В ближайшие несколько месяцев Pool Re представит новому правительству Великобритании предложения по созданию пула киберстрахования системного киберриска, сообщил Крис Йетс, старший стратегический советник британской перестраховочной компании (пула) по борьбе с терроризмом.
Обновление планов по созданию в Великобритании пуловой системы киберстрахования стало частью панельной дискуссии на форуме Ferma, в ходе которой участники обсудили более широкую необходимость вмешательства правительства в рынок киберстрахования для покрытия системных рисков и повышения уровня проникновения, который особенно низок среди небольших компаний.
По словам Йетса, Pool Re начала покрывать ограниченные риски кибертерроризма в 2018 году и с тех пор ведет переговоры с рынком о потенциальных решениях в формате государственно-частного партнерства (ГЧП) для покрытия системных рисков.
В прошлом году Pool Re провел исследование, чтобы понять движущие силы недострахования киберрисков среди крупных корпораций и МСП в Великобритании. Крупные корпорации сталкиваются с трудностями при покупке адекватных лимитов и исключениями для некоторых рисков, которые их больше всего беспокоят, например, таких как спонсируемая государством деятельность и критическая инфраструктура.
«Мы разработали две схемы для решения двух типов спроса и предложения. Со стороны МСП у нас есть то, что можно назвать сетью безопасности. По сути, финансируемое за счет страховых премий по типу налога, каждое МСП будет иметь доступ к покрытию классического системного киберсобытия с быстрой фиксированной выплатой. Для тех, кто покупает киберстрахование, будет более сложный пул, на основе модели Pool Re, чтобы обеспечить покрытие в обратном порядке… чтобы увеличить лимиты и высвободить капитал», — пояснил Йейтс.
Страховой рынок в целом поддержал предложения Pool Re, хотя и с оговорками относительно предложений для МСП. «После консультаций с более чем 50 страховщиками и отраслевыми ассоциациями никто не сказал: «Зачем вы это делаете?». Были некоторые оговорки относительно схемы для МСП — люди были менее довольны этим — но мы считаем, что важно иметь это в качестве варианта, когда мы обращаемся к правительству, чтобы сказать: «У нас есть кое-что для малого бизнеса, а не только для крупного», — сказал он.
«Мы подкорректировали предложения, и рабочая группа довольна. Теперь они готовы протестировать наши предложения с новым британским правительством, что мы и сделаем в течение следующих нескольких месяцев», — сказал он.
Однако Йетс осознает, что некоторые представители страховой отрасли могут с опасением относиться к вмешательству правительства в рынок киберстрахования.
«Люди могут быть напуганы вмешательством. Потому что то, о чем мы говорим в случае с пулами, — это вмешательство правительства. И люди могут быть этим встревожены, и это оправдано во многих отношениях, учитывая, что некоторые пулы вызывали непреднамеренные негативные последствия. Но мы прошли такой долгий путь в нашем понимании таких типов программ... поэтому я думаю, что мы можем разработать это таким образом, чтобы это было дополнительным к коммерческим факторам», — сказал Йетс.
Pool Re установил три принципа для проектирования любого решения кибер-ГЧП. Кибер-ГЧП не должно «мешать» тому, что частный рынок делает в настоящее время или стремится делать, и решение должно быть способно реагировать на изменения в рыночных аппетитах, объяснил Йетс. Во-вторых, решение должно быть связано с общим повышением кибербезопасности, например, с минимальными стандартами кибербезопасности. В-третьих, схема должна быстро приносить прибыль.
«Нам нужно спросить, почему мы ждем провала рынка, прежде чем пытаться что-то с этим сделать. Почему эти пулы — план Б? Нам нужно начать говорить, что они должны быть планом А. Они должны быть частью того, как мы думаем об этих рисках, частью страховых инноваций и частью того, как менеджеры по рискам и компании могут получить необходимое им покрытие в партнерстве. Нам нужно спросить: «Как мы можем разработать что-то сейчас, что укрепит, а не заменит то, что у нас есть на текущий момент?» — сказал Йейтс.
Петра Хелькема, председатель Европейского управления страхования и профессиональных пенсий (Eiopa), также надеется, что не потребуется крупной киберкатастрофы, прежде чем правительства попытаются устранить пробел в киберзащите. Однако она отметила, что для привлечения внимания правительств требуется чувство «срочности», как это сейчас происходит со стихийными бедствиями. Но она, похоже, менее убеждена, что мы находимся на этой стадии в вопросах кибербезопасности.
«Вопрос в том, как достичь этого диалога по пробелам в киберзащите, прежде чем он станет слишком большим?». И это сложно», — сказала она. «Первый шаг — повысить устойчивость, а затем предоставить хорошие простые продукты, подкрепленные возможностями перестрахования».
«Затем вы дойдете до государственно-частного партнерства. Вам нужно двигаться дальше; если сосредоточиться на ГЧП, то защита будет работать только в случае крайней необходимости, которой, к счастью, пока нет», — сказала она.
Дэвид Молони, руководитель отдела киберрешений в практике Aon EMEA, считает, что сбой CrowdStrike в июле стал «тревожным» звонком для страховой отрасли и первым случаем, когда рынок столкнулся с системным киберсобытием. Хотя от CrowdStrike поступали заявления, он считает, что потери страхового рынка будут «далеко не близки» к первоначальным оценкам в $1,5–2 млрд.
«Сейчас мы находимся в положении, когда этот рынок должен бороться за свою актуальность и иметь возможность продемонстрировать будущую защиту. Сбой CrowdStrike — это замечательный пример общей зрелости и реакции рынка», — сказал Молони.
По словам Юргена Рейнхарта, главного специалиста по андеррайтингу киберстрахования в Munich Re, сбой в работе CrowdStrike также выявил отсутствие понимания системных событий и накопления риска. «CrowdStrike показывает, насколько все нервничают... Для меня это говорит о том, что нет высокого уровня уверенности в нашей способности управлять кумуляциями», — сказал он.
Подготовлено порталом Allinsurance.kz