19
Вт, нояб

На фоне роста расходов на кибербезопасность, растет роль менеджеров по киберрискам

agcs cyber risks 7 teaserСогласно опросу Moody's, проведенному в 2023 году среди более чем 1700 корпораций по всему миру, расходы на киберриски быстро выросли, поэтому внимание, уделяемое этому вопросу со стороны высшего руководства, также значительно возросло.

Однако рейтинговое агентство сообщает, что новости не все позитивные. В отчете говорится, что передовые кибер-практики остаются недоступными для многих корпораций и что ответы на опрос вызывают вопросы об эффективности некоторых кибер-инициатив.

«Компании и организации также сталкиваются с другими надвигающимися проблемами, включая растущую нехватку специалистов в области кибербезопасности и появление генеративного искусственного интеллекта, который создаст новые риски», — заявило Moody's.

Аналитики пояснили, что опрос агентства, состоящий из 90 вопросов, оценивает практику кибербезопасности среди глобальных эмитентов долговых обязательств и собирает данные о возникающем риске, который потенциально может повлиять на кредитный профиль всех эмитентов долговых обязательств.

Рейтинговое агентство отметило, что количество кибер-нарушений резко возросло в период с 2014 по 2020 год, но с тех пор стабилизировалось на высоком уровне, согласно данным его дочерней компании Bitsight, занимающейся рейтингами кибербезопасности. Аналитики отмечают, что небольшое, но растущее количество рейтинговых действий связано с киберинцидентами.

Исследование показало, что расходы на кибербезопасность выросли на 70% за последние четыре года. «Существовали значительные различия в темпах роста расходов среди респондентов, но бюджеты в целом выросли, причем значительно для большинства секторов. Бюджеты корпораций выросли больше всего – на 100%», – сообщило Moody's.

Бюджеты растут не только в абсолютном выражении, но и в процентах от всего технологического бюджета, добавили аналитики.

В целом эмитенты утверждают в опросе, что они потратили в среднем 8% своих технологических бюджетов на кибербезопасность по сравнению с 5% в 2019 году.

«Это увеличение, вероятно, является ответом на быструю цифровизацию и сопутствующий рост киберрисков в последние годы. Переход на удаленную работу во время пандемии Covid-19 также расширил цифровое присутствие эмитентов и открыл новые каналы для кибератак», — заявили в рейтинговом агентстве.

Расходы на кибербезопасность, как правило, более устойчивы к экономическому давлению, чем другие статьи бюджета, связанные с технологиями, поскольку компании часто должны соответствовать определенным нормативным требованиям или минимальным уровням расходов, чтобы претендовать на киберстрахование, добавили аналитики.

Однако, по мнению Moody's, есть признаки того, что организации затягивают пояса.

В то время как кибербюджеты увеличились, возросли и требования, предъявляемые к ним, говорится в отчете. «Киберстрахование стало незаменимым инструментом в наборе инструментов управления рисками для многих эмитентов, а в период с 2020 по 2022 год премии выросли в среднем на 50% по всем направлениям», — заключило Moody's.

«Эти повышения были ответом на убытки, которые киберстраховщики понесли в 2020 году после резкого увеличения атак программ-вымогателей во время пандемии Covid-19. Атаки участились, потому что пандемия вынудила сотрудников работать из дома, используя свои домашние компьютерные сети, которые имели более слабый контроль. Повышенная отвлекаемость сотрудников в удаленных средах также привела к ошибкам в сфере безопасности. Кроме того, киберпреступники атаковали программное обеспечение виртуальных частных сетей (VPN), которое сотрудники используют для доступа к сетям своих работодателей», — заявило агентство.

Moody's отметило, что рост премий ударил по некоторым эмитентам сильнее, чем по другим. У некоторых американских эмитентов в сфере образования, здравоохранения, строительства и производства в 2021 году премии выросли на 300% и более.

«Рост премий достиг пика в 2021 году, но с тех пор замедлился, поскольку страховщики обнаружили большую прибыльность, новые страховщики начали оформлять киберстрахование, а объем атак программ-вымогателей снизился», — добавило Moody's.

Несмотря на более высокую стоимость киберстрахования, только 3% участников опроса заявили, что планируют покупать меньше киберстрахования в 2023 году, чем в 2022 году. «Подавляющее большинство (82%) планируют приобрести примерно такое же покрытие, а 16% заявили, что они бы купили покрытия больше. Эти цифры справедливы даже для тех, кто столкнулся со значительным увеличением премий по киберстрахованию», — отмечает Moody's.

Среди тех, чьи страховые взносы выросли на 100% и более, 89% заявили, что в 2023 году они приобретут примерно такое же количество страхового покрытия, 8% планировали приобрести большее страховое покрытие и только 3% заявили, что будут покупать меньшее страховое покрытие.

Примечательно, что 30% респондентов в Азиатско-Тихоокеанском регионе (APAC), где проникновение киберстрахования намного ниже, чем в Европе, на Ближнем Востоке и в Африке (EMEA), а также в Северной и Южной Америке, заявили, что будут покупать больше киберстрахования в 2023 году по сравнению с 14% и 15% для Северной и Южной Америки и Европы, Ближнего Востока и Африки соответственно.

«Несмотря на высокие страховые премии, количество новых клиентов страховых компаний растет в части киберстрахования: в последнем опросе 76% респондентов заявили, что они оформили специализированное киберстрахование, по сравнению с 71% в 2020 году. Доля эмитентов, имеющих киберстрахование, выросла на восемь процентных пунктов в Северной и Южной Америке, где киберстрахование наиболее распространено, в то время как в странах Европы, Ближнего Востока и Африки и Азиатско-Тихоокеанского региона, где рынки киберстрахования менее зрелы, рост составил 11 и 20 процентных пунктов соответственно», — сообщает Moody's.

Агентство заявило, что громкие атаки с использованием программ-вымогателей, такие как атака с использованием программ-вымогателей в мае 2021 года на компанию Colonial Pipeline Company в США, вызывают обеспокоенность среди регулирующих органов и политиков.

«В результате усиливаются новые требования к эмитентам по раскрытию подробностей об их подверженности киберрискам и управлении ими. Мандаты на раскрытие информации обеспечивают большую прозрачность для инвесторов, позволяя им различать компании в зависимости от эффективности управления киберрисками», — заявили в Moody's.

«Раскрытие информации также приносит пользу правительствам, которым нужны данные, чтобы понять степень риска и разработать соответствующую политику для сдерживания последствий атак. Обязательное раскрытие информации также помогает установить стандарты защиты, которые организации могут использовать для улучшения своей кибербезопасности путем сравнения своих методов кибербезопасности с другими. Кроме того, они снижают общесистемный риск, поскольку информация об атаках передается другим организациям, которые могут использовать ее для защиты от подобных атак», — добавили аналитики.

Однако агентство отметило, что новые правила также увеличивают операционную нагрузку и затраты. Это особенно актуально для организаций, которые подотчетны более чем одному регулирующему органу, поскольку ресурсы, необходимые для соблюдения этих мер, могут быть значительными.

Одним из положительных выводов для менеджеров по рискам и страхованию является то, что надзор со стороны руководства в этой области, похоже, улучшается.

«Помимо увеличения бюджетов, еще одним значительным улучшением в управлении кибербезопасностью со времени первого опроса Moody's три года назад является увеличение частоты отчетов менеджеров по киберрискам перед лицом, принимающим решения самого старшего уровня, например, генеральным директором. В предыдущем опросе 2020 года треть эмитентов заявили, что руководитель их организации ежеквартально получал прямые отчеты от старшего менеджера по киберрискам. На этот раз почти 45% заявили, что подобные обзоры проводятся ежемесячно», — говорится в сообщении.

«Аналогично, в прошлый раз только 61% менеджеров по киберрискам подчинялись руководителям высшего звена, например генеральному директору, финансовому директору или ИТ-директору. В этом опросе 90% эмитентов заявили, что их менеджеры по киберрискам сделали то же самое. Это указывает на то, что эмитенты стали лучше понимать важность роли менеджеров по киберрискам и работают над тем, чтобы они были более заметными в своих организациях», — заключило Moody's.

Подготовлено порталом Allinsurance.kz