Для положительного развития ситуации воруг киберрисков необходимы шаги, которые страховщики должны предпринять для управления ответственностью в области кибербезопасности и обеспечения соблюдения страхователями законов, регулирующих практику кибербезопасности.
Стоимость инцидентов в области кибербезопасности для страховщиков продолжает стремительно расти, отражая быстрые темпы и растущую изощренность кибератак. Финансовые затраты также беспрецедентны: согласно исследованию McKinsey, в ближайшие пять-семь лет риски в области кибербезопасности для глобальной экономики могут составить 21 триллион долларов.
Претензии, которые предъявляются страховщикам за прекращение деятельности и компенсацию затрат на восстановление уже существенны. После атаки вымогателей NotPetya в 2017 году Zurich American получил претензию в $100 млн от международного продовольственного конгломерата Mondelez, а American International Group (AIG) - $1,3 млрд от фармацевтического гиганта Merck. В обоих случаях страховщики отказали в покрытии на основании исключения «акта войны», и в ходе продолжающегося судебного разбирательства будет определено, подлежат ли кибератаки, совершенные национальным государством или связанными с государством субъектами, этому исключению.
Независимо от того, какое суды вынесут решение, эти два знаковых случая позволяют предположить, что страховщики могут ожидать в будущем дорогостоящие требования от корпоративных и других институциональных жертв кибератак. В дополнение к претензиям по поводу прерывания бизнеса и затрат на восстановление, страховщики также могут столкнуться с расходами на дорогостоящие судебные процессы и с требованиями по покрытию административных штрафов, связанных с кибератаками.
Например, в соответствии с Общим законом о защите данных Европейского союза (GDPR) организации могут быть оштрафованы на сумму до 4% их годового глобального дохода за нарушения, в том числе за нарушение обязанности обеспечивать разумную защиту личной идентификационной информации. После нарушения данных в 2018 году British Airways была оштрафована на более чем $237 млн Управлением комиссара по информации Великобритании за нарушение требований к безопасности данных GDPR Великобритании. Аналогичным образом, несколько законов штата США о защите данных, таких как недавно принятый Калифорнийский закон о защите прав потребителей (CCPA), предоставляют частное право на действия в случае нарушения требований безопасности данных.
Страховщики должны предпринять три шага для управления ответственностью в отношении киберрисков
Есть две реальности, которые страховщики должны учитывать при оценке и управлении своей подверженностью киберрискам.
Многие компании всех размеров и во всех отраслях остаются в значительной степени неподготовленными или недостаточно подготовленными для защиты своих организаций в текущей среде киберпреступности. Высшее руководство и советы директоров не в состоянии самообучаться и остаются не в курсе того, что необходимо сделать для адекватной защиты своих компаний от киберпреступности.
В результате подхода к кибербезопасности по принципу «голову в песок» на страховщиков ложится значительное бремя, которое, как ожидается, компенсирует неэффективное управление этой критически важной функцией застрахованными компаниями.
Однако существуют шаги, которые страховые компании должны предпринять, чтобы минимизировать эту ответственность, как для оценки практики кибербезопасности их застрахованных компаний, так и для оказания помощи этим компаниям в укреплении их практики кибербезопасности. Основные шаги включают следующее:
Страховщики должны оценить, соответствуют ли страхователи или потенциальные страхователи потенциально применимым законам, регулирующим их практику кибербезопасности и защиты данных, в том числе CCPA и GDPR. Страховщики должны требовать от этих несоответствующих страхователей привести свои процедуры и практику в соответствие с действующим законодательством.
В дополнение к риску несоответствия страховщикам необходимо изучить методы, политики, программное обеспечение и уязвимости, связанные с оборудованием, которые могут подвергнуть застрахованные компании риску кибератаки, которую можно предотвратить, в том числе это связано и с нарушением данных. Некоторые из этих уязвимостей могут иметь технический характер, включая программное или аппаратное обеспечение. Другие риски могут включать ненужное использование высокорисковых технологий или практик, включая небезопасные учетные записи облачных вычислений, устройства, подключенные к Интернету вещей (IoT), или неадекватное использование технологий сотрудниками, включая политики и процедуры мониторинга.
Хотя большинство страховщиков могут не иметь внутренних ресурсов для тщательного изучения технических и протокольных возможностей компании, связанных с кибербезопасностью, но они должны требовать, чтобы страхователи предоставили документированный анализ киберрисков, проведенный квалифицированной третьей стороной, и чтобы этот анализ проводился по крайней мере, на ежегодной основе.
Страховщики должны рассмотреть вопрос о создании междисциплинарной группы для проведения оценки рисков кибербезопасности текущих и будущих страхователей. Эта команда будет состоять из технических экспертов в данной области, а также из внешних юристов, имеющих опыт в области страхования и законодательства о кибербезопасности. Использование сторонней юридической фирмы гарантирует, что процесс оценки рисков и их выводы будут скрыты в правах адвоката и клиента, тем самым защищая эту информацию от раскрытия в случае судебного разбирательства. Командный подход также способствует обмену опытом между профессиональными дисциплинами и обеспечивает экономию за счет масштаба.
Цель междисциплинарной группы по кибербезопасности - предоставить застрахованному лицу рекомендации по передовой практике, чтобы свести к минимуму его киберриски в максимально возможной степени. Если застрахованный не устраняет обнаруженные уязвимости для удовлетворения требований страховщика, у страховщика есть реальная основа для увеличения страховых взносов, отказа от возобновления полиса или отказа в первоначальном покрытии. И наоборот, страховщик может стимулировать застрахованного соблюдать соответствие рекомендациям команды путем снижения премий. Этот подход служит для сведения к минимуму воздействия на страховщика, а также ответственности застрахованного.
Индустрия общего страхования является свидетелем того, что, вероятно, станет верхушкой айсберга в отношении ее подверженности претензиям, связанным с кибербезопасностью.
В настоящее время значительная часть неотъемлемых рисков связана с преобладающим среди компаний отношением к тому, что любые недостатки в их возможностях кибербезопасности будут устраняться страховым покрытием в случае атаки и прерывания бизнеса.
Но по мере того, как инциденты с киберпреступностью и связанные с ними финансовые последствия продолжают расти, страховщики обязаны, для своего собственного экономического благосостояния, использовать гораздо более упреждающий и агрессивный подход, чтобы гарантировать, что охват кибербезопасностью больше не рассматривается в качестве защитной сетки для компенсации отсутствия надлежащей киберзащиты со стороны компаний, которые они страхуют.
Подготовлено порталом Allinsurance.kz