Несмотря на растущий интерес к киберстрахованию, организационные структуры, культура рабочего места и более широкие экосистемы управления рисками, которые объединяются для минимизации киберугроз, по-прежнему часто отсутствуют, сообщили эксперты по кибербезопасности S&P Global Ratings.
Эксперты также подчеркнули, что страховщики оценивают готовность своих клиентов к кибербезопасности, чтобы определить стоимость их премий, среди прочего, и что управление киберрисками может повлиять на кредитные рейтинги.
На вебинаре S&P Global Ratings «Обзор киберрисков: Тренды и прогнозы 2023» эксперты подчеркнули, что интерес к страхованию неудивителен, учитывая размер финансовых проблем, связанных с киберугрозами, а также быстро меняющийся и все еще зарождающийся характер рынка киберстрахования.
Саймон Эшворт, главный аналитик страховых рейтингов S&P Global Ratings, сказал: «Экономические затраты на кибербезопасность превосходят любую сопоставимую оценку экономических потерь, включая такие опасности, как стихийные бедствия, поэтому потенциал этого рынка огромен.
«А с точки зрения страхового покрытия речь идет об 1% потенциальных экономических потерь, которые в настоящее время покрываются. Таким образом, существует огромный пробел в страховой защите».
Согласно отчету S&P Global «Кибертенденции и кредитные риски», в котором представлены ключевые статистические данные о росте киберпреступности и ее влиянии на экономическую деятельность, аналитики прогнозируют, что к 2025 году глобальная стоимость убытков от киберпреступности вырастет примерно до $10,5 трлн ( что сопоставимо с почти тремя четвертями от общего годового ВВП Китая).
В отчете также отмечается 25%-ное увеличение атак программ-вымогателей и 26%-ное увеличение среднего бюджета на информационную безопасность в 2022 году, а также прогноз S&P о том, что ежегодные страховые взносы киберстрахования будут расти примерно на 25% в год до конца 2025 года.
Эксперты также поделились статистикой за прошлый год, которая продемонстрировала, в какой степени кибербезопасность остается проблемой человеческого фактора.
Судип Кеш, директор по инновациям S&P Global Ratings, отмечает: «Мы обнаружили, что около 82% нарушений кибербезопасности связаны с человеческим фактором.
«С точки зрения того, как это исправить, обучение персонала может сыграть важную роль. Управление рисками — это командный вид спорта, и его сила заключается в связях между ИТ-сообществом, сообществом безопасности в ИТ, менеджерами по управлению рисками, общим руководством, сотрудниками и даже клиентами».
Страховщики оценивают готовность клиентов к кибербезопасности, чтобы определить, как им можно помочь, определить стоимость их страховых взносов и следует ли предлагать покрытие.
Скотт Кроуфорд, директор по исследованиям канала информационной безопасности в 451 Research, подразделении S&P Global Market Intelligence, пояснил: «Страховщики просят внедрить определенные типы контроля, которые отражают проблемы, которые способствуют росту числа и тяжести страховых претензий.
«Они спрашивают организации, реализуете ли вы инициативы по борьбе с фишингом, фильтрацию электронной почты на наличие вредоносных программ и подозрительных доменов, песочницу для удаленного подключения и многофакторную аутентификацию, которая появляется довольно регулярно».
Модели ценообразования страховщиков для киберпокрытия развиваются, чтобы учитывать как киберуязвимость отдельных организаций, так и увеличение общей активности киберугроз. По мнению киберэкспертов, последнее является основной движущей силой продолжающегося увеличения премий.
Оценка готовности отдельных организаций к кибербезопасности также может повлиять на ценообразование и стать основой для переговоров со страховщиками о дополнительных услугах, которые могут быть предоставлены, чтобы помочь организации снизить риски, связанные с кибербезопасностью.
S&P отмечает, что страховщики — не единственные, кто оценивает данные о киберрисках предприятий, поскольку рейтинговые агентства также включают риски, связанные с киберинцидентами, в свой кредитный анализ.
Агентство заявило, что кибербезопасность рассматривается как фактор управления, а точнее как культура управления рисками и фактор надзора в рамках управления.
Вопрос о том, как киберриск влияет на рейтинги, является регулярным предметом исследований, например, многие спрашивают, могут ли рейтинговые действия быть предприняты непосредственно в результате слабого управления киберрисками эмитента.
На что Тиффани Триббит, старший директор и ведущий специалист по глобальным исследованиям в области кибербезопасности в S&P Global Ratings, ответила: «Ответ, возможно, да, однако… там, где управление киберрисками слабое, обычно есть другие недостатки в управлении рисками, которые затрудняют связать рейтинговое действие со слабым управлением киберрисками.
«Я никогда не видела эмитента, у которого было бы простое управление рисками, за исключением того, что он ничего не делает для управления киберрисками».
Подготовлено порталом Allinsurance.kz