Несмотря на рост киберугроз, убыточность киберстрахования остается для страховщиков в комфортной зоне. Это объясняется тем, что в последние годы рост объемов киберстрахования в основном обеспечен за счет прироста в портфелях страховщиков рисков от малого и среднего бизнеса.
Малый бизнес – малые риски
В отчете Verizon Data Breach Investigations за 2018 год указано, что 58% жертв кибератак были малыми предприятиями, а в отчете Symantec Internet Threat Report за 2019 год указывалось, что сотрудники, работающие на малых предприятиях, чаще подвергаются угрозам со стороны электронной почты (например, вредоносным программам, спаму, фишингу), чем те, которые работают в более крупных компаниях.
Тем не менее, страховщики и брокерские компании устремились в малый бизнес не только из-за его значительного пула незастрахованных рисков, но и потому, что малый бизнес воспринимается как область, менее подверженная совокупным, крупным убыткам, то есть эти организации рассматриваются в мире страхования как «безопасные».
Страховые полисы для сегмента малого бизнеса очень быстро стали надежными, предлагая значительные опции и покрытия, которые были разработаны в основном для крупных и продвинутых покупателей киберстрахования.
В отличие от более крупных предприятий, однако, малые предприятия почти повсеместно не осведомлены о кибербезопасности и имеют низкий уровень готовности к кибератакам. В отчете Keeper Security / Ponemon Institute SMB отмечается, что 54% малых и средних предприятий считают, что их компании слишком малы, чтобы быть целью для вымогателей, а в отчете Continuum о кибербезопасности малых предприятий за 2019 год говорится, что 62% малых и средних предприятий не имеют элементарных навыков для правильного управления кибербезопасностью.
По правде говоря, на этих предприятиях редко работают специальные сотрудники службы безопасности, и их руководство относительно менее сфокусировано на вопросах кибербезопасности. Тем не менее, страховая отрасль извлекает значительную выгоду из бешенного роста популярности киберстрахования.
В дополнение к чрезмерному расширению покрытия, предложения по лимитам полисов щедры, премии искусственно снижены, а страховщики вынуждены работать с минимальными данными для андеррайтинга, если хотят получить долю рынка в этом сегменте.
Следует признать, что неспособность собрать значимые данные для андеррайтинга существенно не улучшится, даже если страховщики будут запрашивать дополнительную информацию, поскольку владельцы малого бизнеса, как правило, не нанимают персонал, который может должным образом отвечать на вопросы о состоянии безопасности их компании.
Малый бизнес – больше проблем
Большинство из малых предприятий не знают сколько у них данных или как и где они хранятся, что затрудняет защиту этих данных. Они часто приобретают основные средства защиты в виде брандмауэра и антивируса, но чаще всего их конфигурации безопасности не оптимизированы. Даже при правильной настройке эти технологии относятся к безопасности предыдущего поколения, когда основное внимание уделялось недопущению злоумышленников в сеть. Причем, большинство специалистов по безопасности признают, что битва за периметр уже проиграна.
Вообще говоря, большинство из компаний малого бизнеса почти не имеют продвинутых возможностей обнаружения угроз или реагирования на угрозы, и им не хватает команды специалистов по безопасности, которые следят за их сетевой активностью. Проще говоря, большинство малых предприятий недостаточно вооружены для сегодняшнего боя в киберпространстве.
Эта точка зрения не предназначена для оскорбления малого бизнеса. Эти организации часто выживают в значительной степени благодаря неустанным усилиям со стороны их владельцев и персонала, последовательному и целенаправленному контролю над расходами и предпринимательскому духу. У них просто нет таких оборотов или бюджета, чтобы сделать кибербезопасность главным фактором для их бизнеса. Им не хватает ресурсов, чтобы конкурировать за высококлассных специалистов на высококонкурентном рынке вакансий в области кибербезопасности.
Лишь немногие, если таковые имеются, имеют время для навигации по постоянно расширяющейся среде продуктов для обеспечения безопасности или персонала для оптимизации их реализации (ИТ-специалист не является синонимом специалиста по ИТ-безопасности.) И чаще всего для этих предприятий не существует ни надежных программ обучения безопасности, ни программ отслеживания.
Настолько ли «безопасен» малый бизнес?
В результате низкого уровня кибербезопасности, малые предприятия чрезвычайно восприимчивы к вымогателям и другим атакам, вызванным социальной инженерией. Более того, они непропорционально подвержены масштабным атакам, таким, как WannaCry или NotPetya. Малые компании будут наименее устойчивы по сравнению с более крупными компаниями в случае атаки.
Исследование кибербезпасности, проведенное InsuranceBee выявило, что у 83% малых и средних предприятий не было бюджета, чтобы оправиться от последствий кибератаки. В итоге небольшие компании более склонны к потере дохода, поскольку у них нет выделенных сайтов для отработки отказа или тщательного тестирования планов обеспечения непрерывности бизнеса или аварийного восстановления (если у них даже есть такие планы).
После того, как атака произошла, большинство из этих организаций не имеют в своем распоряжении предварительно установленных контактов с поставщиками средств безопасности, которые будут оказывать поддержку после инцидента, чтобы минимизировать последствия взлома или атаки. В то время, как объем потерь может быть намного ниже для более мелких предприятий, потенциал для широкого воздействия и несоответствия между собранной премией и предложенной емкостью гораздо выше.
Подготовлено порталом Allinsurance.kz