19 июля по всему миру произошел один из крупнейших сбоев в работе ИТ-компаний, вызвавший серьезные сбои в работе авиакомпаний, больниц, финансовых групп и сайтов СМИ. Эксперты по кибербезопасности предупредили, что это будет иметь последствия, поскольку отключение вызвало ряд сбоев в виде синего экрана смерти (BSOD) на рабочих станциях и серверах Windows.
Подтверждено, что сбой был вызван обновлением безопасности от CrowdStrike, поставщика технологий безопасности, которое привело к широкомасштабным проблемам с Windows от Microsoft. CrowdStrike, важный игрок на рынке EDR с долей рынка около 17% по состоянию на 2022 год, с тех пор отменил обновление.
Пока еще не совсем ясно, какие последствия для страхового рынка будет иметь это сбой, но некоторые аналитики уже высказывают свои предположения на этот счет.
Aon: сбой CrowdStrike — возможность для рынка пере/страхования отреагировать и улучшить ситуацию
Аналитики Aon утверждают, что глобальный сбой в работе ИТ-систем 19 июля стал для рынка пере/страхования возможностью «отреагировать путем повышения детализации кодификации информации о страховых полисах, важной для понимания рисков накопления портфеля, возникающих в связи с определенными грантами на покрытие».
Это делается для того, чтобы «обеспечить более тонкую оценку убытков в результате событий и анализ сценариев накопления» на уровне портфеля. Aon ожидает, что на уровне индивидуального риска это событие привлечет больше внимания к грантам на покрытие сбоев в работе системы и периодам ожидания перерывов в работе.
Сбой в работе ИТ был вызван обновлением безопасности от CrowdStrike, глобальной компании по кибербезопасности со штаб-квартирой в Техасе, что привело к широкомасштабным проблемам с Windows от Microsoft.
По оценкам Microsoft, сбой в работе ИТ-систем, вызванный обновлением инструмента обнаружения и реагирования на конечные точки (EDR) CrowdStrike Falcon, затронул 8,5 млн устройств Windows.
Авиаперевозки также пострадали: более 3000 рейсов были отменены, а 23 900 рейсов были задержаны из-за проблем с продажей билетов, операциями и другими услугами в аэропортах. Также пострадали здравоохранение и финансовая сфера.
Несмотря на то, что это событие вызвало масштабные потрясения в различных корпоративных и финансовых секторах, аналитики не ожидают долгосрочного влияния на рейтинговую совокупность.
Как не злонамеренное событие, то есть покрытие «системного сбоя», если оно предлагается в рамках полисов киберпере/страхования, является соответствующим триггером убытков. Прогнозируется, что претензии по прерыванию бизнеса приведут к большей части убытков в страховой отрасли.
Некоторые аналитики ожидают, что это событие усилит интерес к программам перестрахования, ориентированным на кататсрофы. Aon также отметил, что были разработаны специальные продукты перестрахования и облигаций, которые это событие протестирует как с точки зрения определения события, так и с точки зрения количественной оценки убытка.
Goldman Sachs и RBC Capital Markets: BI станет вероятным центром застрахованных убытков из-за сбоя в работе ИТ-систем Microsoft
После сбоя в работе Microsoft Cloud аналитики ожидают, что иски о перерывах в работе бизнеса станут основной причиной убытков в страховой отрасли, и задаются вопросом, может ли это стать лакмусовой бумажкой для киберандеррайтеров, в частности специализированной страховой компании Beazley со штаб-квартирой в Великобритании.
Конечно, потребуется некоторое время, прежде чем будут поняты общие последствия и сделаны реалистичные оценки убытков для страховой отрасли, но поскольку эксперты по кибербезопасности уже описывают это событие как беспрецедентное по масштабу и охвату затронутых систем, оно является суровым напоминанием о возможности накопления рисков кибератак и значительных убытков от перерывов в работе предприятия.
Комментируя сбой в работе ИТ-систем, аналитики Goldman Sachs заявили, что, по их мнению, «основным направлением работы станут потенциальные иски о перерывах в работе бизнеса, при этом основными факторами будут причина и продолжительность сбоя в работе ИТ-систем».
Сбой, вызванный кибератакой, может стать причиной других исков о возмещении убытков, а также BI, однако, как отмечают аналитики, CrowdStrike исключила эту возможность и связала инцидент с обновлением программного обеспечения.
Аналитики RBC Capital Markets также ожидают, что «большая часть застрахованных убытков сегодня будет связана с перерывами в работе», добавив, что тот факт, что причиной стало обновление программного обеспечения, «должен означать, что общий сбой и, следовательно, потери будут менее серьезными, чем если бы это был инцидент, связанный с безопасностью (например, кибератака)».
На основании того, что в настоящее время видят аналитики RBC, компания считает, что сбой достаточно серьезный, чтобы квалифицироваться как киберкатастрофа, но подчеркивают, что событие продолжается и что они не являются экспертами в области кибербезопасности.
Несмотря на то, что рынок киберпере/страхования в последнее время расширился, реальность такова, что до сих пор не было проведено серьезного стресс-теста для киберстраховщиков и рынка в целом, что вызвало вопросы относительно способности страховщиков надлежащим образом проводить андерратинг риска, учитывая отсутствие исторических данных и отсутствие передового моделирования.
Но может ли это стать лакмусовой бумажкой для рынка киберстрахования? Именно это и ставит под сомнение RBC в своем освещении события, уделяя особое внимание крупному киберстраховщику Beazley (BEZ).
«Если предположить, что произошедшее событие является лакмусовой бумажкой, то мы думаем, что он должен успокоить нас относительно эффективности киберандеррайтинга BEZ (и отрасли в целом), поскольку мы получим больше ясности относительно влияния этого сбоя в ближайшие недели и месяцы. Очевидно, что неявное предположение здесь заключается в том, что BEZ не обанкротится из-за этого события и выиграет от последующего поворота киберрынка из-за более жесткого ценообразования и более высокого спроса», — говорят аналитики.
На данном этапе, продолжают аналитики, нет никаких оснований полагать, что произошедший сбой в работе ИТ-систем представит какой-либо риск для капитала Beazley.
Аналитики Goldman Sachs также обсуждают потенциальное влияние отключения на Beazley, подчеркивая, что в рамках работы по снижению риска непредвиденных обстоятельств компания предусматривает возможность подачи заявлений о простое более чем на 8 часов в большинстве контрактов.
«Поэтому, хотя пока еще рано делать выводы, если предположить, что сбой в работе ИТ не был вызван кибератакой, как сообщалось в СМИ, и продолжался менее 8 часов, мы считаем, что это должно помочь ограничить потенциальные потери от перерывов в работе предприятия», — говорят аналитики Goldman Sachs.
Guy Carpenter: сбой CrowdStrike может повлиять на линейки продуктов, выходящие за рамки киберстрахования
Эксперты перестраховочного брокерского подразделения Marsh McLennan (MMC) Guy Carpenter заявили, что, хотя перестраховщики и понесут убытки из-за перерывов в работе, масштабы глобального сбоя в работе ИТ-систем указывают на то, что пострадать могут и другие виды страхования, выходящие за рамки киберрисков.
После того, как 19 июля обновление программного обеспечения для продукта Falcon Sensor компании CrowdStrike привело к массовому глобальному сбою в работе ИТ-систем, в отрасли передачи рисков разгорелось много дискуссий о возможных последствиях, поскольку ожидается, что это событие станет проверкой рынка киберстрахования и перестрахования.
В своем анализе киберинцидента перестраховочный брокер Guy Carpenter отмечает, что это событие демонстрирует единую точку отказа для сложной глобальной цепочки поставок ИТ-услуг.
«Компании, занимающиеся киберстрахованием, должны использовать это событие для оценки зависимостей в цепочке поставок страхователей, оценки потенциала агрегации с использованием широко используемых технологий и соответствующей переоценки допустимых уровней риска», — говорит брокер.
Как подчеркивает брокер, киберстрахование предусматривает широкое покрытие перерывов в работе предприятия в результате сбоя сети, а основанием для такой защиты является сбой системы, возникший в результате незлонамеренных действий, включая человеческую ошибку, которая распространяется на условные перерывы в работе предприятия (CBI), вызванные сбоем у поставщика, от которого зависит работа сети страхователя.
«Критическим для оценки претензий на прерывание работы сети будет период ожидания полиса, в течение которого сеть должна быть повреждена, прежде чем полис отреагирует. Типичные периоды ожидания киберугроз различаются в зависимости от класса отрасли и размера организации, наиболее распространенными являются 4–12 часов», — объясняет Guy Carpenter.
Брокер добавлет: «Убытки CBI, возникающие из-за широко распространенной технологии, представляют для перестраховщиков острый риск неожиданного агрегирования. Технологии с большой долей рынка создают потенциальные отдельные точки отказа, которые могут привести к системным событиям, приводящим к искам от большого числа застрахованных».
Хотя Guy Carpenter ожидает, что убытки от сбоев системы будут соответствовать традиционным пропорциональным и совокупным структурам, брокер отмечает, что при недавних обновлениях киберстрахования поведение покупателей перестраховочных полисов сместилось в сторону целевых катастрофических покрытий, которые во многих случаях реагируют на конкретно определенные катастрофические сценарии.
«Продукты на основе событий и определения, лежащие в их основе, уникальны для взгляда цедента на риск и того, как было согласовано покрытие. Возмещения по продуктам на основе событий будут различаться в зависимости от того, как каждая базовая формулировка различает покрытие между вредоносными и невредоносными киберинцидентами», — продолжает Guy Carpenter.
Хотя ожидается, что это событие станет своего рода определяющим моментом для рынка киберперестрахования, брокер предупредил, что, учитывая масштаб и размах сбоя, «мы можем увидеть последствия, которые затронут линейки продуктов, выходящие за рамки киберрисков, в первую очередь страхования директоров и должностных лиц (D&O) и имущества/несчастных случаев (P&C)».
«Мы можем увидеть последствия для D&O компаний, как вовлеченных в инцидент, так и пострадавших от него. В целом, падение акций публичной компании на 10% в течение дня может побудить коллегию истцов подать коллективный иск. Последующие изменения цен на акции и любое окончательное восстановление также могут повлиять на вероятность судебного разбирательства», — говорит брокер.
Исторически, объясняет Guy Carpenter, групповые иски по ценным бумагам, возникающие из-за технологических инцидентов, имели плохие результаты. Но в дополнение к групповым искам по ценным бумагам, перестраховочный брокер предупреждает, что фирмы, вовлеченные или пострадавшие от массового отключения, могут столкнуться с большей уязвимостью, если им будет трудно восстановить операции, а также могут столкнуться с производными исками акционеров, утверждающими о нарушении советом директоров фидуциарных обязанностей.
Говоря о последствиях для перестрахования P&C, Guy Carpenter подчеркивает, что, учитывая продолжающуюся интеграцию ИТ и операционных технологий, страховщики также должны учитывать физические последствия, которые могут возникнуть в результате технологических сбоев.
«Потенциальная подверженность рискам для полисов P&C будет зависеть от того, как страховщики рассматривают киберопасность как опасность и включает ли полис исключение «скрытого киберриска». Полисы, не содержащие информации о киберрисках, могут быть подвержены последующим телесным повреждениям или повреждению имущества в результате сбоя системы, связанного с киберопасностью», — заключает брокер.
Howden Re: массовый сбой в работе ИТ-систем усилит интерес к перестрахованию, ориентированному на киберкатастрофы
По словам Люка Фурда-Келси, руководителя отдела кибербезопасности в брокерской компании Howden Re, занимающейся перестрахованием, хотя для понимания финансовых последствий произошедшего значительного сбоя в работе ИТ-системы потребуется время, ожидается, что это событие повысит интерес к программам перестрахования, ориентированным на киберкатастрофы.
Фурд-Келси прокомментировал: «Полный масштаб последствий станет ясен только в ближайшие дни, когда мы сможем оценить, насколько быстро удалось внедрить исправления и превысили ли вызванные этим перерывы в работе периоды ожидания, предусмотренные полисами, и если да, то насколько».
Некоторые сегменты рынка пострадали больше других. Австралия испытала на себе самое сильное воздействие в течение своего рабочего дня, что потенциально может привести к более значительным текущим последствиям. Сектор воздушного транспорта, который обычно дольше восстанавливается после сбоев, также сильно пострадал.
Howden ведет отраслевую базу данных по рискам на киберрынке, охватывающую около $9 млрд, или 65% от валовой подписанной премии (GWP).
Данные Howden показывают, что на Австралию приходится чуть более 2,5% глобального мирового рынка киберпреступлений, а на сектор воздушного транспорта, включая авиакомпании, аэропорты и курьеров, — чуть менее 0,5%, при этом показатели воздействия в целом соответствуют этой статистике.
Фурд-Келси поясняет: «Учитывая, что это не злонамеренное киберсобытие, вызванное сбоем исправления от стороннего поставщика, оно может привести к срабатыванию положений о страховании от сбоя в работе систем, при условии соблюдения периодов ожидания, которые обычно составляют около 8–12 часов».
Харриет Груэн, руководитель отдела кибербезопасности Howden Re, отметила: «Поскольку отрасль пере/страхования продолжает оценивать все последствия и основные причины этого массового сбоя в работе ИТ-систем, инцидент выявил далеко идущие зависимости, присущие глобальной цифровой инфраструктуре.
«В последние годы мы наблюдаем значительное улучшение понимания киберрисков в нашей отрасли, что приводит к более нюансированному страховому покрытию. Однако этот инцидент подчеркивает меняющуюся природу кибер- и ИТ-рисков и необходимость постоянных инвестиций в разработку более сложных инструментов и методов управления рисками».
Фурд-Келси пришел к выводу: «Более высокая осведомленность о системной природе киберрисков и растущий консенсус рынка относительно того, что представляет собой системный убыток от киберкатастрофы, стимулировали значительный интерес к структурам киберкатастроф, и в 2024 году будет наблюдаться дальнейшее распространение продукта».
Morningstar DBRS: глобальный сбой в работе ИТ не окажет долгосрочного влияния на рейтингуемую группу компаний
Несмотря на то, что глобальный сбой в работе ИТ-систем 19 июля, как ожидается, вызовет масштабные сбои в работе различных корпоративных и финансовых секторов, включая поток исков о киберпрерывании бизнеса, Morningstar DBRS не ожидает долгосрочного влияния на свою рейтингуемую группу компаний.
Аналитики агентства отметили, что отключение приведет к увеличению расходов во многих предприятиях. Однако с точки зрения кредита компания ожидает, что отключение будет иметь «ограниченное влияние» на всю ее рейтингуемую группу компаний.
«Мы ожидаем, что инцидент поставит под сомнение регулирующие органы относительно олигополистической природы критической ИТ-инфраструктуры во всем мире», — добавили в Morningstar DBRS.
По данным Morningstar DBRS, многим авиакомпаниям пришлось отменить рейсы или управлять операциями вручную из-за сбоя. Хотя сбой является серьезным, Morningstar DBRS отмечает, что, как ожидается, он не станет длительной проблемой.
В отчете компании говорится: «Мы ожидаем, что влияние на мировую авиационную отрасль будет управляемым и не окажет существенного влияния на кредитный профиль затронутых авиакомпаний. Учитывая, что патч был разработан и, как ожидается, будет быстро развернут, продолжительность этого события, вероятно, будет короткой. Поэтому мы ожидаем, что не будет никакого влияния на кредитные профили аэропортов».
Комментируя возможные иски о перерывах в производстве (BI), компания Morningstar DBRS отметила, что типичные гарантии BI в рамках полиса страхования коммерческого имущества исключают убытки, возникшие в результате киберинцидента, такого как этот глобальный сбой в работе ИТ-систем.
«Претензии, вызванные невозможностью эксплуатации определенных ИТ-систем, обычно покрываются страховкой от перерывов в работе компании по полису киберстрахования, который представляет собой более ограниченный подкласс полисов BI, доступных на рынке», — поясняется в отчете.
«Кроме того, полисы кибер-BI обычно включают франшизу или период ожидания от 24 до 48 часов. В зависимости от продолжительности текущего глобального сбоя в работе ИТ, это событие может быть покрыто или не покрыто полисом киберстрахования. Мы ожидаем, что некоторые авиакомпании и финансовые учреждения смогут подать иск по своим существующим полисам киберстрахования, если это событие продлится в течение нескольких дней».
Morningstar DBRS подытожил: «Это событие еще раз демонстрирует, что киберриск может привести к возникновению цепочки тесно взаимосвязанных потерь из-за растущей взаимосвязанности глобальных коммуникаций и широкого использования определенных ИТ-систем.
«В этом случае также могут быть задействованы полисы страхования ответственности поставщиков, поскольку их клиенты пытаются возместить часть расходов, вызванных сбоями в работе системы. Мы также ожидаем увеличения объема судебных разбирательств в ближайшие месяцы в связи с этим событием.
«Хотя нет никаких признаков того, что глобальный сбой в работе ИТ имел злонамеренное происхождение, подтвержденная кибератака будет рассматриваться совершенно иначе в рамках существующих полисов киберстрахования, особенно если ее можно отнести к спонсируемым государством агентам. В этом случае покрытие будет существенно сокращено».
Подготовлено порталом Allinsurance.kz