29
Пт, март

Страховщики стремятся исключить покрытие кибервойны

cyber insuranceСтраховщики в настоящее время изучают способы прояснить покрытие предполагаемых кибератак на уровне государства, что может проложить путь к повсеместному принятию исключений для кибервойн и катастрофических событий, согласно панельным дебатам, организованным страховым аналитическим центром The Geneva Association.

Необходимость уточнения охвата связана с растущим числом кибератак, связанных с национальными государствами, а также с недавними судебными разбирательствами. В январе Верховный суд Нью-Джерси постановил, что страховая компания Chubb не может использовать военное исключение, чтобы отклонить иск американской фармацевтической компании Merck на сумму $1,4 млрд, связанный с атакой вредоносного ПО NotPetya в 2017 году.

По словам Даррена Пейна, директора по кибербезопасности Женевской ассоциации, растет число киберинцидентов, в которых участвуют государства или государства, предоставляющие злоумышленникам безопасную гавань. Однако такие потери, как правило, не соответствуют прямой войне или не могут быть связаны с террористическими группами. Это создает серую зону для страхового покрытия, включая кибербезопасность, где военные действия обычно исключаются в соответствии с положениями о войне и терроризме.

Женевская ассоциация в партнерстве с Международным форумом по (пере)страховочным пулам террористических рисков (IFTRIP) опубликовала в прошлом году отчет, в котором предложила концепцию враждебной киберактивности (HCA). В отчете говорится, что HCA, термин для описания кибер-действия, которое в настоящее время находится в серой зоне между кибервойной и кибертерроризмом, направлено на то, чтобы внести ясность в язык, используемый для описания киберрисков.

«Открылся пробел в определениях. Но вместо того, чтобы расширять определения кибервойны и кибертерроризма, чтобы сократить этот разрыв, Женевская ассоциация и IFTRIP продвигают использование термина «враждебная киберактивность». Он охватывает ряд вредоносных действий, выходящих за рамки кибертерроризма, но не связанных с прямой кибервойной», — сказал Пейн.

Он добавил, что расширенные формулировки полисов могут помочь решить две проблемы, связанные с разъяснением покрытия и исключением защиты от атак со стороны государства, а именно с определением причин и описанием киберубытков, т. е. может ли киберинцидент быть связан с враждебными или военными действиями, преступной деятельностью или промышленным/политическим шпионажем.

Отнесение киберубытков к определенной группе или национальному государству часто «спорно и может быть очень сложным с юридической точки зрения, что мы видели в атаке Not Petya в 2017 году, которая вызвала серьезные судебные разбирательства по поводу того, было ли это военным актом или нет», — сказал Пейн.

«Мы считаем, что такая расширенная формулировка полиса может помочь преодолеть две ключевые неопределенности, которые часто имеют решающее значение при определении объема и действительности страхования от киберугроз», — сказал он. «Мы надеемся, что более точные и четкие формулировки в договоре страхования, такие как HCA, создадут большую уверенность в договоре, что будет полезно для расширения сферы киберстрахования и проникновения», — добавил он.

В дополнение к предложениям Женевской ассоциации / IFTRIP по HCA, рынок Ллойда работал над этим вопросом, опубликовав в ноябре набор типовых положений об исключении кибервойн и киберопераций. Ллойд требует, чтобы управляющие агенты Ллойда имели исключение для войны - одно из немногих обязательных исключений в рамках киберполиса.

Ллойд начал разработку набора киберисключений после событий NotPetya путем пересмотра рыночного военного исключения LMA 464. панели кибербизнеса в Lloyd's Market Association (LMA).

«Конечно, на рынке Ллойда существует признание того, что вещи должны меняться и развиваться, и один из выводов решения Merck — как это ни удивительно с точки зрения рассуждений — заключается в том, что если киберриск не упоминается в исключение, таким образом, в штате Джерси, в их глазах, исключение не применяется. В настоящее время идет открытое обсуждение, и происходит ряд разговоров, и существует ряд концепций, и мы абсолютно приветствуем дебаты», — сказал Пейн.

«Главное, что нам нужно измениться на рынке. Мы сделали гигантский шаг вперед, и я думаю, что мы увидим хороший прогресс в течение следующих 12 месяцев или около того», — добавил он.

По словам Джона Бейтмана, научного сотрудника Инициативы киберполитики в Фонде Карнеги за международный мир и автора недавней статьи об исключениях кибервойн и кибертерроризма, в настоящее время существует ряд потенциальных подходов к определению кибервойны и кибертерроризма.

«Есть много экспериментальных концепций, которые были предложены. У нас есть HCA, формулировки LMA, и у нас есть исключения в моей статье из Карнеги. Есть и другие идеи, такие как идея Chubb с массовыми событиями и отчет Capsicum Re, сделанный несколько лет назад», — сказал он.

«Все они разные, но их всех объединяет общее признание того, что традиционные формулировки и концепции неадекватны и что нам нужны инновации и эксперименты, чтобы освежить концепции в языке киберстрахования», — добавил он.

В своей статье Бейтман предлагает использовать более широкое исключение киберкатастроф, которое также охватило бы крупные киберсобытия, не связанные с национальными государствами или террористическими группами.

«Не все крупномасштабные киберинциденты спонсируются государством или являются следствием войны. У нас появляется все больше преступных деятелей, способных нанести ущерб в аналогичном масштабе, и могут быть стихийные бедствия или человеческие ошибки, которые имеют каскадные системные последствия, а затем, конечно, война затягивает вас в это болото атрибуции», — пояснил Бейтман.

Он также предложил страховщикам рассмотреть возможность использования оговорки о киберкатастрофе в сочетании с другими исключениями.

«Имеет смысл подумать о том, как совокупность исключений может работать вместе, а не пытаться придать все значение исключению войны. В своем отчете я описываю, как будет выглядеть создание более точного исключения киберкатастроф, которое действует независимо от преступника или триггера и в первую очередь основано на влиянии события в одной стране или нескольких странах», — сказал Бейтман.

«Одно из моих предложений заключалось в создании исключений, не зависящих от триггеров и основанных на воздействии. Это опишет большинстве уравнений, связанных со страховкой. Затем мы могли бы решить, использовать ли сверху исключение войны. Не нужно было бы делать так много. В этот момент можно сосредоточиться на избранном наборе вариантов использования, таких как киберинциденты, которые являются следствием крупномасштабного конфликта, что мы можем вскоре увидеть в Украине, но сами по себе они могут не соответствовать порогу катастрофы», — сказал он. .

«В конце концов, исключения будут лишь частью решения. На самом деле нам нужно, чтобы правительства, операторы критической инфраструктуры, технические и страховые компании также думали о том, как выявлять, уменьшать и управлять основной проблемой, которой является сам системный киберриск», — добавил он.

Во время того же вебинара президент IFTRIP предупредил, что поддерживаемые государством террористические пулы вряд ли в ближайшее время будут распространять покрытие на катастрофические кибератаки.

Он сказал, что будет сложно заставить правительства, многие из которых борются с последствиями пандемии, расширить существующие пулы для покрытия катастрофических и системных киберрисков.

Подготовлено порталом Allinsurance.kz