cyber insuranceДля  положительного развития ситуации воруг киберрисков необходимы шаги, которые страховщики должны предпринять для управления ответственностью в области кибербезопасности и обеспечения соблюдения страхователями законов, регулирующих практику кибербезопасности.


Стоимость инцидентов в области кибербезопасности для страховщиков продолжает стремительно расти, отражая быстрые темпы и растущую изощренность кибератак. Финансовые затраты также беспрецедентны: согласно исследованию McKinsey, в ближайшие пять-семь лет риски в области кибербезопасности для глобальной экономики могут составить 21 триллион долларов.

Претензии, которые предъявляются страховщикам за прекращение деятельности и компенсацию затрат на восстановление уже существенны. После атаки вымогателей NotPetya в 2017 году Zurich American получил претензию в $100 млн от международного продовольственного конгломерата Mondelez, а American International Group (AIG) - $1,3 млрд от фармацевтического гиганта Merck. В обоих случаях страховщики отказали в покрытии на основании исключения «акта войны», и в ходе продолжающегося судебного разбирательства будет определено, подлежат ли кибератаки, совершенные национальным государством или связанными с государством субъектами, этому исключению.

Независимо от того, какое суды вынесут решение, эти два знаковых случая позволяют предположить, что страховщики могут ожидать в будущем дорогостоящие требования от корпоративных и других институциональных жертв кибератак. В дополнение к претензиям по поводу прерывания бизнеса и затрат на восстановление, страховщики также могут столкнуться с расходами на дорогостоящие судебные процессы и с требованиями по покрытию административных штрафов, связанных с кибератаками.

Например, в соответствии с Общим законом о защите данных Европейского союза (GDPR) организации могут быть оштрафованы на сумму до 4% их годового глобального дохода за нарушения, в том числе за нарушение обязанности обеспечивать разумную защиту личной идентификационной информации. После нарушения данных в 2018 году British Airways была оштрафована на более чем $237 млн Управлением комиссара по информации Великобритании за нарушение требований к безопасности данных GDPR Великобритании. Аналогичным образом, несколько законов штата США о защите данных, таких как недавно принятый Калифорнийский закон о защите прав потребителей (CCPA), предоставляют частное право на действия в случае нарушения требований безопасности данных.

Страховщики должны предпринять три шага для управления ответственностью в отношении киберрисков

Есть две реальности, которые страховщики должны учитывать при оценке и управлении своей подверженностью киберрискам.

Многие компании всех размеров и во всех отраслях остаются в значительной степени неподготовленными или недостаточно подготовленными для защиты своих организаций в текущей среде киберпреступности. Высшее руководство и советы директоров не в состоянии самообучаться и остаются не в курсе того, что необходимо сделать для адекватной защиты своих компаний от киберпреступности.

В результате подхода к кибербезопасности по принципу «голову в песок» на страховщиков ложится значительное бремя, которое, как ожидается, компенсирует неэффективное управление этой критически важной функцией застрахованными компаниями.

Однако существуют шаги, которые страховые компании должны предпринять, чтобы минимизировать эту ответственность, как для оценки практики кибербезопасности их застрахованных компаний, так и для оказания помощи этим компаниям в укреплении их практики кибербезопасности. Основные шаги включают следующее:

Страховщики должны оценить, соответствуют ли страхователи или потенциальные страхователи потенциально применимым законам, регулирующим их практику кибербезопасности и защиты данных, в том числе CCPA и GDPR. Страховщики должны требовать от этих несоответствующих страхователей привести свои процедуры и практику в соответствие с действующим законодательством.

В дополнение к риску несоответствия страховщикам необходимо изучить методы, политики, программное обеспечение и уязвимости, связанные с оборудованием, которые могут подвергнуть застрахованные компании риску кибератаки, которую можно предотвратить, в том числе это связано и с нарушением данных. Некоторые из этих уязвимостей могут иметь технический характер, включая программное или аппаратное обеспечение. Другие риски могут включать ненужное использование высокорисковых технологий или практик, включая небезопасные учетные записи облачных вычислений, устройства, подключенные к Интернету вещей (IoT), или неадекватное использование технологий сотрудниками, включая политики и процедуры мониторинга.

Хотя большинство страховщиков могут не иметь внутренних ресурсов для тщательного изучения технических и протокольных возможностей компании, связанных с кибербезопасностью, но они должны требовать, чтобы страхователи предоставили документированный анализ киберрисков, проведенный квалифицированной третьей стороной, и чтобы этот анализ проводился по крайней мере, на ежегодной основе.

Страховщики должны рассмотреть вопрос о создании междисциплинарной группы для проведения оценки рисков кибербезопасности текущих и будущих страхователей. Эта команда будет состоять из технических экспертов в данной области, а также из внешних юристов, имеющих опыт в области страхования и законодательства о кибербезопасности. Использование сторонней юридической фирмы гарантирует, что процесс оценки рисков и их выводы будут скрыты в правах адвоката и клиента, тем самым защищая эту информацию от раскрытия в случае судебного разбирательства. Командный подход также способствует обмену опытом между профессиональными дисциплинами и обеспечивает экономию за счет масштаба.

Цель междисциплинарной группы по кибербезопасности - предоставить застрахованному лицу рекомендации по передовой практике, чтобы свести к минимуму его киберриски в максимально возможной степени. Если застрахованный не устраняет обнаруженные уязвимости для удовлетворения требований страховщика, у страховщика есть реальная основа для увеличения страховых взносов, отказа от возобновления полиса или отказа в первоначальном покрытии. И наоборот, страховщик может стимулировать застрахованного соблюдать соответствие рекомендациям команды путем снижения премий. Этот подход служит для сведения к минимуму воздействия на страховщика, а также ответственности застрахованного.

Индустрия общего страхования является свидетелем того, что, вероятно, станет верхушкой айсберга в отношении ее подверженности претензиям, связанным с кибербезопасностью.

В настоящее время значительная часть неотъемлемых рисков связана с преобладающим среди компаний отношением к тому, что любые недостатки в их возможностях кибербезопасности будут устраняться страховым покрытием в случае атаки и прерывания бизнеса.

Но по мере того, как инциденты с киберпреступностью и связанные с ними финансовые последствия продолжают расти, страховщики обязаны, для своего собственного экономического благосостояния, использовать гораздо более упреждающий и агрессивный подход, чтобы гарантировать, что охват кибербезопасностью больше не рассматривается в качестве защитной сетки для компенсации отсутствия надлежащей киберзащиты со стороны компаний, которые они страхуют.

Подготовлено порталом Allinsurance.kz

 

Добавить комментарий


Больше новостей

Читайте также...

Австралия: треть жалоб по COVID-19 связана со спорами в общем…

28-05-2020 Просмотров:69

Австралия: треть жалоб по COVID-19 связана со спорами в общем страховании

Австралийское управление по финансовым жалобам (AFCA) недавно объявило, что оно получило более...

В марте количество работников в отпуске по болезни в Германии…

28-05-2020 Просмотров:116

В марте количество работников в отпуске по болезни в Германии достигло рекордного уровня

Федеральный фонд медицинского страхования Германии Techniker Krankenkasse (TK) заявил, что 6,84% всех...

Ураганы и пандемии «не очень хорошая смесь», предупреждает KCC

28-05-2020 Просмотров:60

Ураганы и пандемии «не очень хорошая смесь», предупреждает KCC

В целом, как потери, так и расходы по урегулированию убытков от ураганов...

Swiss Re Corporate Solutions запускает параметрическое решение по страхованию от…

28-05-2020 Просмотров:79

Swiss Re Corporate Solutions запускает параметрическое решение по страхованию от града

Swiss Re Corporate Solutions (SRCS), коммерческое страховое подразделение перестраховщика Swiss Re, объявило...

Николай Галушин: кризисные явления для страхового бизнеса в РФ проявятся…

28-05-2020 Просмотров:63

Николай Галушин: кризисные явления для страхового бизнеса в РФ проявятся во втором полугодии 2020 года - начале 2021 года

Кризисные явления для страхового бизнеса начались с периодом нерабочих дней и будут...

Перестраховщики не смогут заработать стоимость капитала в 2020 году, что…

28-05-2020 Просмотров:97

Перестраховщики не смогут заработать стоимость капитала в 2020 году, что приведет к росту ставок: Fitch

По словам Fitch Ratings, глобальные перестраховщики не смогут заработать свою стоимость капитала...

Австралия: при нынешнем подходе к страхованию от пожара к 2100…

28-05-2020 Просмотров:57

Австралия: при нынешнем подходе к страхованию от пожара к 2100 году 1 из 20 домов может быть не застрахован

Австралия больше не может управлять своим режимом страхования от лесных пожаров, основанным...

Передача бизнеса Ллойда в ЕС прогрессирует после утверждения стратегии Высоким…

28-05-2020 Просмотров:69

Передача бизнеса Ллойда в ЕС прогрессирует после утверждения стратегии Высоким судом Англии

Специализированный рынок пере /страхования Ллойда в Лондоне получил одобрение Высокого суда Англии...