23
Пн, дек

Управление киберрисками влияет на цены киберстрахования и кредитные рейтинги: S&P

cybersecurity heroНесмотря на растущий интерес к киберстрахованию, организационные структуры, культура рабочего места и более широкие экосистемы управления рисками, которые объединяются для минимизации киберугроз, по-прежнему часто отсутствуют, сообщили эксперты по кибербезопасности S&P Global Ratings.

Эксперты также подчеркнули, что страховщики оценивают готовность своих клиентов к кибербезопасности, чтобы определить стоимость их премий, среди прочего, и что управление киберрисками может повлиять на кредитные рейтинги.

На вебинаре S&P Global Ratings «Обзор киберрисков: Тренды и прогнозы 2023» эксперты подчеркнули, что интерес к страхованию неудивителен, учитывая размер финансовых проблем, связанных с киберугрозами, а также быстро меняющийся и все еще зарождающийся характер рынка киберстрахования.

Саймон Эшворт, главный аналитик страховых рейтингов S&P Global Ratings, сказал: «Экономические затраты на кибербезопасность превосходят любую сопоставимую оценку экономических потерь, включая такие опасности, как стихийные бедствия, поэтому потенциал этого рынка огромен.

«А с точки зрения страхового покрытия речь идет об 1% потенциальных экономических потерь, которые в настоящее время покрываются. Таким образом, существует огромный пробел в страховой защите».

Согласно отчету S&P Global «Кибертенденции и кредитные риски», в котором представлены ключевые статистические данные о росте киберпреступности и ее влиянии на экономическую деятельность, аналитики прогнозируют, что к 2025 году глобальная стоимость убытков от киберпреступности вырастет примерно до $10,5 трлн ( что сопоставимо с почти тремя четвертями от общего годового ВВП Китая).

В отчете также отмечается 25%-ное увеличение атак программ-вымогателей и 26%-ное увеличение среднего бюджета на информационную безопасность в 2022 году, а также прогноз S&P о том, что ежегодные страховые взносы киберстрахования будут расти примерно на 25% в год до конца 2025 года.

Эксперты также поделились статистикой за прошлый год, которая продемонстрировала, в какой степени кибербезопасность остается проблемой человеческого фактора.

Судип Кеш, директор по инновациям S&P Global Ratings, отмечает: «Мы обнаружили, что около 82% нарушений кибербезопасности связаны с человеческим фактором.

«С точки зрения того, как это исправить, обучение персонала может сыграть важную роль. Управление рисками — это командный вид спорта, и его сила заключается в связях между ИТ-сообществом, сообществом безопасности в ИТ, менеджерами по управлению рисками, общим руководством, сотрудниками и даже клиентами».

Страховщики оценивают готовность клиентов к кибербезопасности, чтобы определить, как им можно помочь, определить стоимость их страховых взносов и следует ли предлагать покрытие.

Скотт Кроуфорд, директор по исследованиям канала информационной безопасности в 451 Research, подразделении S&P Global Market Intelligence, пояснил: «Страховщики просят внедрить определенные типы контроля, которые отражают проблемы, которые способствуют росту числа и тяжести страховых претензий.

«Они спрашивают организации, реализуете ли вы инициативы по борьбе с фишингом, фильтрацию электронной почты на наличие вредоносных программ и подозрительных доменов, песочницу для удаленного подключения и многофакторную аутентификацию, которая появляется довольно регулярно».

Модели ценообразования страховщиков для киберпокрытия развиваются, чтобы учитывать как киберуязвимость отдельных организаций, так и увеличение общей активности киберугроз. По мнению киберэкспертов, последнее является основной движущей силой продолжающегося увеличения премий.

Оценка готовности отдельных организаций к кибербезопасности также может повлиять на ценообразование и стать основой для переговоров со страховщиками о дополнительных услугах, которые могут быть предоставлены, чтобы помочь организации снизить риски, связанные с кибербезопасностью.

S&P отмечает, что страховщики — не единственные, кто оценивает данные о киберрисках предприятий, поскольку рейтинговые агентства также включают риски, связанные с киберинцидентами, в свой кредитный анализ.

Агентство заявило, что кибербезопасность рассматривается как фактор управления, а точнее как культура управления рисками и фактор надзора в рамках управления.

Вопрос о том, как киберриск влияет на рейтинги, является регулярным предметом исследований, например, многие спрашивают, могут ли рейтинговые действия быть предприняты непосредственно в результате слабого управления киберрисками эмитента.

На что Тиффани Триббит, старший директор и ведущий специалист по глобальным исследованиям в области кибербезопасности в S&P Global Ratings, ответила: «Ответ, возможно, да, однако… там, где управление киберрисками слабое, обычно есть другие недостатки в управлении рисками, которые затрудняют связать рейтинговое действие со слабым управлением киберрисками.

«Я никогда не видела эмитента, у которого было бы простое управление рисками, за исключением того, что он ничего не делает для управления киберрисками».

Подготовлено порталом Allinsurance.kz