Покупатели страховых услуг должны разработать более сложные и аналитические стратегии покупки страхования, чтобы смягчить растущее количество исключений в полисах киберстрахования и ограничения покрытия, сообщила ведущая компания по управлению киберрисками Axio.
По словам Скотта Каннри, главного исполнительного директора Axio, которая предоставляет программное обеспечение для управления киберрисками, клиенты страховых компаний сталкиваются со все более сложной проблемой, пытаясь покрыть киберриски.
Он пояснил, что страховщики постоянно вносят изменения в страховое покрытие в ответ на развивающиеся кибератаки и судебные разбирательства, а также для решения проблем регулирующих и рейтинговых агентств по поводу скрытых киберрисков, также известной как недобросовестное киберстрахование.
Совсем недавно некоторые страховщики ввели ограничения на покрытие после увеличения частоты и тяжести требований о вымогательстве за последние два года. Примечательно, что AIG ввела требование о совместном страховании от кибервымогательства. Для страхователей, которые имеют только средний или ниже среднего уровень контроля, AIG ввела требование о совместном страховании 50% на случай потерь от программ-вымогателей, чтобы способствовать более высокому уровню зрелости кибербезопасности, сказал ранее Марк Камилло, глава отдела киберрисков AIG в регионе EMEA.
Компании также столкнулись с внезапными изменениями в киберохвате после кибератаки NotPetya в 2017 году, которая вызвала ряд споров между корпорациями и их страховщиками. Продовольственная компания Mondelez подала в суд на свою страховую компанию Zurich Insurance, которая отклонила иск о возмещении убытков из-за атаки NotPetya, сославшись на положение о войне. Аналогичным образом фармацевтическая компания Merck подала иск против своих страховщиков имущества, которые также использовали положение о войне, чтобы избежать выплаты по иску.
Атака NotPetya и возникшие в результате страховые споры вызвали споры в отрасли по поводу страхуемости атак на национальном уровне и того, как страховщики могут объяснить причину кибератаки, если есть подозрения в причастности национального государства. С тех пор киберстраховщики стремились ограничить применение оговорок о войне или предложить сокращение покрытия кибертерроризма. Но остается неуверенность относительно степени возможного прикрытия для потенциальных кибератак со стороны национальных государств.
«Мы видим нескончаемые изменения в отношении страховой индустрии к киберпространству», - сказал Каннри. «Страховые споры, например, возникающие в результате атаки NotPetya, могут иметь серьезные последствия и в мгновение ока менять покрытие. Внезапно может оказаться так, что покрытие, которое там было, больше не доступно , - сказал он.
В более широком смысле, страховой рынок перешел к разъяснению страхового покрытия при страховании имущества и от несчастных случаев (P&C), что привело к введению множества новых исключений, а в некоторых случаях и ограниченных форм сокращения резервов и продлений полиса. Регулирующие органы, такие как Prudential Regulatory Authority Великобритании и Ллойд, посоветовали страховщикам разъяснить киберпокрытие в традиционных полисах P&C, что привело к сложному и непоследовательному использованию киберисключений.
«Киберисключения в отношении полисов страхования имущества и несчастных случаев сейчас широко распространены. Часто исключающий эффект достигается за счет сублимитов - небольшого участия страховщиков в убытке. Вместо того, чтобы договариваться о киберисключениях, вам мешает утвердительное покрытие с небольшим лимитом по сравнению с предыдущим спорным скрытым киберпокрытием (полный лимит)», - сказал Каннри.
Однако массовые изменения в отрасли не произойдут в одночасье, поэтому, вероятно, пройдет несколько лет, прежде чем все коммерческие полисы P&C будут относиться к киберрискам положительно или отрицательно, пояснил он. Между тем, по его словам, компании могут надеяться на лучшее там, где существует неопределенность, или искать утвердительное покрытие, которое предлагает конкретное покрытие кибербезопасности.
По словам Каннри, постоянно развивающееся состояние киберзащиты означает, что компании должны иметь более целостный взгляд на свои страховые полисы. По его словам, крупный киберинцидент может потенциально затронуть несколько видов страхования, включая имущественное, террор, профессиональную ответственность, экологическую ответственность, общую ответственность, D&O и другие.
«Компании часто не понимают, что возможность страховки киберрисков - это вопрос портфеля. Это не двоичный файл. Вы не можете смотреть на один полис, вы должны смотреть на другие направления тоже», - сказал Каннри.
Он рекомендует риск-менеджерам протестировать весь свой страховой портфель на предмет соответствия киберсценариям, чтобы выявить пробелы в покрытии, лучше понять потенциальную возмещаемость и информировать о будущих инвестициях в кибербезопасность и страховую защиту.
По словам Каннри, результаты таких тестов обычно становятся неожиданностью. Он пояснил, что многие компании не осознают, что в стандартном отдельном киберстраховании есть пробелы, например, в отношении ущерба имуществу, в то время как полисы P&C обычно содержат исключения по киберрискам.
«Один постоянный момент, открывающий глаза, заключается в том, что клиенты в определенных отраслях часто не осознают, что у них есть риск повреждения имущества из-за киберрисков, и они предполагают, что полис киберстрахования покрывает больше, чем на самом деле, в то время как их полис в отношении имущества основывается на обширных сублимитах для киберрисков или исключениях», - считает эксперт.
«Если вы понимаете уровень уверенности в возмещении, у вас есть возможность зарезервировать денежные средства на балансе или рассмотреть возможность использования кэптивного кредита. Также можно спросить страховщика, может ли он изменить формулировки, например, сделать оговорку о кибернетической войне», - сказал Каннри.
Он также предостерег от того, чтобы при принятии решения о том, сколько покупать страхования от киберрисков, не следует полагаться на эталонные тесты. «Как правило, стресс-тестирование портфеля показывает, что большинство компаний не получают информации о закупках киберстрахования. Многие компании покупают покрытие, используя сравнительные тесты, но это рискованная стратегия. То, что покупают ваши коллеги, особенно в части киберрисков, не отреагирует на основной риск и вызовет вопросы относительно ограничений и эффективности», - сказал он.
Подготовлено порталом Allinurance.kz