Come le startup stanno entrando nel settore della cyber insurance

Come le startup stanno entrando nel settore della cyber insurance

24 settembre 2018 0 Di Yuri Poletto

 

Mentre i premi cyber insurance diretti hanno raggiunto a livello globale il valore di $4 miliardi nel 2017, si stima che tale importo potrebbe aumentare fino a $8/9 miliardi entro il 2020. Questo trend ha reso la cyber insurance la linea di business con il piu’ elevato tasso di crescita potenziale nel mercato assicurativo e riassicurativo globale, e da un lato ha spinto gli assicuratori a fare le loro mosse per guadagnare uno spazio in questo mercato, dall’altro ha incentivato la creazione di un rilevante numero di nuove startup.

 

Dove si stanno concentrando le startup di cyber insurance?

Quando si tratta di analizzare dove si stanno concentrando le start-up, continuiamo a vedere la crescita degli investimenti – anche da parte dei fondi di investimento degli assicuratori – per le startup che forniscono rating di rischio per la sicurezza informatica.
Nel 2017, Security Scorecard ha chiuso una serie C di $ 27,5 milioni da alcuni investitori tra cui AXA Strategic Ventures. Insurance Australia Group ha precedentemente investito in UpGuard per la valutazione delle minacce alla cybersecurity. Nel frattempo, BitSight ha iniziato a collaborare con AXIS Pro nell’ottobre 2016 per fornire ad alcuni assicurati AXIS rating di sicurezza BitSight senza alcun premio aggiuntivo e l’opzione per richiedere l’accesso di prova alla piattaforma BitSight.
A settembre 2017 CyberGRX, la piattaforma di cyber risk management di terze parti, ha collaborato con BitSight per incorporare le valutazioni di BitSight all’interno di CyberGRX Exchange. In precedenza, FICO ha acquisito Quadmetrics a giugno 2016 per approfondire il mercato della sicurezza online e offrire punteggi di sicurezza aziendali per le organizzazioni.
In UK, Chubb, uno di principali assicuratori di cyber insurance, ha recentemente annunciato di aver stretto una partnership con la società di sicurezza informatica DynaRisk per offrire un servizio di mitigazione delle perdite informatiche agli assicurati di Chubb. DynaRisk ha sviluppato una serie di tool per la linea piccole medie aziende e per la linea persone e famiglie. Nel caso dei tool per le famiglie, Dynarisk valuta i dispositivi di una persona per fornire un punteggio personale di sicurezza informatica, e un report che evidenzi le vulnerabilità che un individuo può avere, e istruisce su come risolvere questi problemi. DynaRisk verifica se un individuo ha avuto informazioni rubate e scambiate sul Dark Web, e istruisce gli utenti su come proteggersi dal phishing e da altre truffe via email. La piattaforma genera quindi semplici azioni passo passo che gli utenti possono adottare per proteggere se stessi e la propria azienda. Dynarisk sta per entrare anche nel mercato Italiano, pubblicheremo maggiori aggiornamenti in uno dei prossimi post.

 

Guidewire acquisisce Cyence

Uno dei più grandi affari del 2017 che ha messo in luce la cyber insurance dal punto di vista delle startup è stata l’acquisizione da parte di Guidewire di Cyence per $ 275 milioni.
Cyence fornisce una soluzione di analisi dei dati e analisi dei rischi, che combina la raccolta di dati esterni con strumenti di modellizzazione del rischio per supportare le funzioni di gestione del prodotto, di sottoscrizione e di rischio aziendale. Per Guidewire, un elemento chiave in questa acquisizione e’ il modo in cui Cyence differisce nel suo approccio alla vendita agli assicuratori sia dal punto di vista del personale che del budget. Oggi, Guidewire ha oltre 300 clienti assicurativi P&C, ma l’acquisizione di nuovi clienti avviene solitamente con un lungo ciclo di vendita che coinvolge l’intera organizzazione, compreso il supporto IT. Il CEO di Cyence, Arvind Parthasarathi, ha dichiarato che lo sponsor principale degli assicuratori per la sua soluzione è in genere il Chief Risk o il Chief Underwriting Officer.
Come ha affermato il CEO di Guidewire, Marcus Ryu, nel corso di una call con gli analisti, “nel nostro processo di due diligence, la maggior parte dei clienti Cyence ha descritto un coinvolgimento IT molto modesto o inesistente nel processo di selezione e contrattazione, ma che lo sviluppo del business case ha seguito un canale un po’ diverso da ciò che è stata storicamente l’esperienza di Guidewire. Lo consideriamo un intrigante modello di go-to-market che potrebbe integrare la nostra necessità generale di creare un consenso istituzionale che includa l’IT prima che una società vada avanti con noi “.
In ottobre, per l’acquisizione Guidewire ha pagato tra 25 e 30 volte il fatturato annuale previsto di Cyence per il 2018, appena poco più di un anno dopo che Cyence è uscita dalla modalita’ stealth con un round di investimento da $40 milioni sottoscritto da NEA, IVP e Dowling Capital Partners. Al momento dell’acquisizione Cyence aveva circa 30 clienti.

 

Le startup tecnologiche sono interessate a sottoscrivere cyber

Oggi, le startup stanno continuando a crescere nel campo della cyber insurance con tecnologie innovative e nuove value proposition. Una delle più recenti startup lanciate nel settore della cyber insurance è Coalition con sede a San Francisco, una MGA per Swiss Re e Argo Group. Coalition distribuisce le sue polizze alle piccole e medie imprese attraverso un portale online per i broker al dettaglio. Fondata da ex co-fondatori o dirigenti di Lookout e CloudFlare, Coalition costruisce e fornisce alle aziende con cui collabora strumenti gratuiti di cybersecurity tra cui software anti-ransomware. L’opportunità di vendere cyber insurance alle piccole imprese è grande, non solo perché le piccole imprese non sarebbero in grado di sostenere le conseguenze finanziarie di un attacco informatico, ma anche a causa della crescita nel tempo degli attacchi. Ma è anche chiaro che molte piccole imprese non stanno ancora dando la priorità all’acquisto di cyber insurance. Un recente studio del Better Business Bureau stima che solo il 15% delle piccole imprese abbia un’assicurazione cyber.

 

CB Insights ha incontrato il CEO di Coalition Joshua Motta per discutere i fattori chiave nell’assicurare le PMI da una prospettiva di rischio informatico, collaborando con i broker al dettaglio e con il più ampio mercato della cyber insurance.

Ecco un estratto dell’intervista:

Sulla creazione di effetti del volano tra dati e copertura

Quando guardi alle PMI, ci sono cinque cose che le colpiscono davvero da una prospettiva di rischio cyber. Non sono tanto gli hacker, è soprattutto phishing, un attacco denial-of-service, un ransomware, è credential stuffing, e il fatto che usa vecchi software con vulnerabilità note.
Ci sono molti hacker che prendono di mira JPMorgan perché e’ JPMorgan. Un hacker di solito non prende di mira una particolare PMI a causa della sua attività, la bersaglia perché sta usando una macchina che l’hacker puo’ penetrare. In Coalition guardiamo alle stesse cose cui guardano gli hackers e cerchiamo di stabilire la probabilità che qualcuno verrà violato o no e, in base a ciò, stabiliremo il prezzo o determineremo se forniremo la copertura.
Lo diciamo all’assicurato e colleghiamo il rischio al prezzo. Se intraprendi azioni per ridurre il rischio, abbassiamo il prezzo o ti offriamo una copertura cyber insurance migliore. Prendi il caso del DDoS. Noi forniamo CloudFlare. Se attivi CloudFlare o un altro tool che abbiamo approvato, abbasseremo il periodo di carenza della garanzia business interruption da 8 o 12 ore a 1 ora. Lo teniamo in considerazione anche nel nostro processo di underwriting. Siamo in grado di rilevare se stai utilizzando una soluzione anti-DDoS. Se lo sei, non solo ti offriamo una copertura migliore, potremmo offrirti anche un prezzo migliore. Ed è qui che possiamo creare un volano dove migliore è la sicurezza, minore è il prezzo. Creiamo anche un volano in altre parti della nostra attività. Abbiamo insights di prim’ordine su quali danni stanno accadendo perché li paghiamo. Quindi vediamo quali controlli funzionano e quali no. Possiamo utilizzare tali dati per reinserirli nel nostro processo di sottoscrizione o creare migliori app di sicurezza per proteggere i nostri clienti.

 

Sulla creazione di una relazione con i broker

Per il modo in cui funziona oggi il business della cyber insurance, il broker deve fornire al proprio cliente un’application form, il cliente deve compilarlo, firmarlo, scansionarlo e rispedirlo al broker. Il broker quindi lo inoltra a sottoscrittori assicurativi diversi ei sottoscrittori devono aprire questa scansione PDF, esaminare i dati e decidere come valutarli. Una settimana dopo, restituiscono la loro quotazione. Se il cliente desidera apportare una modifica, i sottoscrittori devono rieseguire il processo e inviare un altro preventivo. È tutta friction.
Abbiamo preso un prodotto molto complicato e l’abbiamo distillato. Proveremo a preconfigurare le coperture che pensiamo abbiano senso, ma il broker ha il pieno controllo. Puo’ essere nell’ufficio del suo cliente e farlo. Dal punto di vista della gestione del rischio, stiamo dando ai broker informazioni sul loro rapporto tra quotazioni fatte e polizze sottoscritte, sui limiti medi e quanto successo hanno nell’aiutare i clienti a capire quale copertura dare. Ma diciamo per esempio che c’è di nuovo un’interruzione di Dyn, noi diremo anche al broker quali client usano Dyn e che quindi probabilmente dovrebbero contattarli. Se un cliente ha una vulnerabilità critica che noi rileviamo, la condivideremo anche con il broker e il contraente. Stiamo impostando la collaborazione con i broker come nostri partner di gestione del rischio.

 

Superare la sottoassicurazione delle piccole imprese attraverso la cyber-insurance

La consapevolezza sta crescendo molto rapidamente. Tra gli eventi ransomware e il phishing, il cyber-rischio tocca tutti. Penso che il vero problema sia che oggi una porzione enorme del mercato non è servita dai broker. Non è disponibile perché non ci sarebbero sufficienti margini di guadagno per i broker. Se si guarda al mercato, la maggior parte delle polizze cyber parte da $ 1 milione di copertura. Quando prendi in considerazione la loro commissione, e’ comprensibile che i broker non possano spendere grandi quantita’ di tempo per guadagnare poco o nulla. La conseguenza e’ un’esitazione a ridurre i limiti. Grazie alla nostra soluzione, questo problema viene risolto.

 

Sull’interazione tra cybersecurity e assicurazioni

Coalition e’ indipendente dal venditore. In ultima analisi, quello che veramente ci interessa e’ fornire soluzioni efficaci che riducono il rischio. Molto raramente ci vedrete raccomandare una compagnia di assicurazioni in particolare. Ciò di cui ci preoccupiamo fondamentalmente è quali funzionano meglio. Alcune delle app che costruiamo sono nostre. Altre non avrebbe senso ricrearle, e quindi utilizziamo le migliori gia’ presenti sul mercato. Vogliamo avere alcune app che possediamo e coinvolgere alcune terze parti in grado di completarle. Vogliamo che tutte queste app siano il volano per il miglioramento della sicurezza informatica dei nostri clienti, e legare il tutto con un programma assicurativo efficace.

 

Sulle forze di mercato nel più ampio settore della cyber insurance

Sul fronte normativo, penso che ci saranno alcune innovazioni positive. Sempre più spesso, i regolatori di alcune industrie stanno imponendo standard di cura per la sicurezza informatica, tra cui sempre più raccomandazioni o richieste di assicurazione. Penso che questo trend continuerà ad allargarsi e, a seguito della pressione su queste industrie, tutte le aziende di altri settori che lavorano con loro avranno la pressione per ottenere polizze di assicurazione cyber.
Una delle tendenze più sottovalutate nel cyber è l’evoluzione dei modelli di business nella criminalità informatica. La più grande evoluzione che abbiamo visto negli ultimi 12-24 mesi è il ransomware. Questo è un modello di business completamente nuovo che utilizzava i rischi e le minacce esistenti che tutti sapevamo esistessero, ma per scopi diversi. Nessuno può indovinare quale sarà la prossima cosa. Mentre il mercato matura per la criminalità informatica, la divisione del lavoro sta crescendo e i criminali informatici si stanno organizzando in modo più efficiente. Il fatto che ciò acceleri è la dimostrazione che consente maggiore attività criminale e riduce i costi della criminalità informatica. Ciò che questo significa per le aziende è che peggiorerà molto prima di migliorare.

 


Iscriviti alla nostra newsletter

Condividi il post