23
Пн, дек

Киберриски: понимание и преодоление проблем комплексных рисков

PC: Несмотря на сложности, страховщики и компании могут понять и справиться с проблемами киберрисков, как сообщает «Swiss Re» в своей публикации «Sigma».

ο  Потенциальные издержки кибератак стремительно возрастают; кибер- безопасность и устойчивость представляют растущую обеспокоенность для компаний.
ο  Специализированный рынок страхования киберрисков развивается быстрыми темпами, но масштаб страхового покрытия остаётся относительно скромным.
ο  Инновации продукта и технологические инновации, а также большие объёмы данных (Big Data) и смарт- аналитика помогут способствовать более эффективному страхованию киберрешений.
ο  Правительства могут играть важную роль в повышении устойчивости к киберрискам.

Киберриск вызывает растущее беспокойство для бизнеса, и, как продемонстрировали недавние атаки, издержки кибернарушений могут перерасти далеко за рамки управления последствиями утраченных или повреждённых данных. В последней публикации «Sigma» компании «Swiss Re» "Киберриски: понимание и преодоление проблем комплексных рисков" подчёркивается, что предприятия должны сделать гораздо больше для интеграции кибербезопасности в свои программы управления рисками.

Инициативы для повышения уровня киберустойчивости появляются постоянно. Специализированный рынок страхования киберрисков стремительно развивается, однако до сих пор масштаб страхового покрытия является небольшим по сравнению с потенциальными убытками.

Эволюция страхового продукта и инновационные процессы, а также передовая аналитика будут способствовать улучшению страховых киберрешений и расширению как границ страховых возможностей, так и достижению большего уровня страхового покрытия. В конечном счёте некоторые киберриски, особенно связанные с потерями в результате экстремальных катастрофических событий, могут не подлежать страхованию. Для таких рисков может быть необходим вариант поддержки, проспонсированной правительством.

Недавние крупные случаи кибератак всё чаще подтверждают, что издержки, связанные с нарушением кибербезопасности, выходят далеко за рамки управления последствиями утраченных или повреждённых данных. Компании теперь должны учитывать потенциальный ущерб их репутации, физической и интеллектуальной собственности, а также перерыва в производстве. Растущий размах и масштабы потенциальных затрат, связанных с киберинцидентами, отражают постоянно развивающийся ландшафт киберрисков, который в свою очередь формируется такими тремя основными трендами, как:

– Растущая скорость и масштабы цифрового преобразования (дигитализация);
– Увеличение источников уязвимости от гиперсвязанности с быстрым распространением, например интернет-устройств и вычислений в облаке;
– Растущая изощрённость хакеров предупреждает о потенциальных экономических выгодах от успешных кибератак.

Несмотря на повышение уровня информированности об опасности, фирмы, как правило, плохо подготовлены к борьбе с киберрисками. Относительно немногие компании включили систему защиты от кибератак в свои основные меры управления рисками.

Регулирование может быть катализатором изменений, когда законодательство, которое должно вступить в силу во многих юрисдикциях, требует от компаний внедрять усиленные меры для гарантии защиты данных. В результате: "Большие и маленькие фирмы должны вкладывать больше средств в архитектуру кибербезопасности для разработки надёжных возможностей управления рисками до и после потерь",– сообщает Курт Карл, главный экономист «Swiss Re».

Управление комплексным риском

Многие компании стремятся передать киберриски третьим лицам, более приспособленным к их поглощению. "Специализированный рынок страхования кибер- рисков развивается и всё большее число страховых компаний стремится «урвать» больше бизнеса в этом специализированном направлении", – продолжает Курт Карл.

Специализированное кибер- страхование обычно обеспечивает основную защиту от нарушений безопасности данных и сети и связанных с ними потерь, с учётом сегодняшних возможностей на рынке, в диапазоне от 5 до 100 миллионов долларов США. Тем не менее в большинстве случаев некоторые существенные киберриски остаются незастрахованными и масштабы существующей страховой защиты являются скромными по сравнению с общей потенциальной подверженностью рискам для компаний.

Ключевой фактор, сдерживащий развитие страховых решений, связан с внутренней природой киберрисков. Они комплексны и трудно поддаются количественной оценке, особенно с учётом быстро меняющейся технологической среды и отсутствием исторических данных по претензиям, связанным с киберинцидентами, из которых экстраполируется информация о возможных будущих убытках. Страховые компании и рисканалитики экспериментируют с различ- ными подходами к моделированию киберрисков, в том числе через применение детерминированного анализа сценариев и вероятностных моделей, в попытке оценить потенциальные потери от киберинцидентов. Опыт других опасностей, таких как природные катастрофы, позволяет надеяться, что модели будут постоянно совершенствоваться по мере понимания основных драйверов риска и станет больше доступных данных о потерях от кибератак.

Инновации в продуктах и процессах

В то же время инновации продуктов и процессов в страховании и других механизмах передачи рисков будут играть важную роль в обновлении возможностей управления киберрисками. Важнейшими факторами, влияющими на темпы инноваций, будут сбор и анализ соответствующих данных и анализ угроз, необходимых для точного андеррайтинга киберрисков. Уже на сегодняшний день отрасль развивается с целью модернизации сбора и распространения информации.

Например, различные поставщики аналитики рисков создали схему данных, которая обеспечивает компании стандартизированным подходом к выявлению, вычислению и представлению воздействия киберрисков для страховщиков. Аналогичным образом Форум СРО продвигает «общий язык» и рамочный механизм для компаний с целью получения важ- ной информации о киберинцидентах и уязвимостях.

Со своей стороны страховщики стремятся разработать менее сложные и более гибкие страховые продукты. К ним относятся страховые покрытия, которые могут быть адаптированы для малого и среднего бизнеса – сектора, который до сих пор не обеспечен должным страхованием и зачастую не способен хорошо справиться с киберрисками по сравнению с более крупными компаниями. Кроме того, некоторые страховщики и перестраховщики стремятся сформировать партнёрские отношения с фирмами по кибербезопасности и поставщиками аналитических данных для восполнения пробелов в знаниях и расширения масштабов/предоставления дополнительных услуг для своих клиентов. В более общем плане продвинутая аналитика может дополнить традиционные инструменты андеррайтинга страхов- щика и перестраховщика и оказать поддержку в быстром реагировании на стремительно меняющиеся основные факторы риска.

Источник: «Swiss Re Экономические исследования и консалтинг».

Ещё одним методом увеличения общей способности поглощения потерь для киберрисков является разработка инвестиционных инструментов, которые позволят инвесторам на рынке капитала принять некоторую подверженность риску на  себя.

В настоящее время существуют некоторые  инициативы,  связанные с разработкой ценных бумаг, привязанных к страхованию (ILS), которые покрывают риски операционного типа, такие как киберриски. Рынок ILS для киберрисков остаётся на зарождающейся стадии, однако, возможно, будет расти.

Вспомогательная роль правительств

Для того, чтобы расширить границы страховых возможностей, компаниям необходимо будет работать со своими страховщиками для создания устойчивого рынка. В конечном счёте, однако, потенциальный масштаб потерь от некоторых киберсобытий может быть слишком существенным для частного перестраховочного/страхового сектора, чтобы поглотить такие потери, особенно для событий с масштабными потерями, таких как широко распространённые нарушения ключевой инфраструктуры или сетей, что может привести к значительным суммарным убыткам. Для таких рисков может быть необходима поддержка, спонсируемая правительством (то есть пере/страховщиком в крайнем случае), что-то похожее на государственную поддержку для защиты от катастрофических рисков терроризма.

В более широком понимании правительства играют важную роль в развитии киберустойчивости, включая меры по совершенствованию сбора и распространения киберинформации, а также созданию законов и правил о том, как используется и  охраняется киберпространство.

Путём изменения формы стимулирования и повышения осведомлённости о киберугрозах правительства могут дополнительно стимулировать частный сектор в разработке усовершенствованных  рыночных решений.


Источник: Журнал «Рынок Страхования»