Поскольку киберриски тесно связаны со страхованием имущества, лояльности персонала, профессиональной ответственности и репутации, комплексные страховые покрытия становятся первостепенными.
Киберриск по-прежнему остается аморфной и, казалось бы, не идентифицируемой угрозой для предприятий всех типов и размеров, а страховщики постоянно адаптируют свои полисы для реагирования на меняющуюся бизнес среду. Адаптироваться к изменениям сложнее, учитывая тот факт, что кибератаки уже не ограничиваются нарушениями сетевой безопасности, которые угрожают личной информации.
Киберугрозы теперь смешиваются с другими видами рисков, такими как лояльность сотрудников и профессиональная ответственность, а также могут привести к более широкому спектру потерь, включая повреждение имущества и репутации.
«Сейчас мы видим изменения, когда злоумышленники не просто взламывают сети, чтобы украсть информацию, они выходят из цифрового мира, чтобы причинить различные виды ущерба», - сказала Элисса Дорофф, вице-президент, менеджер по андеррайтингу и продуктам XL Catlin.
Киберугрозы становятся первопричиной различных видов материального ущерба, поэтому встает вопрос о том, какие полисы будут инициироваться событием, связанным как с цифровым, так и с физическим ущербом, что повышает потенциал как пробелов, так и излишков в покрытии.
Вот пять главных путей развития киберриска для создания «серых областей» (неопределенностей) в существующих страховых покрытиях:
1. Инфильтрация промышленных систем приводит к повреждению имущества
Способность хакеров нарушать корпоративную сеть через различные каналы не является чем-то новым. Но когда целью является причинение физического вреда, а не кража данных, они могут найти свой путь в промышленные системы управления объектом и нанести ущерб.
В 2014 году киберпреступники устроили пожар на немецком сталелитейном заводе через разгон оборудования, пока оно не стало слишком горячим, что в конечном итоге привело к взрыву. В следующем году злоумышленники организовали сбой украинской энергосистемы с помощью подобных методов.
Полис по страхованию имущества срабатывает в результате физического ущерба от такого инцидента, независимо от причины. Но физические повреждения - всего лишь одна часть атаки.
Пострадавшая компания также должна будет исследовать, как хакеры получили доступ к ее системам и были ли данные украдены или изменены как-либо процессе атаки. Расходы на судебное расследование, восстановление данных, уведомление и любые другие риски, связанные с третьей стороной, не будут покрываться за счет полиса страхования имущества.
«Полис для защиты от киберрисков будет отвечать за сетевые проблемы, такие как кража персональных данных или использование временного вредоносного ПО, которое наносит ущерб третьей стороне», - сказала Дорофф. «И такой полис будет включать покрытие для исправления нарушения сети».
Без полиса по киберрискам любой случай физического ущерба, нанесенного киберсобытием, будет частично покрыт.
2. Интернет вещей и биткойн усиливают риск требования выкупа
Когда впервые были обнаружены атаки с вымогательством, убытки по ним не были значительными, чтобы оправдывать полисы по киберрискам с большими лимитами ответственности.
«В среднем претензии не превышали 50 000 долларов США. Вы заплатили выкуп, если вам нужно. Более сложные организации с хорошими резервными копиями знали, что они будут в безопасности, не заплатив, поэтому они могут просто ждать, пока хакер уйдет», - сказал Дорофф.
Но проблему уже не так легко решить. Взлом устройств, подключенных через Интернет вещей, создал больше точек доступа к корпоративным данным. «Когда сотрудники подключаются к своим телефонам за пределами VPN, это может привести к уязвимости корпоративной сети даже с более высоким уровнем безопасности», - сказала она. «Это открывает двери для новых видов вредоносных программ».
Рост биткойна также приводит к увеличению вариантов взлома с требованием выкупа. Более того, воры просят оплатить их требования в криптовалюте, курс которой продолжает расти. Вот почему наличие киберстрахования у поставщиков, обладающих правами доступа является критическим.
«Убытки по кибервымогательству составляют не больше 50 000 долларов. С распространением и повышением цены биткойна стоимость атак, направленных на вымогательство сегодня может удвоить или утроить эту сумму », - сказала Дорофф.
Когда-то включение риска кибервымогательства считалось экзотикой в страховании киберрисков, теперь наличие этой опции критически важно. Страхование ответственности по киберрискам без страхования вымогательства может оставить непокрытые потери после нападения.
3. Социальная инженерия расширяет понятие кражи
Хакеры стали искусно подделывать деловые электронные письма, чтобы запросить мошеннические переводы средств, позиционируя себя, как клиент или поставщик, а иногда и как старший менеджер, делающий запрос подчиненному. Часто обманутый сотрудник осуществляет отправку денег, не осознавая ошибку, пока не становится слишком поздно, поскольку как вор, так и деньги давно исчезли.
«Этот тип кражи создал разрыв в покрытии на страховом рынке, когда дело касается финансового мошенничества», - сказала Дорофф.
Полисы, покрывающие лояльность персонала и противоправные действия, как правило, не покрывали бы потери, вытекающие из схемы социальной инженерии, потому, что средства в конечном итоге были переданы добровольно, даже если сотрудник, который сделал это, был обманут. Полисы, покрывающие противоправные действия могут только покрыть прямую кражу денег или ценных бумаг.
«На рынке появился спрос на включение покрытия от мошенничества в области социальной инженерии в полисы страхования от киберрисков, но большая часть покрытия, который сейчас существует, предлагается на ограниченной основе», - сказала Дорофф.
Поскольку киберворы находят новые способы для обмана, киберстрахование с охватом социального мошенничества в сочетании с покрытием противоправных действий и лояльности персонала закрывает пробел в покрытии для новых типов краж.
4. Взлом базы данных угрожает репутации компании
Множество громких взломов баз данных демонстрируют, как кибер-атака может заставить общественность потерять веру в организацию, которой они доверяли свою личную информацию. Target, Equifax, Yahoo и Uber - всего лишь несколько примеров.
«Антиреклама приведет к потере доверия к бренду, что негативно скажется на продажах, и количественная оценка этого воздействия является сложной частью проектирования страхового покрытия», - сказала Дорофф. Количественная оценка воздействия является препятствием для разработки покрытий, которые адекватно учитывают репутационные риски и риски киберпреступлений, но существует несколько методов.
«Мы рассматриваем продажи компании за шестимесячный период после инцидента и сравниваем полученные данные с предыдущим годом, что дает мгновенный слепок того, сколько дохода они потеряли, что, вероятно, связано с киберсобытием», - сказала Дорофф.
Но, добавила она, количественная оценка потери - не точная наука. Наряду со сравнением продаж и доходов может потребоваться более тщательный финансовый аудит, проводимый судебными бухгалтерами. У каждого бизнеса будет свой собственный предпочтительный метод измерения влияния репутации.
Поскольку большинство программ страхования от киберрисков на рынке сегодня вообще не затрагивают эту проблему, лучше всего напрямую работать с андеррайтерами, чтобы определить, есть ли покрытие финансовых потерь от ущерба репутации и как эти потери будут учтены.
5. Хранение «деликатных» данных повышает риск профессиональной ответственности
Хотя кража персональных данных всегда представляла значительную угрозу для финансовых учреждений, больниц и других организаций, в которых хранится большое количество частных данных клиентов, некоторые фирмы, ранее менее заинтересованные в защите от киберрисков, обнаруживают, что у них также может возникнуть ответственность.
«Это часто случается с фирмами, оказывающими профессиональные услуги, такие как офисы адвокатов или финансовых консультантов», - сказала Дорофф. «Они обязаны хранить конфиденциальную информацию клиентов. Если есть какой-то сторонний инцидент, когда информация их клиентов не санкционированно распространяется, они могут столкнуться с дорогостоящими судебными исками».
Хотя страховые программы в области профессиональной ответственности, вероятно, покрывают эти судебные издержки, они не будут покрывать потери первой стороны, связанные с самим нарушением, включая расходы на расследование, уведомление и исправление. Для большего числа фирм «недостаточно полагаться на охват E & O», сказала Дорофф.
Размышления об объеме страхового покрытия
Поскольку киберриски и страховые покрытия продолжают эволюционировать, компаниям лучше всего работать со специалистами в области киберандеррайтинга. Полисы кибер и технологической ответственности компании XL Catlin предоставляют страховое покрытие от различных способов, посредством которых злоумышленники могут проникнуть в системы или иным образом причинить вред.
«Мы построили страховую программу на основе всех запросов, которые мы получили от брокеров, что означало изменение некоторых определений, устранение некоторых исключений или расширение некоторых соглашений о страховании», - сказала Дорофф. «Результатом являются страховые программы с очень широкими диапазоном условий и положений, которые являются лидерами на рынке и это как раз то, что ищут брокеры и страхователи».
Подготовлено www.allinsurance.kz по материалам P&C