Capital Requirements for Cyber Risk and Cyber Risk Insurance: An Analysis of Solvency II, the U.S. Risk-Based Capital Standards, and the Swiss Solvency Test

[kwoongbae]

• https://www.tandfonline.com/doi/abs/10.1080/10920277.2019.1641416
• Eling, M., & Schnell, W. (2020).
• Citation: 26

[kwoongbae]

1. Introduction

Cyber risk와 관련된 규제 모형 연구 실태는 많이 진행되지는 않음.

• IT에 대한 의존도가 높아지면서 cyber risk는 great threat가 되었음.
• 사이버 보험 시장에서 premium은 더 높아질 것으로 예상되지만, 규제 모형 내 cyber risk와 관련된 연구는 별로 없음.
• 하지만 최근들어 cyber risk와 관련된 연구가 진행되기 시작하였음.

본 논문의 contributions

• 본 연구는 (1) 규제모형이 cyber risk를 적절하게 잘 고려하고 있는지, (2) 그렇지 않다면 어떻게 해야하는지를 분석하였음
• Solvency 2(SII), U.S. Risk-Based Capital (RBC) Capital, 그리고 Swiss Solvency Test (SST) 세가지 규제모형에 대해서 조사를 함.

간략한 결과 요약

• cyber risk에 대한 위험도가 규제모형에 적절하게 반영되어 있지 않아 과소평가하고 있음을 발견.
• policy recommendations for how regulatory models must be adapted to cyber-specific characteristics.

[kwoongbae]

2. Cyber Risk: Definition and Properties

• Operational cyber risk와 Underwriting cyber risk 분류의 필요성

운영리스크 관점에서의 사이버리스크

• 보험사 비즈니스 모델, IT 기관, 고용자의 교육상태, 다른 사이버리스크 관리정책 등에 영향을 받음.
• company-specific (회사별 분석 필요)

언더라이팅 관점에서의 사이버리스크

• 단일노출 pool
• 비대칭 정보 존재, 이런 경우 보험사는 보험한도를 낮게 설정하고 공제액 높게 설정

  공제액이란?

  • 자기부담금
  • 보험사고가 발생하게 되면 피보험자(보험계약자)는 (전체 금액-공제액) 만큼의 보험금을 지급받게 됨.
  • https://m.blog.naver.com/ihl5505/220385604020

사이버리스크 분석 시 꼬리분포의 중요성

• 규제모형에서 손실 분포를 lognormal만 고려해서 추정하는 경우 발생. 이는 꼬리분포를 고려하지 않은 것임.
• cyber loss는 다른 손실분포보다 높은 왜도와 첨도를 가지며, 무거운 꼬리 분포가 사이버리스크의 핵심일 수 있음.

사이버리스크를 분석할 때는 아래의 주의사항이 존재함.

• 먼저, dependency를 고려해야 함 (interconnectedness, same tech and software)
• 리스크들 간의 꼬리 상관관계 (tail-correlation)를 고려할 수 있는 적절한 리스크 모델 필요
• 미래를 예측해야 하므로, 과거에 치중해서는 안됨.

heavy tail을 고려하게 될 때 발생할 수 있는 challenges

• regulatory risk measures based on infinite first or second moments are not well defined.
• standard regulatory models implicitly incorporate some risk reduction expected from portfolio diversification (사이버리스크 특성상, 위험분산이 잘 안되기 때문에 보험사의 인센티브를 감소시킬 수 있음.)
• regulator must consider the linke between operational and underwriting cyber risk.

[kwoongbae]

3. Data and Methodology

[kwoongbae]

4. Operational Cyber Risk - (1) Solvency 2 Case

• SII에서 명시한 솔벤시 요구자본(scr)과 실제 데이터셋 내 보험사 데이터들의 cyber losses들을 비교하였음.

SII에서는 다음과 같이 scr를 정의하였음.

• $scr_{op} = \max[0.3*bscr, bc]$ (bc = base charge)
• $bscr = scr - scr_{op}$
• $bc = \max(s_p v_p, s_r v_r)$

위 식을 이용해서 계산한 값 ($scr_{op}$) vs 실제 값 (cyber losses)을 비교했음.

• 그 결과, 88개 중 3개가 over되었음.
• 베이지안 추론을 하게 되면 임의의 cyber risk 손실값이 $scr_{op}$를 over할 확률이 0.25%가 됨.
• $P(Z> scr{op}) = P(Z>scr{op} | Z>0) * P(Z>0)$
• 보험사 포함해서 금융기관 전부를 대상으로 추론하면 over될 확률값은 더 높아짐 (0.5%)
• 두 결과 모두 사이버 리스크를 감당하기 위해 운영 위험 자본의 상당 부분이 필요하다는 것을 시사함.
• 또한, 현 SII는 새로운 사이버위험을 직면하기에 불충분하다고 결론지었음.

근데 여기서 왜 SII ratio = 2.11을 언급했는지?

• Solvency ratio란, 지급능력비율로 기업의 장기 채무 지급 능력을 평가하는 비율을 말함.

Operational Cyber Risk - (2, 3) U.S. RBC & Swiss Solvency Test(SST)

• 둘 다 operational risk를 정량적으로 평가하고 있지는 않음.
• 하지만 SST는 정성적으로 평가하고 있기는 함. (보험사가 운영위험노출을 자체평가하여 보고하는 방식으로..)

[kwoongbae]

• SII와 U.S. RBC는 volume 및 factor 기반의 접근을 하는 반면, SST는 확률적 모델을 사용함.

5. Underwriting Cyber Risk - (1) Solvency II

• QIS5가 나오기 전에는 $scr = VaR_{99.5}(Z) - v$를 이용해서 SCR을 계산함.
• 위 식은 손실 분포를 lognormal로 가정한 결과임.

aggregate scr구하는 과정

• 변동 계수 $s_i$를 계산 ($s_i = Var[X] / E[X]$)
  • 각 리스크 $i$에 대해 $s_i$를 구한 후, aggregate하여 $s$를 계산.
• volume measure인 $v_i$를 계산 ($v_i = b^{-1}* E[X]$)
  • 각 리스크 $i$에 대해 $v_i$를 구한 후, aggregate하여 $v$를 계산.
• 최종 scr 산출. ($scr = 3sv$) (EC 2015, article 115)