Находясь все еще в зачаточном состоянии, глобальный рынок киберрисков продолжает сталкиваться с проблемами данных и моделирования, но все чаще перестраховщики осознают необходимость новых и инновационных подходов.
Эта ситуация развивается на наших глазах, считают владельцы и основатели PeriStrat GmbH, Ханс-Йоахим Гюнтер и Питер Хакер, всемирно признанные эксперты по кибербезопасности и советники организаций, регуляторных органов и корпоративных советов. В недавнем интервью Reinsurance News они обсудили текущее состояние зарождающегося рынка моделирования киберрисков, которое рассматривается как одна из самых больших проблем и возможностей для глобальных страховщиков и перестраховщиков.
Разрыв в защите - огромен
Гюнтер и Хакер подчеркнули значительный разрыв в защите от киберрисков, оценивая уровень присутствия как явных, так и скрытых киберрисков, которые в совокупности составляют от 17% до 22% в фактических экономических потерях.
Поскольку 83% рисков не покрываются защитой, основной вопрос, которые обсуждают спикеры состоит в том, успешно ли страховщики и перестраховщики справляются с поставленными задачами.
«Спрос на страхование за пределами США еще не созрел, потому что многие потенциально застрахованные не осознают риск, которому они подвергаются. Более того, страховые компании не будут иметь достаточного доступа к корпоративным советам, и даже если доступ у них есть, они изо всех сил пытаются объяснить свои ценностные предложения советам.
«Индустрия пере / страхования пока не в состоянии удовлетворить потенциальный спрос из-за многочисленных неопределенностей в отношении управления рисками, связанными с очень динамичным и каскадным воздействием этих рисков. Без сомнения, реальная подверженность киберубыткам на этом этапе значительно недострахована, поэтому страховые потери будут намного меньше экономических потерь», - сказал Гюнтер.
Обсуждая спрос на защиту, Гюнтер сказал, что, учитывая переход акцента бизнеса от материальных ценностей к нематериальным активам, спрос на явное киберпокрытие будет расти в геометрической прогрессии. Кроме того, повышение осведомленности о рисках и более глубокое понимание также может привести к увеличению спроса.
Как Гюнтер, так и Хакер охарактеризовали рынок киберстрахования (за пределами США) как «зарождающийся», подчеркнув, что сектор прямого страхования начал реагировать на реальный рыночный спрос на защиту, прежде чем полностью понять, что может быть уже покрыто в базовом секторе P & C.
«Но пере / страхование не поддерживает и не внедряет инновации в этом секторе, и мы ожидаем, что многие дополнительные разработки продукта будут следовать опыту претензий, как это было исторически с другими рисками. Однако, на наш взгляд, это опасный путь из-за вирулентного характера кибервоздействия. Как пример, частота случаев вымогательства. Это явный элемент покрытия, который, по нашему мнению, должен быть совершенно отдельным и обрабатываться должен отдельно», - пояснил Хакер.
Киберриск является по своей сути и чрезвычайно сложным воздействием, и одной из ключевых проблем для перестраховщиков при попытке адекватно понять риск, кроме того для оценки потенциального финансового воздействия критическим является отсутствие исторических данных.
Хакер согласился с тем, что само моделирование является «серьезной проблемой», но объяснил, что, хотя исторические данные будут важны для проверки определенных результатов моделирования, они никогда не будут такими важными, как при риске природных катастроф. Что действительно важно, так это активный анализ угроз, а не пассивный анализ угроз и изучение вторичных данных.
«Причина проста: кибернетическое воздействие - это не результат стихийных бедствий, а антропогенное воздействие, основанное на преступных намерениях и ограниченном уровне диверсификации по сравнению с природными катастрофами. Инициаторы угроз постоянно меняются, и число векторов угроз, стоящих за атаками, быстро развивается, что создает сложный и развивающийся ландшафт рисков для каждой отрасли или экономики», - сказал Хакер.
Гюнтер добавил: «Полезных данных мало, данные об инцидентах несопоставимы с частотой актуарных потерь, дуализм между скрытыми и явными киберрисками показывает разную степень тяжести убытков и т. д. Качество моделей по киберрискам отстает на 20 лет от моделей оценки природных катастроф в перестраховании и многие современные подходы к моделированию предоставляют информацию об одном риске, но не могут обрабатывать ситуации в совокупности по портфелю».
Нужен пересмотр условий контрактов
По словам Гюнтера и Хакера, еще одной серьезной проблемой станет переход от скрытого или не явного характера киберриска к защите только от явных киберрисков.
«Это потребует серьезного пересмотра формулировок страхового контракта, что станет еще одной проблемой для конкуренции, поскольку страховщики будут стараться не потерять какую-либо долю рынка, поэтому будет естественное нежелание быть первопроходцем», - сказал Гюнтер.
Что касается необозначенного в контракте киберриска, Хакер продолжал объяснять, что индустрия начинает понимать потенциальные объемы скрытого кибервоздействия.
Помимо понимания масштабов воздействия, как спрос на страхование, так и предложение страхования признают, что скрытый киберриск приходит вместе со значительной неопределенностью контракта. Рассматриваемые судебные дела подчеркивают этот аспект. Спикеры убеждены, что этот аспект станет толчком для устранения неявного и скрытого киберриска в пользу явного киберриска в правильно определенном покрытии. Неоднозначные формулировки не позволяют создать устойчивое ценностное предложение.
«Просто слишком много неопределенности вокруг триггеров (Акт о киберрисках, Инцидент в киберпространстве), определения киберсобытий (если есть), обратной записи (физический или нефизический ущерб), последствий некинетической войны (например, кибервойна против враждебного государства) или просто, будут ли данные представлять собой физические активы. Ни одна сторона не может выдержать такую неопределенность в контракте», - сказал Хакер.
Новые подходы к управлению рисками
«Индустрия также понимает, что киберстрахование потребует новых и хорошо разработанных подходов к управлению рисками, чтобы справиться с вирусной природой этого воздействия. Напряженность усиливается посредством анкет и давления со стороны регулирующих органов, политиков и рейтинговых агентств и, наконец, советов директоров, которые должны рассматривать это как часть своих фидуциарных обязанностей», - добавил Гюнтер.
Наряду со скрытыми киберугрозами и возникающими здесь проблемами, дальнейшая обеспокоенность Гюнтера и Хакера связана с кибератаками, спонсируемыми государством, и спикеры задались вопросом, должны ли правительства поддерживать страховой пул, спонсируемый государством, для такого мероприятия, аналогично французской схеме компенсации за стихийные бедствия.
«В двух словах, чтобы решить эти проблемы, вы должны объединить специализированные навыки в области понимания кибербезопасности, глубокого доступа к проверенным / прозрачным / закрытым данным разведки активных угроз, в частности глубоких знаний и возможностей по пере / страхованию (формулировки), ценообразовании и актуарным расчетам и управлению инцидентами. Опыт подсказывает, что перестраховщикам следует сосредоточиться на разработке собственной модели агрегирования рисков внутри портфеля.
«Хотя это значительные инвестиции (6–9 месяцев), в итоге компании будут иметь что-то сделанное на заказ из своего фактического портфеля (качественные и количественные аспекты) и вписываться в свои собственные структуры управления рисками.
«Данные об инцидентах - это масло для двигателя, но возможности агрегирования по всей цепочке создания стоимости - это настоящий двигатель», - говорят Гюнтер и Хакер.
Подготовлено порталом Allinsurance.kz