء إن الغموض الذي يحيط بهوامش الصناعة هو ما أثار فزع المستثمرين مثل بافيت وشركات التأمين مثل بيركشاير. ولكن حتى الآن، أثبت العمل أنه سليم بشكل عام. وقالت جوزفين وولف، الأستاذة المساعدة في سياسة الأمن السيبراني في كلية فليتشر بجامعة تافتس، والتي كانت تدرس السوق المتطور على مدى السنوات العديدة الماضية: “لا يزال نموذج أعمال قابلاً للتطبيق بالنسبة للعديد من شركات التأمين”. لكنها أضافت أن الاعتقاد بأن الأعمال التجارية قابلة للحياة لا يعني أن الأمور لا تتغير باستمرار، مشيرة إلى الطفرة الأخيرة في برامج الفدية على مدى العامين الماضيين والتي شهدت دفعات كبيرة من قبل شركات التأمين – على الرغم من أنها لا تزال غير كافية بشكل خاص لنجاح الأعمال. غير مربحة بالنسبة لمعظم المصدرين.
يساعد التأمين السيبراني في جعل النظام البيئي بأكمله أكثر أمانًا، وفقًا لستيف غريفين، المؤسس المشارك لشركة L3 Networks، وهي شركة تقدم خدمات مُدارة مقرها كاليفورنيا ومتخصصة في الأمن السيبراني. تتطلب السياسات من الشركات الالتزام بمعايير إلكترونية معينة لتحقيق التغطية، وكلما زاد عدد الشركات التي اشتركت للحصول على التغطية، أصبح النظام بأكمله أكثر أمانًا. وإذا علمت إحدى الشركات أنه سيتم رفض مطالبتها إذا لم يكن لديها بعض ضمانات الأمن السيبراني الأساسية، فإن ذلك يكون بمثابة حافز لوضعها موضع التنفيذ.
تعتقد شركة بيركشاير أن أعمالها ستنمو، لكنها غير متأكدة من التكلفة. وقال جين: “أعتقد أنه في مرحلة ما قد يصبح عملاً ضخماً، لكنه قد يرتبط بخسائر فادحة”.
وقال بافيت: “سأخبرك أن معظم الناس يريدون أن يكونوا في أي شيء عصري عندما يكتبون التأمين. والإنترنت مسألة سهلة”. “يمكنك كتابة الكثير منها. وكلاء التأمين يحبون ذلك. إنهم يحصلون على العمولة على كل بوليصة يكتبونها. … أود أن أقول إن الطبيعة البشرية هي التي تجعل معظم شركات التأمين متحمسة للغاية وسيشعر وكلاءها بالقلق. إنه متحمس للغاية، وهو عصري للغاية ومثير للاهتمام نوعًا ما، وكما قال تشارلي (مونجر)، قد يكون سم الفئران.”
وبينما يتفهم جريفين حذر بافيت، فإنه يرى انقسامًا بين الأجيال حول توقعات المخاطر، وهو متفائل بشأن قطاع التأمين على الأمن السيبراني.
وقال: “من المحتمل أن وارن بافيت كان سيصف تأمين الأمن السيبراني بأنه فرصة عندما كان أصغر سناً”.
