19
Вт, нояб

CrowdStrike ставит под сомнение смягчение рынка киберстрахования

cyberinsЭксперты разделились во мнениях относительно того, окажут ли убытки от сбоя CrowdStrike реальное влияние на ценообразование в сфере киберстрахования и, возможно, отменят недавнее смягчение, однако все более единодушно полагают, что это событие повлияет на условия и положения полисов.

Редакция специализированного издания Commercial Risk провела опрос специалистов в области киберрисков и киберстрахования для того, чтобы понять последствия произошедшего киберинцидента на будущие тенденции рынка.

Эксперты считают, что инцидент, скорее всего, окажет наибольшее влияние (как с точки зрения более высоких премий, так и более жестких формулировок) на полисы киберстрахования, которые покрывают перерывы в производстве и ответственность третьих лиц.

Фирмы, которые в значительной степени полагаются на сторонних поставщиков услуг кибербезопасности, скорее всего, почувствуют ущемление. И многие эксперты подчеркивают, что если текущие оценки потерь от CrowdStrike возрастут, что, кажется, не исключено, сбой может оказать большее влияние на киберрынок, чем некоторые сейчас предсказывают.

Предыстория сбоя и оценка потерь

Сбой в работе системы в фирме по кибербезопасности CrowdStrike считается крупнейшим сбоем в работе ИТ-систем. Проблемы начались 18 июля, когда обновление программного обеспечения от поставщика услуг кибербезопасности пошло не так, затронув миллионы компьютеров, платформ и сетей, работающих на системах Windows. По словам Эрики Дэвис, глобального соруководителя кибербезопасности в Guy Carpenter, инцидент имел «потенциал стать катастрофой».

Однако ее влияние на бизнес и страховщиков удалось сдержать благодаря быстрому устранению ошибки, что дало многим организациям возможность смягчить проблемы до наступления периода ожидания претензий по перерывам в работе из-за киберрисков, который обычно составляет от четырех до 12 часов.

Специалисты Guy Carpenter полагают, что пострадало менее 1% глобальных компаний с киберпокрытием. Перестраховочный брокер оценивает, что инцидент CrowdStrike обойдется страховщикам в сумму от $300 млн до $1 млрд, что делает его «значительной, но управляемой» потерей для большинства страховщиков.

«Выводы Guy Carpenter совпадают с выводом о том, что это событие не приведет к существенным потерям для большинства страховщиков, хотя это может измениться в зависимости от формулировок, принятых страховщиками, концентрации андеррайтинга в затронутых секторах промышленности и использования покрытия сбоев системы», — говорится в сообщении.

Оценка потерь составляет где-то от 2% до 6% от предполагаемых Guy Carpenter $15,8 млрд ежегодной валовой преми киберстрахования. Оценки брокера для CrowdStrike сравниваются с оценкой от $400 млн до $1,5 млрд от CyberCube.

Итак, учитывая, что на карту поставлены крупные, но не катастрофические киберпотери, один из ключевых вопросов заключается в том, окажет ли это событие какое-либо влияние на рынок киберстрахования, который только что перешел в пользу покупателей после длительного периода жесткого упрочнения. Мнения разделились.

Что будет со смягчением рынка киберстрахования?

Лондонский рынок и глобальный брокер Miller сообщил, что, хотя на киберрынке наблюдается тенденция к смягчению в связи с ростом емкости и конкуренции, этот инцидент «может временно изменить это направление».

«По нашему мнению, сбой в работе CrowdStrike, скорее всего, приведет как к росту премий по киберстрахованию, так и к более строгим условиям, поскольку страховщики приспосабливаются к возросшему восприятию риска в связи с этим значимым событием», — заявила Дебби Хоббс, руководитель отдела киберстрахования, технологий и медиа брокерской компании.

«Масштабные сбои, вызванные отключением, выявили потенциал крупномасштабных системных рисков, побудив страховщиков пересмотреть свои риски. Эта переоценка может привести к увеличению премий, особенно по полисам, которые покрывают перерывы в работе и ответственность третьих лиц», — добавила она.

По словам Хоббс, эта точка зрения подтверждается «всплеском» запросов на долгосрочные соглашения, которые фиксируют условия, положения и ставки покрытия на длительный период, от покупателей киберстрахования после инцидента.

Эксперты брокера также считают, что финансовые потери и предполагаемая угроза, связанные с инцидентом CrowdStrike, могут повлиять на переговоры по перестрахованию, что приведет к более высоким ставкам перестрахования или более ограничительным условиям. Все это повлияет на то, как первичный рынок думает о киберстраховании, отметила Хоббс.

И она считает, что влияние также будет ощущаться через более ограниченное киберпокрытие. «Инцидент выявил критические уязвимости даже в самых авторитетных фирмах по кибербезопасности, что может привести к более строгим условиям полисов в будущем. Это может включать более строгие требования к страхователям по демонстрации своих мер кибербезопасности, а также введение новых исключений или ограничений в покрытии. Например, страховщики могут ввести исключения, связанные со сбоями в обслуживании третьих лиц, или сократить объем покрытия для системных событий», — сказала Хоббс.

Со стороны страховщика Zurich ожидает, что инцидент окажет «стабилизирующее влияние» на ценообразование на рынке киберстрахования, и подчеркивает, что его полное влияние остается «неопределенным».

«Более того, это событие подчеркнуло необходимость для страховщиков лучше понимать и расширять свою оценку возможных отдельных точек отказа, которые могут повлиять на условия полисов в будущем», — заявила Сьерра Синьорелли, генеральный директор коммерческого страхования Zurich.

Синьорелли добавила, что инцидент с CrowdStrike стал тревожным сигналом как для страховщиков киберугроз, так и для их клиентов, и подчеркнула, что последствия были бы гораздо более серьезными, если бы это была вредоносная атака, которую было бы не так легко устранить.

Рейтинговые агентства не уверены, окажет ли событие CrowdStrike большое влияние на ценообразование в киберстраховании. Но имеют больше согласия с мнением рынка, когда дело доходит до условий.

«В целом это окажет минимальное влияние на ценообразование, поскольку убытки не материализовались на уровне, превышающем тот, который предполагался ценообразованием», — сказал Джеральд Гломбицки, старший директор страховой группы Fitch Ratings.

«Но условия и положения полисов, вероятно, будут затронуты больше, в частности, стороны будут смотреть на «пункт о часах». Вот как быстро перерыв в работе начинает действовать как преимущество. Отраслевой стандарт составляет от восьми до 12 часов, но он значительно различается у разных конкурентов. На киберрынке все еще существует значительная изменчивость условий и положений, и это событие не подтолкнет отрасль к стандартизации», — добавил он.

Мануэль Адам, страховой аналитик S&P Global Ratings,считает, что прямое финансовое влияние сбоя CrowdStrike для страховой отрасли управляемо, а потери в основном связаны с претензиями по прерыванию бизнеса. Он также отметил, что все, вероятно, было бы «гораздо хуже», если бы инцидент был злонамеренным.

Однако, учитывая текущие оценки убытков, Адам полагает, что сбой CrowdStrike сам по себе вряд ли окажет «существенное влияние на текущее ценообразование на рынке киберстрахования».

«Однако, если будут обнаружены дополнительные нарушения безопасности или потери данных, затрагивающие страхователей, может произойти более значительный, чем ожидалось, всплеск претензий. Это может побудить страховщиков пересмотреть лимиты покрытия или исключения, связанные с перебоями в работе критически важных служб кибербезопасности», — сказал он.

Адам заявил, что, по его мнению, даже при текущих оценках убытков страховщики, скорее всего, пересмотрят оценку рисков для компаний, которые в наибольшей степени полагаются на сторонних поставщиков услуг кибербезопасности, таких как CrowdStrike.

«Если сбой воспринимается как уязвимость, страховщики могут скорректировать премии или условия полиса для предприятий, зависящих от этих услуг», — сказал Адам. «Они также могут более тщательно изучить планы устойчивости и непредвиденных обстоятельств этих поставщиков, что может привести к более строгим требованиям полиса».

Адам также прогнозирует, что инцидент может побудить компании диверсифицировать свои стратегии кибербезопасности, полагаясь на нескольких поставщиков вместо одного. Такая диверсификация может повлиять на то, как страховщики оценивают риски и разрабатывают свои полисы, сказал он.

«Кроме того, страховщики могут разработать новые продукты, специально предназначенные для покрытия рисков, связанных с перебоями в обслуживании третьих лиц, поскольку страховщики и предприятия теперь могут уделять больше внимания рискам третьих лиц/цепочки поставок», — отмечают аналитики рейтинговых агентств.

Майкл Лагомарсино, старший директор AM Best, подводит итог тому, почему существуют разные мнения о вероятном влиянии сбоя на первичный киберрынок.

«С одной стороны, мы ожидаем, что квартальное замедление темпов роста киберугроз, наблюдавшееся в течение 2023 года и в начале 2024 года, а в последнее время и ставшее умеренно отрицательным, изменит курс после сбоя CrowdStrike, особенно с учетом недавних крупных утечек данных и продолжающегося роста частоты атак с использованием программ-вымогателей», — сказал он.

«Однако первоначальные оценки застрахованных убытков в размере от $500 млн до $1,5 млрд из-за сбоя CrowdStrike кажутся управляемыми для киберстраховщиков, особенно с учетом того, что в последние годы они демонстрируют высокие операционные результаты. Действия, предпринятые в отношении ужесточения языка полисов и условий, а также общее улучшение гигиены кибербезопасности страхователей с течением времени, ставят отрасль в прочное положение для поглощения любых негативных последствий», — продолжил он.

«В результате, возможно, не будет существенных изменений в условиях или сдвигов в конкурентной среде. Тем не менее, это первые дни после сбоя, и мы будем следить за дополнительной информацией по мере ее поступления», — добавил он.

Пересмотрите свои полисы

В целом ксперты призывают покупателей киберстрахования пересмотреть свои полисы, особенно в части рисков прерывания бизнеса, чтобы убедиться, что они достаточно застрахованы от таких событий, как недавний сбой CrowdStrike. Они согласны с тем, что претензии, скорее всего, будут сложными, а окончательная сумма убытков далеко не определена.

Аллен Блаунт, руководитель национальной практики киберстрахования в США в брокерской компании Risk Strategies, сообщил, что, хотя полисы киберстрахования часто содержат покрытие незлонамеренных действий и такое покрытие широко доступно, страхователям следует быть уверенными в формулировках и ограничениях договора.

«Иногда это покрытие упускается из виду», — сказал Блаунт. В дополнение к обеспечению явного покрытия незлонамеренных действий страхователи должны проверить, применяется ли их полный лимит, поскольку некоторые страховщики могут сублимитировать такое покрытие, сказал он.

Мередит Шнур, руководитель практики по киберстрахованию в США и Канаде компании Marsh, отметила, что из-за большого разнообразия форм на рынке коммерческого киберстрахования страхователи могут столкнуться с разными методами учета убытков в рамках покрытия перерывов в производстве.

«Вы можете взять пять разных полисов и прочитать покрытие перерыва в работе или условного перерыва в работе во всех из них, и все они будут выглядеть по-разному», — сказала Шнур. Страхователи должны «понимать объем этого покрытия и то, как оно варьируется».

Рори Иган, руководитель отдела кибераналитики в подразделении перестраховочных решений Aon в Лондоне, сказал, что мы начинаем получать картину последствий события, но подчеркнул, что определение окончательного «количества убытков» займет гораздо больше времени.

Одним из факторов, влияющих на размер общего застрахованного убытка среди компаний, купивших покрытие сбоев систем, являются применимые периоды ожидания. «Могут ли они начать отсчет с четвертого часа сбоя, с 12-го или с 24-го часа? Это определит, где мы окажемся с точки зрения потерянного кванта на рыночном уровне», — сказал Иган.

По словам Брайана Гиллина, управляющего директора по восточному региону США компании Aon, некоторые страхователи, вероятно, возобновили свою деятельность до того, как истек срок удержания в их полисах.

Он добавил, что покрытие незлонамеренных действий «обычно включено» в большинство крупных и сложных коммерческих программ киберстрахования, но не является универсальным.

«И поскольку появляется все больше данных о том, насколько значительными были потери для отдельных компаний, это заставит других пересмотреть свои текущие покупки и, возможно, купить больше», — предсказал Гиллин.

Подготовлено порталом Allinsurance.kz