По словам президента Международного форума по (пере)страхованию террористических пулов (IFTRIP), террористические пулы, поддерживаемые государством, вряд ли в ближайшее время будут охватывать катастрофические кибер-события.
Выступая на онлайн-дебатах о кибервойне и терроризме, организованных Женевской ассоциацией, президент IFTRIP Кристофер Уоллес сказал, что будет сложно заставить правительства, многие из которых борются с издержками пандемии, расширить существующие пулы для покрытия катастрофических и системные киберрисков.
На вопрос, возможно ли включить пиковые киберриски в существующие механизмы объединения, Уоллес сказал: «Я думаю, что это трудно сделать… правительства смотрят на этот вопрос совершенно иначе, чем страховая отрасль… различные правительственные ведомства имеют разную ответственность и цели, и это является частью проблемы с точки зрения достижения консенсуса для решения проблемы.
«Правительства также изрядно истощены в финансовом отношении реагированием на пандемию, и у них просто нет желания увеличивать финансовые риски. Требуемые меры поддержки должны быть оценены — они не бесплатны — и очень сложно рассчитать, какова разумная норма прибыли для этих потерь», — добавил он.
Уоллес, который также является исполнительным директором Австралийской корпорации перестраховочных пулов, предположил, что небольшие локальные пулы киберрисков могут стать шагом вперед. «Наиболее вероятный способ решить эту проблему — создать небольшой пул, который не имеет атрибуции, то есть не зависит от триггеров, и у которого действительно есть какое-то покрытие. С моей точки зрения, я заинтересован только в том, чтобы сделать покрытие доступным для общества. Но в нынешних условиях это сделать сложно», — сказал он во время вебинара.
Недавнее исследование, проведенное Женевской ассоциацией, показало, что государственно-частные партнерства, такие как поддерживаемые государством пулы перестрахования в киберпространстве, необходимы для покрытия крупных и систематических киберубытков.
Например, сбой глобальной инфраструктуры может привести к экономическим потерям, превышающим $1 трлн, и страховым убыткам в размере $71 млрд, но цифры имеют высокую степень неопределенности. Атака вредоносного ПО приведет к меньшим потерям, более сопоставимым с природной катастрофой, с экономическими потерями в размере $192 млрд и застрахованными убытками в размере $27 млрд.
«Некоторые из киберубытков слишком велики и неопределенны, чтобы частные страховые компании могли покрыть их в одиночку», — сказал Даррен Пейн, директор по кибербезопасности Женевской ассоциации. «Эта проблема накопления является ключевой причиной, по которой в последнем отчете Женевской ассоциации о враждебной киберактивности приводится аргумент в пользу той или иной формы государственной поддержки или государственно-частного партнерства, когда частный рынок поглощает убытки до определенного предела, сверх каких убытков должны платить государственные фонды», — сказал он.
По словам Уоллеса, пулы не играют роли в поддержке кибервойны. «Я не считаю войну риском, покрываемым пулами, и обычно он исключается пулами и австралийской схемой. Проблема для нас заключается в том, что кибертерроризм исключен из австралийской схемы, а также не всегда покрывается пулами», — сказал он.
Президент IFTRIP также считает, что существующим пулам будет сложно распространить покрытие на киберриски, такие как кибертерроризм или спонсируемая государством киберпреступность. «Тяжело менять пулы. Пулы, как правило, появляются из-за кризиса, они инерционны и их трудно изменить, поскольку обычно требуется пересмотр или серьезное изменение полиса, чтобы обеспечить такого рода обновления», — сказал он.
«Проблема, с которой мы сталкиваемся в кибербезопасности — страховой отрасли необходимо определить, какое покрытие она предоставляет, и обществу, которому необходимо обеспечить покрытие для защиты активов, — возникла из-за того, что это такой современный риск и из-за характера устаревших продуктов, где есть пробелы в покрытии и определениях», — сказал он.
По словам Рэйчел Энн Картер, директора Carter Insurance Innovations и одного из авторов доклада Женевской ассоциации, оптимальным решением был бы международный пул. Но она считает, что найти решение на местном уровне можно будет только в краткосрочной перспективе из-за политических и финансовых проблем.
Однако правительства могут работать над достижением консенсуса в отношении формулировок, определений и атрибуции киберсобытий, сказала Картер.
«С точки зрения зрелости мы находимся в начале этого пути. Работа Женевской ассоциации и других организаций — хорошее начало в качестве трамплина, но в этом отношении ее следует рассматривать как постоянно движущийся оптимизирующий процесс», — продолжила она.
По словам Джона Бейтмана, научного сотрудника Инициативы по киберполитике в Фонде Карнеги за международный мир, страховая отрасль сначала должна прийти к собственному консенсусу в отношении того, как бороться с катастрофическими и системными киберрисками.
«Я бы начал с того, чтобы заставить страховую отрасль говорить на одном языке и даже четко призвать к созданию государственно-частного партнерства. Инициатива для этого нарастает, но это по-прежнему разговор ни о чем», — сказал он.
По словам Бейтмана, одним из вариантов при отсутствии поддерживаемого государством пула в масштабе, необходимом для решения проблем с киберрисками, может быть эксперимент с пилотной схемой в небольшой прогрессивной стране, у которой могли бы поучиться другие страны. В качестве альтернативы, крупное событие, как это произошло с терактами 11 сентября 2001 года, создаст «необходимые и достаточные условия для создания государственно-частного партнерства», сказал он.
«В интересах страховой отрасли продолжать отрабатывать варианты, чтобы, если такое событие произойдет, было готово предложение», — добавил он.
Подготовлено порталом Allinsurance.kz