Mimo rosnącego znaczenia ryzyk cybernetycznych, nabywcy ubezpieczeń nie rozumieją w pełni znaczenia ochrony. Jednocześnie ubezpieczyciele zachowują ostrożność co do udzielania ochrony na dużą skalę.
Powody braku odpowiedniości między źródłem organicznego wzrostu dla ubezpieczycieli a tym, co mogłoby stać się zasadniczym narzędziem wypełnienia potencjalnie dużej luki w ochronie ryzyka wyszczególniono w raporcie Deloitte zatytułowanym „Złamanie kodu cyberubezpieczeń”. Raport ostrzega, że jeśli ochrona przed cyberryzykami nadal będzie spostrzegana przez wielu nabywców jako „niewystarczająca, niepewna, nadmiernie skomplikowana i zbyt kosztowna”, branża ubezpieczeniowa może przegrać z alternatywnymi rynkami, które gotowe będą wypełnić powstałą próżnię.
Dla zademonstrowania ogromnego potencjału wzrostu cyberubezpieczeń na rynku tradycyjnym Deloitte ujawnia, że ta linia generuje w USA zaledwie 1,5–3 mld dol. składek rocznie, ułamek składki przypisanej przez amerykańskich ubezpieczycieli w 2015 r., wynoszącej 505,8 mld dol. Co więcej, według prognoz Allianz Global Corporate Specialty, globalny rynek cyberubezpieczeń może do 2025 r. osiągnąć 20 mld dol.
Wiele firm „musi jeszcze nabyć cyberpolisę”, a jeśli już ją nabyły, „na ogół okazują się niedoubezpieczone” – podkreśla Deloitte, posiłkując się ankietą przeprowadzoną przez Council of Insurance Agents & Brokers (CIAB), która ujawnia, że według stanu na październik 2016 r. zaledwie 29% amerykańskich firm nabyło cyberpolisę.
Raport Deloitte omawia przeszkody stojące na drodze rozwoju rynku cyberubezpieczeń. Z perspektywy ubezpieczycieli jest to chociażby brak danych historycznych, utrudniający konstruowanie modeli predyktywnych, wynikający z tego, że 1. cyberubezpieczenia sprzedawane są od niedawna, więc ubezpieczyciele nie zdążyli wygenerować własnych danych; 2. brak jest scentralizowanego źródła informacji o zdarzeniach; 3. wiele cyberataków pozostaje niezgłoszonych lub niewykrytych. Inne przeszkody to stale ewoluujące cele, strategie i techniki cyberataków, obawa przed potencjalną nagłą kumulacją szkód, a także wąska oferta ochrony wynikająca z zawężonego spostrzegania cyberryzyk, z pominięciem bardziej złożonych.
Natomiast z perspektywy nabywców przeszkodą jest to, że nabywcy często nie rozumieją cyberryzyk albo opcji ubezpieczeniowych, nie potrafią określić swoich potrzeb i korzyści wynikających z transferu ryzyka, oraz to cyberryzyka mogą być włączone w zakres ochrony rozmaitych produktów (polis odpowiedzialności cywilnej, zawodowej, majątkowych, przerw w działalności itd.), co komplikuje ocenę potrzeb, dopasowanie polisy i porównywanie alternatywnych ofert. Oprócz tego przeszkadza brak standaryzacji cyberpolis (warunki ubezpieczenia i wyłączenia odpowiedzialności są różne u różnych ubezpieczycieli) oraz brak jednolitych uregulowań prawnych i ujednoliconego języka polis.
Opcje alternatywne wobec cyberpolis na tradycyjnym rynku, na które uczula ubezpieczycieli raport Deloitte, to obligacje cybernetyczne służące transferowi ryzyka na rynek kapitałowy, albo zawiązywanie się grup małych i średnich firm w celu wspólnego zatrzymania cyberyryzyka.
AC, am