В условиях все более оцифрованной экономики — в некоторых секторах, почти полностью зависящих от технологий — угроза, создаваемая рисками в цепочке поставок, связанными с зависимостью от сторонних поставщиков, как ИТ, так и не ИТ, никогда не была больше, и она будет только расти. По данным Всемирного экономического форума (ВЭФ), 54% руководителей назвали управление сторонними рисками основной проблемой для своих организаций в 2025 году.
Ожидаемые потери от кибератак, возникающих в цепочке поставок, существенны. Как сообщается в отчете ВЭФ по кибербезопасности за 2024 год, 41% организаций, пострадавших от кибератак, заявили, что они исходили от третьей стороны. Недавнее исследование Cybersecurity Ventures прогнозирует, что кибератаки, нацеленные на поставщиков программного обеспечения, приведут к потерям в размере $60 млрд в 2025 году, и ожидается, что эта цифра будет расти на 15% ежегодно. Кроме того, Gartner прогнозирует, что к 2025 году 45% компаний подвергнутся кибератакам через свою цепочку поставок программного обеспечения.
Эта массовая миграция данных и критическая зависимость от цепочки поставок кардинально изменили ландшафт рисков. Например, в аэрокосмической, автомобильной и розничной отраслях субъекты угроз нацелены на промежуточных операторов в цепочке поставок продукции, чтобы дестабилизировать целые отрасли или даже государства. Одна успешная атака может привести к проникновению данных, возможностям для вымогательства и прерыванию бизнеса во всей сети организаций, что делает ее более эффективной и прибыльной для киберпреступников.
Более того, системный характер киберриска не ограничивается вредоносными атаками. Ярким примером является инцидент CrowdStrike в 2024 году, когда ошибка в обновлении программного обеспечения привела к практически немедленным глобальным последствиям, отключив около 8,5 миллионов систем на несколько дней. Хотя последствия события могли быть более серьезными для бизнеса, оно выявило системные риски, присущие сегодняшней взаимозависимой цифровой экономике.
Устранение информационного разрыва
Последний сезон продления был отмечен ростом спроса на покрытие киберрисков, распространяющееся на всю цепочку поставок страхователей, независимо от того, являются ли они поставщиками ИТ или нет, и являются ли они поставщиками, указанными в контракте. Этот запрос от клиентов становится все более распространенным, и рынок киберстрахования уже предлагает решения для этой потребности. Однако, чем больше прозрачности вокруг подверженности риску, тем более эффективным может стать это покрытие.
В постоянно меняющемся ландшафте рисков эффективное моделирование рисков имеет важное значение для улучшения понимания рисков в отрасли и адекватного ценообразования новых типов покрытия. Однако отсутствие информации как при моделировании убытков, так и при выборе рисков остается проблемой для рынка. И фактически, в 2024 году отчет ВЭФ по кибербезопасности установил, что 54% организаций недостаточно понимают подверженность киберрискам своей цепочки поставок.
Третьи стороны часто являются упускаемым из виду компонентом архитектуры компании, однако они могут быть важны для бесперебойной работы организации. Страховщикам требуется большая прозрачность в отношении того, какие методы снижения рисков применяются страхователями для управления рисками цепочки поставок третьих сторон. Если происходит сбой у одного из поставщиков, есть ли резервная копия? Управляется ли каждый элемент цепочки поставок другим поставщиком? Имеются ли у этих поставщиков собственные стратегии снижения рисков? Дублирование, распределение и разнообразие поставщиков необходимы для минимизации влияния любого сбоя в цепочке поставок.
С помощью такой информации можно создавать более обоснованные и индивидуальные решения для страхователей, соответствующие сложности их цепочек поставок. Моделирование секторных рисков также становится все более важным для предложения более релевантных цен и покрытия для клиентов.
Проще говоря, чем больше информации доступно страховщикам, тем более измеримым и детализированным будет их видение киберрисков и, в конечном итоге, тем более эффективными будут решения по страхованию, учитывающие риски.
Более того, обеспечение надежности покрытия посредством обоснованного и дисциплинированного андеррайтинга будет способствовать большей стабильности на рынке, который часто рассматривается как нестабильный и все еще достаточно молодой.
Для того, чтобы киберстраховщики превратились из простых поставщиков емкости в настоящих партнеров по устойчивости, важно предлагать страховые решения, которые учитывают всю цепочку создания стоимости страхователей. Ключ к построению этого партнерства заключается в качестве и прозрачности совместно используемой информации, а также в гибкости страховщиков в предоставлении своих услуг и решений.
Автор: Серджио Пьерро, старший андеррайтер киберстрахования в Arch Insurance (EU)
Переод с англ. подготовлен порталом Allinsurance.kz
