Cristian FUGACIU, CEO, MARSH Romania
Gradul de penetrare al asigurarilor cibernetice, in Romania, este inca intr-un stadiu incipient. Hackerii sunt destul de inventivi, iar faptul ca la noi nu au existat foarte multe cazuri nu inseamna ca riscul nu este foarte mare, mai ales in aceasta perioada.
XPRIMM: Declansarea pandemiei de COVID-19 a afectat majoritatea domeniilor de activitate. Cat de pregatite au fost companiile din Romania pentru o situatie de criza?
Cristian FUGACIU: Daca ne referim strict la aceasta pandemie, nu cred ca putem spune ca au fost foarte pregatite, ca se asteptau la un scenariu de o asemenea dimensiune, lucru de altfel constatat in toata lumea. Daca ne referim la pregatirea pentru situatii de criza, in general, as spune ca gradul de pregatire al companiilor in ansamblu, dar si al celor active in industria de asigurari, variaza. Noi, de exemplu, avem un plan de business continuity management, creat la nivel global, care a fost adaptat si implementat in Romania. Deci, din punctul acesta de vedere, noi, la MARSH Romania, am fost foarte bine pregatiti.
De asemenea, din ce am vazut la partenerii nostri, unii au reusit sa se replieze foarte rapid si sa isi desfasoare activitatea remote, pentru alte companii adaptarea a durat ceva mai mult, insa, in general, nu au existat situatii dramatice, a existat un anumit grad de flexibilitate, activitatea continuand cel putin in anumite industrii.
Insa, daca am vorbi de un alt tip de criza, cum ar fi un cutremur sever, sau alte dezastre care s-ar solda si cu pagube materiale sau pierderi de vieti omenesti, consider ca mai este mult de lucru. Companiile si autoritatile ar trebui sa fie mai bine pregatite. Pentru situatia actuala, senzatia este ca lucrurile s-au adaptat din mers, nu intotdeauna dupa un plan; in multe situatii - ad-hoc, pe principiul vazand si facand.
Observam acum, in criza, ca apar elemente la care companiile si autoritatile nu s-au gandit initial. De exemplu, descoperim ca suntem dependenti de producatorii de masti sau de cei care vand si produc computere. Un exemplu adaptat la COVID: in momentul in care majoritatea companiilor a decis sa lucreze de acasa, s-a creat o criza de laptopuri - multe, produse in China. Astfel de situatii ne arata ca este necesar ca firmele sa fie mult mai atente si sa aiba un plan si masuri stabilite pentru astfel de momente. Pot spune ca pe noi existenta acestui plan de business continuity management ne-a ajutat foarte mult. Trecerea la work-from-home a fost rapida, din momentul in care am luat decizia. Din perspectiva operationala, unicul impact a fost renuntarea la corespondenta in format fizic. Altfel, singurul impact operational pe care l-au simtit clientii a fost transformarea intalnirilor fata in fata in intalniri online.
XPRIMM: Aceasta perioada aduce o serie de riscuri specifice asupra carora companiile ar trebui sa fie atente. Care sunt principalele riscuri in aceasta situatie?
C. F.: Consider ca ne referim la doua riscuri principale care au un impact generalizat la nivelul intregii societati, cat si la nivelul economieissi al populatiei. In aceste situatii de criza, angajatii, oamenii sunt cei mai importanti. Iar in aceasta situatie, de pandemie, apar o serie de riscuri legate de izolarea sociala.
Cel de-al doilea este legat de partea de cyber, unde este clar ca, avand in vedere expunerea mult mai mare in mediul online, cu transfer de date, si riscul este din ce in ce mai mare. Acest lucru remote creeaza si un mediu propice pentru cei care au aceasta "indeletnicire"- putem presupune ca se pot asculta conversatii, se pot controla transferurile de date, se pot fura date personale.
De altfel, recent, o mare banca a fost tinta unui atac, un hacker cerand racumparare pentru baza de date cu clienti. Este posibil sa existe mai multe astfel de situatii si sa nu fie facute publice. Evident, si inainte existau atacuri cibernetice, dar din care cei atacati isi puteau reveni mai repede. In prezent, crescand masiv dependenta de online, expunerea este mai mare, iar orice perturbare poate avea efecte negative majore.
Noi atentionam de multa vreme cu privire la diversificarea si accentuarea riscurilor cibernetice. Venim si cu solutii pentru companii, atat de diminuare a acestor riscuri prin masuri de risc management, cat si de transfer prin intermediul asigurarii.
Intotdeauna am afirmat ca evolutia tehnologica are efecte benefice care contribuie la dezvoltare. Totusi, trebuie sa tinem cont ca noile tehnologii aduc cu ele si dezvoltarea si diversificarea proportionala a riscurilor cibernetice.
Contextul COVID-19 a determinat cea mai mare schimbare de paradigma in HR din istorie. Intr-un timp scurt, milioane de angajati au migrat catre work-from-home. Pastrand proportiile, putem spune ca asistam la cea mai mare crestere a expunerii companiilor la incidente ciberentice din istorie. Infractorii cibernetici exploateaza activ criza COVID-19. Companiile trebuie sa ia in considerare faptul ca implementarea work-from-home s-a realizat intr-un timp foarte scurt si cele mai multe organizatii nu erau pregatite pentru o schimbare de asemenea anvergura, pe termen lung.
Mai mult, echipele de securitate cibernetica si din departamentele IT simt presiunea unui volum imens de solictari intr-un timp scurt si in conditii de stres. Acest lucru vulnerabilizeaza companiile in fata atacurilor.
Nu in ultimul rand, unele dintre cele mai periculoase atacuri cibernetice au loc pe fondul neglijentei angajatilor sau actiunilor intreprinse de acestia cu rea intentie. In aceasta perioada, chiar si angajatii constiinciosi se pot abate de la proceduri. (Utilizarea device-urilor personale pentru a prelucra informatii sensibile sau a retelelor nesecurizate reprezinta doar un exemplu). In plus, masurile de control si securitate sunt o provocare pentru companii in conditii de work-from-home, cand perimetrul cibernetic al companiilor s-a extins.
Urmeaza o perioada in care companiile trebuie sa se adapteze si sa accepte noua realitate. Masurile de protectie trebuie adaptate in contextul in care work-from-home va deveni o componenta fireasca a activitatii in urmatoarea perioada. Acest lucru, suprapus cu o criza economica si masuri de restructurare la nivelul organizatiilor, amplifica si mai mult riscurile cibernetice. Sa ne imaginam doar ce inseamna, din perspectiva infromatiilor sensibile, un angajat nemultumit, care lucreaza de acasa si in organizatia sa sunt diminuate veniturile angajatilor sau incepe procedura de restructurare.
In aceleasi timp, COVID-19 are un efect de amplificare pentru riscurile clasice care acum devin prevalente: credit comercial, raspundere manageriala (D&O) si raspunderi profesionale (ex. malpraxis).
XPRIMM: Cum arata, in prezent, segmentul asigurarilor de tip cyber? Sunt companiile asigurate pentru astfel de riscuri?
C. F.: Din pacate, gradul de penetrare al asigurarilor cibernetice, in Romania, este inca intr-un stadiu incipient, cu toate ca, in piata, sunt produse dedicate care sunt acoperitoare. Exista la nivelul companiilor multinationale, in special de la sediile centrale, o astfel de acoperire, dar chiar si acolo penetrarea este relativ mica. La nivelul companiilor din Romania, interesul si nivelul de intelegere al acestui risc sunt foarte limitate, iar, in consecinta, numarul de polite existente este foarte mic. Ca estimare, pornind de la faptul ca noi, ca lider al pietei, cu parteneri importanti in portofoliu, avem un numar redus de polite, estimez ca numarul politelor locale este de ordinul zecilor.
De altfel, pe o estimare pe care noi am facut-o acum aproximativ un an, apreciem ca, pana in 2025, piata va ajunge la aproximativ 25 mil. EUR prime subscrise in Romania. In prezent, insa, vorbim de o penetrare foarte mica, din cauza gradului scazut de intelegere a riscului respectiv. Practic, vorbim de un risc relativ nou aparut pe "harta amenintarilor". Mai exista si abordarea companiilor care considera ca protectia intra in sarcina departamentelor de IT, lucru adevarat doar pana intr-un anumit punct. Hackerii sunt destul de inventivi, iar faptul ca la noi nu au existat foarte multe cazuri nu inseamna ca riscul nu este foarte mare, mai ales in aceasta perioada. Speram sa nu se intample nimic semnificativ in perioada aceasta, dar exista riscuri chiar la nivel national - de exemplu, companiile din infrastructura critica. In plus, un aspect semnificativ pe care companiile trebuie sa il ia in calcul in ceea ce priveste riscurile cibernetice este reprezentat de calculul impactului financiar pe care un incident cibernetic l-ar avea asupra companiei. Este fundamental ca orice companie sa elaboreze strategia de cyber risk management pornind de la acest calcul.
Din perspectiva produselor, noi recomandam companiilor sa ia in calcul trei aspecte atunci cand iau in considerare o asigurare cibernetica: conditii de asigurare clare si simple, limite de acoperire adecvate si acoperire neconditionata de adoptarea unor standarde tehnice.
XPRIMM: Cum poate fi acoperit riscul legat de angajati, de oameni?
C. F.: Ne referim aici la doua aspecte. Primul este cel de imbolnavire fizica, de COVID, care se poate acoperi prin politele de sanatate si polite de viata. Al doilea este legat de aspectul psihologic. Aici, sunt disponibile servicii specializate de wellbeing, de consultanta, care adreseaza tocmai aceasta nevoie. Exista companii care ofera, prin medici, asistenta de specialitate, iar asta se poate contracta fie de catre companii, ca un serviciu separat, fie poate fi inclus in cadrul unei polite de asigurare.
Din perspectiva beneficiilor de tip EAP (Employee Assistance Programs), Mercer Marsh Benefits asigura companiilor acces la acest tip de beneficiu care a fost implementat de multe dintre companiile din Romania. Acum, am remarcat interesul crescut al multora dintre companii pentru implementarea acestuia. In acelasi timp, numarul de accesari pentru companiile care il ofereau deja a crescut in aceasta perioada.
Cat priveste asigurarile de sanatate cu acoperire COVID-19, ele reprezinta un pilon de protectie odata cu debutul masurilor de relaxare a restrictiilor din Romania. Starea de urgenta se incheie, dar, din pacate, riscurile legate de COVID-19 raman. Asadar, e nevoie sa tinem cont ca modul si mediul de lucru nu vor mai fi la fel. In acest context, companiile pot completa masurile de protectie a angajatilor cu acordarea unei asigurari de sanatate cu acoperire COVID-19. Pe langa protectia financiara acordata angajatilor si faptul ca poate fi acordata in conditii de deductibilitate, existenta unei astfel de asigurari la nivelul unei companii aduce si un plus de confort psihic pentru angajati.
XPRIMM: Cum credeti ca va schimba aceasta perioada modul in care clientii privesc asigurarile? Vor deveni oamenii mai constienti de riscuri? Se vor asigura mai mult?
C.F.: Efectul firesc acesta ar trebui sa fie. Pentru ca, in asemenea perioade, se intampla lucrurile altfel decat in mod uzual si putem observa adevaratele efectele ale unor anumite riscuri. Ce se va intampla propriu-zis depinde de o serie de factori.
Asadar, cei care nu au anumite riscuri protejate, inclusiv prin asigurare, ar putea avea pierderi financiare care ii vor afecta si, in mod firesc, ar trebui ca ei sa se preocupe mai mult de acele riscuri.
Insa, exista doua elemente care ar putea sa ii impiedice sa faca acest lucru: in primul rand, memoria este scurta; in al doilea rand, daca aceasta criza se va amplifica, e posibil sa existe o lipsa de resurse financiare pentru asigurari.
Recomandarea noastra catre companii este sa priveasca asigurarea ca pe o investitie esentiala pentru protectia business-urilor lor si nu ca pe un cost. Daca o companie plateste o asigurare, practic, in cazul in care renunta la acea prima, poate sa isi puna in pericol tot business-ul. Deci, economisind o prima de asigurare mica, ea risca sa isi pericliteze tot business-ul. Iar in perioada aceasta de criza, care mai mult ca sigur va urma, capitalul este foarte important, iar companiile care nu sunt protejate si sufera daune si nu isi pot finanta recuperarea in urma acestor daune ar putea fi nevoite sa iasa de pe piata. Competitia va fi mult mai dura, resursele financiare vor fi mai putine, bancile cu siguranta vor fi mai reticente sa finanteze, iar costurile vor fi probabil mai mari. Deci, o companie ar trebui sa fie acum foarte atenta cum se protejeaza ea insasi, folosind asigurarea ca mijloc de finantare.
XPRIMM: Care a fost evolutia afacerilor MARSH in ultima perioada si care sunt perspectivele pentru 2020?
C. F.: Noi realizam estimari saptamanale, pe baza informatiilor din piata, din economie, si putem spune ca, in acest moment, nu vedem un impact negativ major in business-ul nostru. Companiile nu renunta la asigurari, foarte putine cer anumite re-esalonari sau amanari pentru plata primelor de asigurare, deci, in momentul de fata, nu vedem o schimbare de abordare. Nu este exclus ca ea sa apara, dar aceasta depinde de cum va evolua situatia din perspectiva economica. Daca iesirea din izolare si reluarea activitatii se produc dupa 15 mai, exista sanse mari ca lucrurile sa isi revina relativ bine, nu fara impact negativ, insa, probabil, unul mai redus fata de continuarea starii de urgenta.
In schimb, ceea ce este foarte important este ca exista si oportunitati de business pentru noi in perioada aceasta, atat din perspectiva programelor de asigurare pentru companii, cat si pe partea de risk management si consultanta. Consideram ca organizatiile vor fi mai deschise spre un astfel de dialog si se vor uita cu mai multa atentie catre riscurile la care sunt expuse. Exista si anumite linii de asigurare care acopera riscuri crescute in perioada aceasta - cyber este un exemplu, asigurarea pentru angajati, asigurarea pentru raspunderea managerilor, alte diverse tipuri de raspunderi. Practic, orice tip de asigurare ar trebui sa fie tratat cu mult mai multa atentie si responsabilitate din partea companiilor, pentru ca reprezinta un mijloc de finantare a continuarii activitatii companiilor in cazul unui eveniment nedorit.
Fara o legatura cu situatia COVID-19, in ultima perioada s-au inregistrat cresteri ale numarului de incendii, iar noi ne-am implicat asistandu-ne clientii pe zona de daune. Indiferent de fazele ciclului economic in care ne aflam, chiar si in conditii de crestere accelerata, o dauna de zeci de milioane creeaza probleme de continuare a activitatii. Orice tip de asigurare are menirea sa protejeze companiile. Si la nivel individual, daca ne uitam, oamenii au case, au masini, dar, de cele mai multe ori, aleg sa isi faca doar RCA-ul, pentru ca e obligatoriu.
XPRIMM: Revenind la intentia MARSH de a lansa produse proprii, ASF autorizand recent aceasta actiune, care sunt planurile?
C. F.: Noi facem acest lucru dintotdeauna: cream si adaptam produse care sa raspunda nevoilor reale ale clientilor. In urma aparitiei IDD, s-a creat si aceasta posibilitate legala, formala, ca brokerii sa fie si creatori de produse, ceea ce noi, in parteneriat cu asiguratorii, am facut dintotdeauna. Principiul este ca, pornind de la nevoile clientilor, cream produse care sa raspunda strict acelor nevoi. Incercam sa avem o alternativa la modul actual de functionare a pietei, in care exista produse de asigurare disponibile, dar putina flexibilitate de adaptare. Dorim sa continuam sa inversam putin procesul, sa cream produse, pornind de la nevoile si riscurile la care sunt expusi clientii nostri, nu de la produse standard care exista deja. Consideram ca aceasta este una dintre caile de crestere a pietei.
XPRIMM: Putem afirma, in incheiere, ca orice criza are un numar de oportunitati?
C. F.: Orice criza vine cu oportunitati. Este esential sa fim pregatiti si sa le fructificam intr-o maniera inteligenta. Imi place sa cred ca noi le-am identificat pe cele actuale si ca vom identifica si altele. Important este sa nu privim cu teama o criza sau efectele unui risc. Este esential sa avem atitudinea potrivita, sa stim cum sa reactionam si sa ne adaptam contextului. Consider ca, la MARSH, facem asta acum atat din perspectiva noastra ca organizatie, dar, cel mai important, si in beneficiul clientilor nostri.
Editor: Mihaela CIRCU | Publicat pe 18.05.2020 | 10142 vizualizari