Наблюдается рост скрытого кибер воздействия и связанных с ним поведенческих рисков, как страховщики получают лучшее представление обо всем спектре киберрисков?
Постоянно развивающийся ландшафт кибер угроз требует, чтобы страховщики рассматривали кибер-воздействие более широко. Наши исследования показывают, что два источника кибер-риска заслуживают повышенного внимания: скрытый киберриск и поведенческие риски.
Скрытое воздействие
Скрытое кибер воздействие может повысить коэффициент потерь по полисам, которые специально не предназначены для покрытия киберриска. Примеры скрытого кибер воздействия могут включать кибератаку в системе управления промышленным заводом, вызывающую взрыв котла, который привел к повсеместному материальному ущербу и прерыванию бизнеса, или к вредоносному ПО, вызывающему отказ лифта, что приводит к многочисленным жертвам. Выплаты по таким полисам будут варьироваться в зависимости от формулировок полиса и особенностей отдельных случаев. Однако эти и многие другие примеры иллюстрируют потенциал для скрытых потерь от киберрисков.
Насколько важна проблема скрытого киберриска для страховщиков? Чтобы выяснить это, Willis Towers Watson провели опрос о вероятности и потенциальных финансовых последствиях потерь, связанных с киберрисками, в тех случаях, когда полис конкретно не включал и не исключал кибер-риск.
Исследование было сосредоточено на четырех обширных страховых линиях бизнеса: собственность первой стороны, ответственность третьих лиц в автостраховании, прочая ответственность третьих лиц и компенсация работникам. В опросе приняли участие около 750 руководителей и экспертов более 70 страховых компаний и групп по всему миру, а также Willis Towers Watson.
Мы попросили респондентов оценить степень, в которой кибер воздействие увеличило бы вероятность покрытия потерь в течение следующих 12 месяцев. Примерно половина специалистов отрасли видят, что скрытый киберриск растет в течение следующего года.
Using the range of responses — from 0% indicating no additional losses due to cyber exposure to 100% indicating as many cyber-related losses as non-cyber-related ones — we converted these into a silent cyber risk factor. For example, a risk factor of 1.01 represents one cyber-related loss for every 100 non-cyber-related losses.
Использование диапазона ответов от 0%, что указывает на отсутствие дополнительных потерь из-за кибер воздействия до 100%, что указывает на то, что многие связанные с киберрисками потери не связаны с кибер обусловленными, мы выстроили их в фактор скрытого киберриска. Например, коэффициент риска 1,01 представляет собой один кибер-связанный убыток на каждые 100 не связанных с кибер-потерями.
Вариации между бизнес направлениями и отраслями
Наши результаты, подробно описанные в отчете «Перспективы скрытых киберрисков», показывают значительную неопределенность в отношении потенциальной степени скрытого кибер воздействия (рисунок 1). Например, более половины респондентов оценили фактор риска для скрытых кибер потерь для полисов страхования собственности или прочей ответственности в размере 1,01 или менее. Тем не менее, почти четверть сообщила, что риск превысит один из 10.
Ответы по ожидаемому скрытому киберриску варьировались в зависимости от направления бизнеса. Респонденты предполагали, что риск может быть ниже для страховых полисов возмещения расходов на автомобили и работников, чем для собственности и прочей ответственности третьих лиц. Фактически, более трех четвертей участников опроса оценили коэффициент риска на уровне 1,01 или менее для полисов автогражданской ответственности и работников. В то время как для линии бизнеса автомобильной ответственности это может указывать на то, что несчастные случаи, связанные с уязвимостью технологий, будут рассматриваться как потери по страхованию ответственности и не понятно, почему респонденты будут воспринимать риск компенсации работникам как низкий.
Потенциальное влияние скрытого кибер воздействия более легко проявляется в результатах для высоко рисковых линий бизнеса страхования собственности и прочей ответственности. В то время, как средний показатель риска для обеих этих линий составляет 1,01, средний коэффициент риска выше - 1,07 для страхования прочей ответственности и 1,074 для страхования собственности. Принимая коэффициент потерь на уровне 60% для страхования собственности, за исключением потерь, обусловленных киберрисками и распределения тяжести для потерь скрытых киберрисков, которые были такими же, как и для других потерь, скрытое кибер воздействие может привести к тому, что коэффициент потерь вырастет до 60,6% по медиане и 64,4% по среднему.
Рассматривая предполагаемый скрытый кибер-риск среди отраслевых групп, более низкие уровни риска – ответственность автовладельцев и компенсация работникам - показали небольшие различия. Однако наш вывод выявил значительные отраслевые различия в страховании собственности и страховании прочей ответственности (рисунок 2).
Респонденты рассматривали отраслевые группы, которые регулярно обрабатывают потребительскую информацию: больницы / медицинские учреждения / социологические исследования, ИТ / коммунальные услуги / телекоммуникационные и финансовые услуги, как отрасли с более высоким риском убытков по ответственности. Интересно отметить, что группа розничных / гостиничных услуг была воспринята как группа с более низким риском, хотя в последние годы эта группа испытала несколько серьезных утечек данных.
Что касается линий страхования собственности, то промышленные / производственные / природные группы ресурсов не считались особо высоким риском, несмотря на то, что некоторые из наиболее известных примеров потерь скрытых киберрисков имели место в промышленных группах. Но респонденты рассматривали группы ИТ / коммунальных услуг / телекоммуникаций и финансовых услуг как группы с более высоким риском, что может быть признаком предполагаемых угроз коммунальных услуг и инфраструктуры связи.
Постоянное усилие
В целом, результаты опроса подчеркивают необходимость того, чтобы андеррайтеры приняли более целостную стратегию страхования киберрисков, которая может эффективно включать индивидуальные стратегии для устранения риска скрытого кибер воздействия. Наш опрос проводился до атак WannaCry и NotPetya. В расширенном контрольном опросе, запланированном на начало 2018 года, будет рассмотрен вопрос о том, как изменились восприятия скрытого киберриска после этих двух крупных событий и других инцидентов, связанных с киберрисками.
Инсайдерская угроза
Другим источником кибер воздействия, которому необходимо уделять более пристальное внимание, является человеческий фактор. Согласно данным Willis Towers Watson 2016 года, две трети кибер претензий вызваны небрежностью сотрудников или должностными преступлениями, включая потерю ноутбуков, случайное раскрытие информации или действия сотрудников-изгоев. Фактически, 90% всех требований к кибер страхованию являются результатом некоторых видов ошибок или поведения человека, если они включают в себя претензии, которые возникают из-за дефицита талантов в отделах ИТ и отсутствия вовлеченности сотрудников.
В обзоре Cyber Risk Survey 2017 Willis Towers Watson изучается диапазон поведения сотрудников, который может привести к нарушениям в киберпространстве, и показывает, что многим сотрудникам не хватает необходимого «кибер-IQ» для защиты информации о компании и клиентах даже на базовом уровне. Например, 45% сотрудников ответили, что безопасно открывать любую электронную почту на своем рабочем компьютере - показательный ответ по сравнению с растущим числом работодателей, которые проводят фишинг-тесты, чтобы ограничить мошенничество с электронной почтой, предназначенное для личной информации.
Другие виды поведения, которые характерны для организации, подверженной киберугрозам, включают: (1) использование рабочего компьютера или сотового устройства для доступа к конфиденциальной информации о компании (примерно 40% сотрудников), (2) вход в рабочее устройство в незащищенной общедоступной сети или использование рабочего компьютера в общедоступных настройках (около 30%) и (3) использование конфиденциальных бумажных файлов дома и использование неутвержденных устройств для работы дома (примерно 25%). Кроме того, примерно треть сотрудников делится личной информацией (например, датой рождения, именем работодателя, названием должности) на сайтах социальных сетей, что может сделать их организации уязвимыми для фишинговых и других атак социальной инженерии.
Эти выводы ясно показывают, что для обеспечения андеррайтинга киберрисков страховщики должны иметь возможность отслеживать степень риска, присущую поведению сотрудников, и определять меры по смягчению угрозы инсайда.
Оценка внутренней культуры риска
Культура организации стимулирует поведение сотрудников. Культура обычно относится к общему набору ценностей, принципов, предположений и убеждений, которые влияют на работу. Наши исследования показывают, что работодатели стремятся создать культуру осведомленности о киберрисках в своих организациях в целях поощрения поведения, связанного с безопасностью, и уменьшения их уязвимости в отношении киберрисков. И их цели амбициозны. Хотя в настоящее время менее половины работодателей имеют формально сформулированную кибер стратегию, более 80% хотят, чтобы управление киберрисками внедрялось в свою корпоративную культуру в течение следующих трех лет.
Чтобы начать движение в этом направлении, важно понять, как культурные факторы могут увеличить или уменьшить киберриск, связанный с поведением сотрудников. Например, организации с ориентированной на клиента культурой поощряют сотрудников к развитию сильных взаимоотношений с клиентами и прогнозированию потребностей клиентов. Поскольку сотрудники принимают ориентированный на клиента подход, они будут предпринимать необходимые действия для защиты информации о клиентах, что, в свою очередь, может служить линией защиты от киберрисков.
Инструмент обратной связи с сотрудниками, такой, как опрос по культуре киберрисков Willis Towers Watson, может помочь выявить культурные факторы, которые влияют на осведомленность, ответственность и подотчетность по киберрискам в своей организации. Такой инструмент может использоваться для мониторинга различных аспектов осведомленности о киберрисках, таких как четкость ролей и ответственности за безопасность данных, личное чувство ответственности и эффективность обучения безопасности. Он также может отслеживать поведение на индивидуальном и организационном уровнях, включая частоту кибер-умного поведения, возможность находить информацию о безопасности данных и скорость ответа организации на события, связанные с безопасностью данных.
Оценивая осведомленность о киберугрозах, а также эффективность поведения сотрудников и организаций, опрос по культуре киберрисков Willis Towers Watson может помочь компаниям определить сегменты сотрудников, которые оставляют организацию уязвимой для инцидентов, связанных с персоналом.
Кроме того, компании могут сравнивать результаты своих опросов с результатами своих коллег, которые столкнулись с серьезными нарушениями в киберпространстве. Эти результаты позволяют организациям разрабатывать планы по устранению пробелов в своих планах по управлению киберриском.
Новая система показателей риска
Данные обратной связи с сотрудниками могут помочь андеррайтерам улкчшить свой подход к оценке киберрисков и дать бесценное представление о культурных факторах, которые приводят или смягчают киберрисков внутри организации. Например, наши исследования показывают, что сотрудники компаний, которые сталкивались с утерей данных, дают своим компаниям значительно более низкие оценки в области обучения по сравнению с мнениями сотрудников высокопроизводительных компаний. В то время как обучение сотрудников в области кибербезопасности традиционно является частью процесса оценки риска, андеррайтеры теперь могут начать задавать более актуальные вопросы об инвестициях компании в индивидуальное обучение, в том числе о том, как часто сотрудники участвуют в обучении и сколько часов, независимо от того, проводит ли компания индивидуальные фишинговые упражнения как часть тренинга и многое другое. Более того, андеррайтеры могут начать получать более широкую обзор в отношении поведения сотрудников, создающих уязвимости.
Такой подход поможет андеррайтерам разработать новую систему показателей риска, которая эффективно оценивает человеческий фактор в киберриске, в результате чего вырисовывается более полная картина профиля риска организации.
Холистическая перспектива
Растущая обеспокоенность по поводу скрытых кибер угроз и инсайдерских проблемах среди персонала компаний - это призыв к андеррайтерам изменить способ просмотра киберрисков. Принимая более целостную перспективу, андеррайтеры будут иметь более четкую линию обзора всего спектра кибер воздействия. В свою очередь, этот подход позволит им иметьвозможности для совершенствования своей практики андеррайтинга и помочь организациям в разработке или повышении устойчивости к риску.
Адеола Адель, Энтони Дагостино и Марк П. Синнотт (Willis Towers Watson)
Материал переведен и подготовлен Allinsurance.kz