За последние несколько лет совокупный темп годового роста рынка страхования кибер-рисков составляет 25-50 %. Согласно Докладу Беттерли от 2015 г, сумма годовых страховых взносов равняется почти 2,75 миллиардам долларов США. Разрастается целая экосистема из страховщиков, посредников/ брокеров, аналитиков/ консультантов и сборщиков информации по рынку страхования, и все пытаются извлечь максимум выгоды из сложившейся благоприятной обстановки. В то время как крупные страховые корпорации пытаются решить проблемы страхования кибер-рисков, новички на рынке пытаются подорвать всю эту экосистему. И битва только началась.
Масса возможностей: средства измерения и анализа рисков
Управление рисками компании- наиболее важная задача руководителей высшего звена. На первом месте среди рисков стоит угроза разрушения бизнеса. Бизнес могут подорвать стихийные бедствия и политические передряги — угрозы, которые более понятны, чем кибер-риски. Согласно барометру рисков Allianz 2016, кибер-риски являются самыми вероятными причинами проблем в долгосрочном периоде.
Самые реальные риски в долгосрочном периоде (от 10 лет и более)
— Кибер-атаки: 33%
— Прерывание деятельности (в том числе вследствие сбоя поставок): 11%
— Терроризм: 9%
Кибер-атаки являются самой серьёзной угрозой бизнесу в долгосрочном периоде. Влияние новых и цифровых технологий также входит в десятку выявленных рисков. (Источник: Allianz Global Corporate & Specialty. Указано процентное соотношение ответов 824-х респондентов. Опрошенные указывали три самые серьёзные угрозы. Источник 2: Исследование самых серьёзных рисков в долгосрочном периоде, проведённое компаний Allianz в 2016 г; принимали участие 800 специалистов по управлению рисками из 40 стран).
С ростом количества стран-захватчиков и стран-изгоев, корпоративным специалистам по управлению рисками приходится менять позицию по отношению к рискам. Страхование от рисков, как правило — первый шаг. Когда есть много жаждущих покупателей, появляются много не менее жаждущих поставщиков.
Согласно данным корпорации AIG, сумма страховых взносов за 2015 г, полученных страховщиками, составила 1,6 миллиардов долларов. Согласно прогнозам компании Allianz, эта сумма составит 20 миллиардов к 2025 г. В среднем 24% предприятий США нуждаются в кибер-защите (Источник: Исследование Совета страховых агентов и брокеров, с участием 75 брокеров, сентябрь 2015 г).
Только приблизительно 40% компаний из списка Fortune 500 застраховали себя от кибер-рисков, и они даже не приобрели полный пакет защиты от всех возможных угроз. Существует более 18 000 средних по размеру компаний с совокупным доходом от 250 миллионов США, занятых в профессиональных услугах, розничных продажах и различных отраслях производства, которым требуется страхование от кибер-рисков.
Очевидно, что мощь рыночного спроса стимулирует быстрый рост рынка страхования, даже если новые игроки не обладают достаточным опытом. Неформальные беседы в офисах на тему кибер-защиты сходятся к заявлениям типа: «Никто в этом ничего не понимает, но это уже миллиардный рынок» и «это лучшее, что придумали со времён изобретения пожара.»
Корпоративные клиенты готовы купить страховку, но они не совсем понимают, от каких рисков защищаются. Согласно исследованию страховых выплат, проведённому NetDiligence в 2015 г, 48% опрошенных признались, что слабо разбираются в кибер-рисках, и поэтому они не могут адекватно от них защититься.
А 46% компаний вообще не обладают данными о цене подобных рисков. Главные вопросы, на который корпорации ищут ответы, это: (a) Что именно находится под угрозой – устойчивость функционирования бизнеса? Мы подвергнемся DDoS-атаке? Или нам грозит хищение интеллектуальной собственности? Хранится ли у нас финансовая, медицинская, личная информация клиентов? (b) Какова вероятность воплощения подобных угроз? и (с) Каковы возможные убытки?
Как и в случае с большинством развивающих областей, крайне необходима некая систематизация и схема оценки рисков. Схема, разработанная Национальным Институтом стандартов и технологий США (NIST)- всего лишь отправная точка, многое ещё надо сделать. В рамках подобной схемы, можно оптимизировать различные инструменты, технологии и практики для оценки кибер-рисков. Среди первых инноваций должно быть предложение матрицы оценки рисков и попытка стать поставщиком FICO, разработавшим рейтинг кредитоспособности потенциального заёмщика в США (FICO score). Среди стартапов, которые ухватились за разработку матрицы риска- Security Scorecard, BitSight и Cyence. Компании, специализирующиеся на управлении рисками и обеспечении соответствия нормативным требованиям, вклинились на рынок и предлагают инструменты по управлению рисками. Начинается золотая лихорадка.
Возможность: двигатель торговли страховками
Несмотря на огромный спрос, страховщикам приходится изворачиваться, чтобы грамотно подать своё предложение, и определить сколько за него просить. На столь молодом рынке сложно прогнозировать коэффициент убытков и рентабельность продукции, не говоря уже об определении суммы, необходимой для защиты от будущих кибер-катастроф. На основе таблицы страховых выплат за последние сто лет можно определить размер страховых премий, и предсказать землетрясения и наводнения. Но откуда компаниям типа AIG и Allianz взять подобную аналитику для кибер-рисков? Практически неоткуда.
На рынок пришла компания Symantec и стремится стать основным игроком. По словам Роксаны Диволь — генерального директора/ первого вице-президента, главы отдела веб-безопасности и куратора проекта по страхованию от кибер-рисков в компании Symantec — они засекают 800 тысяч событий информационной безопасности каждую секунду. На компанию работают статистики, которые собирают данные и за прошедшие периоды, и в режиме реального времени, так, чтобы создавать новые продукты, отвечающие конкретным нуждам потребителей.
Очень сложно предугадать, в какой форме, в каком масштабе и когда появится кибер-угроза. Как эти угрозы повлияют на суммы выплат по страховкам и как эти риски будут эволюционировать? Зачастую мы вообще не знаем, что происходит — взять хотя бы инциденты за 2016 г. «Прочие ошибки» и «Остальные инциденты» составляют почти 30% всех инцидентов.
Как страховые компании оценивают свой «максимальный вероятный ущерб» в случае с кибер- рисками на макроуровне? А когда затронуто несколько сторон, как определить ответственность первых / третьих сторон? Если я переправлю вредоносный файл другой стороне, не осознавая угрозу, то подвергаюсь ли я сам риску? Временной промежуток для подачи требования о возмещении убытка, тоже может иметь значение для застрахованного. Один эксперт жаловался, что мы понимаем, что разразился пожар, когда видим дым. А что касается кибер-атак? Мы можем и не подозревать об имевшей место атаке в течение более 300 дней.
Каким же образом специалист по управлению рисками может применить данную логику при выборе оптимального объёма страховой защиты, определении суммы страхового взноса и исключений из страхового покрытия? Какие из страховых претензий можно будет отклонить? Каковы будут последствия атаки государственного масштаба (Северная Корея/ Сони)? Согласно исследованию страхования кибер-рисков Ганноверского исследовательского центра (ноябрь 2014), у половины страховых компаний нет специалистов по кибер-рискам.
Даже посредникам и брокерам приходится нелегко. Проведя исследование рынка страхования кибер-рисков, Совет страховых агентов и брокеров пришёл к выводу, что 71% брокеров не понимает, что именно страхуется. Значит брокеры действуют впотьмах.
Совет также сообщает: «Многое зависит от личной способности брокера оценить подводные камни и тонкости страхования и грамотно подать информацию разным клиентам, чьи интересы очень сильно варьируются. Основными проблемами являются отсутствие стандартизированной терминологии и сложность определения исключений из страховки.»
Если мы решим, что достаточно страхования общекоммерческой ответственности (CGL) или ответственности директоров и высших должностных лиц (D & O), то нас может ожидать серьёзный подвох. Когда компания DSW, торгующая обувью, подверглась хакерской атаке, страховая компания AIG попыталась отклонить претензию, отнеся их потери к исключениям из полиса. Однако, после тяжбы, суд присудил выплатить страховую сумму DSW.
Проще говоря, корпорациям в ближайшем будущем надо будет предоставить более простые инструменты для разъяснения следующих вопросов: а) что покрывает их страховка, как она соотносится с рисками бизнеса и каковы исключения; b) кто из страховщиков самый опытный в данной сфере; с) и как можно снизить размер страхового взноса? С течением времени, может появиться онлайн биржа страхового рынка.
Возможность: Важность инструментов и технологий
Страховщики не придают большого значения использованию инструментов и средств обеспечения безопасности. Согласно данным Ганноверского исследовательского центра от ноября 2014 г, наблюдается интересная тенденция: самой важной считается информация о философии управления рисками, а на втором месте- характер хранимой информации.
При страховании кибер-рисков, какая информация стоит на первом месте по важности? (N=73)
— Философия компании в сфере управления рисками: 25%
— Характер хранимой информации/ архивных данных: 23%
— Тесты безопасности и аудиторская информация: 16%
— Обновления защиты данных в сети/межсетевой защиты: 15%
— Собственные/ сторонние ИТ-сервисы: 5%
— Объем хранимой информации/ архивных данных: 4%
— Соблюдение нормативных требований и совместимость со стандартом безопасности PCI: 4%
— Шифрование данных: 3%
— Прочая: 4%
Место, занимаемое информацией по обновлениям защиты данных в сети/межсетевой защиты просто смешно, и, к сожалению, данным по шифрованию отведено совсем малозначительное место. Это должно поменяться. По мере того как страховые компании все больше внимания уделяют значение различных технологий по защите информации, могут и меняться критерии страхования кибер-рисков. В Силиконовой долине должны понимать, что технологии решают не все проблемы. Важны ещё люди, практики и политика.
Может пройти много времени пока мы поймём, как утопична мечта о незримой работе систем безопасности, волшебным образом защищающей нас от всех бед, вне зависимости от наших просчётов, слабых мест и особенностей. Когда это произойдёт, нам не нужно будет страхование от кибер- рисков. А пока, 19-летний вундеркинд собирается подорвать 20-миллиардный рынок.
Автор: GVA