Stress testing para riscos cibernéticos em seguradoras
Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA)A Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA) publicou, em julho de 2023, um documento de princípios metodológicos para a aplicação de testes de estresse ao risco cibernético nas instituições de seguros. O documento consiste num conjunto de normas teóricas e práticas, orientações e abordagens, e destina-se a apoiar a concepção de futuros testes de estresse dos seguros centrados na ciber-resiliência e no risco de subscrição cibernética.
Insurance cyber risk stress testing
Resumo executivo
A EIOPA publicou um documento de princípios metodológicos para a aplicação de testes de estresse ao risco cibernético nas instituições de seguros. Com esta publicação, a EIOPA pretende fornecer a base para a avaliação da resiliência das seguradoras em cenários de incidentes cibernéticos graves, centrando-se nas consequências financeiras de tais cenários. Os princípios metodológicos são desenvolvidos com base na definição de dois tipos de risco cibernético: o risco de resiliência cibernética e o risco de subscrição cibernética.
Conteúdo principal
Com base na definição dos riscos, o documento define diferentes cenários de incidentes cibernéticos aplicáveis, consoante o tipo de risco. Esta diferenciação permite detalhar posteriormente, para cada tipo de risco, os possíveis tipos de impactos que a instituição sofreria se o cenário se concretizasse.
- O risco de ciber-resiliência caracteriza um ataque direto à entidade. O impacto de um ciberataque resultante do risco de ciber-resiliência pode levar a um aumento dos custos operacionais, de deteção e de recuperação. Os cenários possíveis que podem dar origem a este tipo de risco incluem um corte de energia, ransomware, uma falha na nuvem, uma negação de serviço e uma violação de dados. Existem métricas operacionais e financeiras para avaliar e medir o grau de resiliência cibernética e o seu impacto na seguradora. No entanto, estas métricas ainda estão dando os primeiros passos e espera-se que venham a ser desenvolvidas no futuro. O documento apresenta também as principais aplicações práticas dos impactos do risco de ciber-resiliência.
- O risco de subscrição cibernética exemplifica uma reclamação contra a entidade por parte de um cliente por um incidente cibernético materializado. O impacto de um ciberataque resultante deste tipo de risco pode levar a um aumento da frequência das reclamações contra a empresa, bem como a custos mais elevados. Os cenários possíveis que podem dar origem a este risco incluem uma falha de energia, uma falha na nuvem e ransomware. Estão disponíveis métricas para fornecer uma visão dos principais fatores que geram estes impactos nos cenários descritos no balanço, no capital próprio (equity) e no requisito de capital de solvência (SCR). O documento inclui também aplicações práticas dos impactos do risco de subscrição cibernética.
Acessar o documento em Stress testing para riscos cibernéticos em seguradoras (somente disponível em Inglês).