Страхование и виртуальные риски

Согласно отчету по взломам информационной безопасности в 2014 г. (2014 Information Security Breaches Survey) Министерства предпринимательства, инноваций и навыков Великобритании (UK Department for Business Innovation and Skills), 81% крупных и 60% мелких компаний пострадали от виртуальных атак в прошлом году, а их средняя стоимость почти удвоилась с 2013 г. В 2014 г. число расследования таких случаев возросло на 28%, по данным Управления комиссара по информации (Information Commissioner’s Office). В апреле прошлого года Национальная статистическая служба (Office for National Statistics) сообщила, что число мошенничеств в Англии и Уэльсе удвоилось в 2013 г. и около 70% этих мошенничеств имели элементы виртуальных атак.
По оценкам британского правительства, международная премия по страхованию виртуальных рисков увеличилась в 2014 г. на 50% по сравнению с показателем предыдущего года и достигла 1,5-2 млрд. фунтов стерлингов, что составляет 0,1% от общего объема премии по страхованию имущества и ответственности.
Большая часть премии поступает от компаний из США (около 1,5 млрд. фунтов стерлингов), поскольку этот рынок стал первым, на котором появились отдельные продукты по страхованию виртуальных рисков, в основном связанных с утечкой данных. Около 10% или 160 млн. фунтов стерлингов международной премии в сегменте получено в Лондоне, а большинство ее поступает также из США. Премия британских компаний составляет около 1,5% глобального рынка (около 20-25 млн. фунтов стерлингов). Страховщики рассчитывают повысить интерес со стороны компаний из других стран, поскольку осознание таких рисков и требования законодательства стимулируют спрос.
В рамках отчета по глобальным рискам 2015 г. Международного экономического форума (World Economic Forum), виртуальные риски названы одними из ключевых коммерческих рисков.

Ключевые риски, их влияние и вероятность наступления

cats041.jpg

Крупные организации инвестируют в IT безопасность – 88% топ-350 компаний включают виртуальные риски в свои отчеты по стратегическим рискам, что на 58% больше по сравнению с показателем прошлого года. Вместе с тем, руководители больше уделяют внимания повышению безопасности и планированию устранения последствий, чем передаче риска. Очевидно, что страховщики мало информируют бизнес лидеров о возможностях страхования таких рисков, что отчасти отражает их новизну и непредсказуемую природу.
Однако существует ряд причин, по которым сотрудничество бизнеса и страховых компаний в области виртуальных рисков имело бы положительный результат. Так, возможность снижения премии стимулирует страхователей принимать превентивные меры. Сами страховщики помогут сократить убытки за счет проведения анализа выплат и самих случаев попыток виртуальных атак в рамках своей клиентской базы. Эта информация весьма ценна для изучения виртуальных рисков, поскольку они новые и об инцидентах часто не сообщается. Наконец, страховщики смогут использовать свои знания и опыт в области традиционных рисков, который может быть актуален и для данного вида рисков.
Рынок страхования виртуальных рисков находится на начальном уровне развития. Около половины опрошенных руководителей компаний не в курсе, что такие риски можно страховать и только 2% крупных фирм имеют соответствующую страховку, для мелких компаний эта цифра стремится к нулю. Более того, 22% представителей малого бизнеса не знают с чего начать для обеспечения виртуальной безопасности.
С другой стороны, руководители, которые знают о возможности страхования таких рисков, имеют преувеличенное представление о том, насколько оно может покрывать ущерб. 52% руководителей считают, что имеют страховку, хотя на самом деле она есть лишь у 10%. Это отражает сложность страховых продуктов – виртуальный риск может быть включен или не включен в полис, а может страховаться дополнительно к основному полису.

Использование страхования, как метода снижения уровня виртуальных рисков

cats042.jpg

Анализ тарифов страхования виртуальных рисков показывает, что они в три раза превышают тарифы по страхованию общей ответственности и в шесть раз тарифы по имущественным рискам. Это отчасти связано с их непредсказуемостью по сравнению с традиционными. Комбинация более высоких тарифов и меньшей дифференциации говорит о том, что данный сегмент находится на стадии развития, а андеррайтеры используют консервативный подход к таким рискам.
Страховщики оценивают виртуальные риски на основе таких показателей, как сегмент деятельности организации, количество сотрудников, оборот, число зафиксированных случаев виртуальных взломов, устойчивость IT системы. Тем не менее, недостаток данных по убыткам ограничивает способность страховщиков дифференцировать тарифы. Сбор данных помог бы андеррайтерам лучше понять свои обязательства, снизить тарифы для более устойчивых фирм, а также расширить суммы покрытия.
В широком смысле виртуальный риск является синонимом IT риска – риска, связанного с использованием, владением, операциями и внедрением IT технологий в рамках предприятия. Столь широкое толкование имеет смысл, поскольку последствия таких рисков могут быть сходными.
Использование внешних сетей, «облачных» решений и открытой интернет инфраструктуры может привести к таким же последствиям, как и при наличии собственной сети организации. Это демонстрирует необходимость серьезного подхода к выбору поставщиков IT услуг. По данным исследования глобальной безопасности по итогам 2014 г. компании Trustwave, 46% организаций, пострадавших от взломов, использовали сторонние IT услуги.
В настоящее время в страховом секторе нет четкого разделения виртуальных рисков из-за неясности последствий их наступления. Страховщики пытаются свести этот риск к утечке данных, учитывая спрос на это покрытие, стимулируемый британским законодательством. Однако, у самих компаний более широкое представление об убытках, связанных с виртуальными атаками, включая риск перерыва в производстве, имущественный ущерб, и воровство интеллектуальной собственности.
Особую опасность представляют собой кибер атаки. Несмотря на то, что, по данным компании Beazley, в 2014 г. более 60% инцидентов были случайными, наибольшие убытки были связаны со злонамеренными действиями. Ожидается, что благодаря развитию технологий число случайных взломов будет снижаться, а вот число злонамеренных возрастет.
В целом, британское правительство и международный брокер Marsh в своем совместном исследовании разделяют ущерб от виртуальных атак на 11 категорий.

Категории убытков от виртуальных атак и случайных взломов

cats043.jpg

Страховое сообщество принимает виртуальные риски на основе представления о серьезности и частоте виртуальных атак. Одно событие может привести к убыткам по нескольким категориям. Кроме того, почти по каждому событию компания платит за расследование и ответственность, что может составить 10-20% от общей стоимости виртуальной атаки для крупных организаций, по данным отчета по взломам информационной безопасности в 2014 г.

Уровень риска для крупных организаций и вероятность их наступления

cats044.jpg

Для крупных организаций риск интеллектуального воровства рассматривается, как наиболее дорогостоящий. Подсчитать убытки по такому риску сложно, поскольку сложно оценить интеллектуальные активы, а убыток будет зависеть от того, как мошенники будут использовать полученную информацию. Кроме того, уровень ущерба для разных секторов будет разным – больше всего пострадают организации, работающие в авиационной и космической промышленности, в секторе обороны, химии, фармацевтики, а также занимающиеся творческой деятельностью. Отмечается также малое количество информации по таким случаям, поскольку их сложно обнаружить и пострадавшие предпочитают сохранять их в тайне.
Еще два ключевых риска – это нарушение неприкосновенности частной жизни и перебои в производстве из-за сбоев в работе сети. Убытки по первому риску имеют наибольшую частоту и объем по сравнению с большинством других рисков. В качестве примера можно привести американскую розничную компанию, виртуальная атака на которую затронула 40 млн. платежных карт и персональные данные 70 млн. человек. Объявленные убытки по этому событию составили 160 млн. фунтов стерлингов и продолжают расти.
Перебои в работе сети также имеют существенные последствия и случаются часто. Так, недавно два крупных производителей игровых консолей, общее число подписчиков которых достигает 160 млн., подверглись виртуальной атаке. В результате, их сети не работали более 24 часов.
Ущерб репутации может быть нанесен довольно часто, поскольку большинство взломов сказываются на ней. Оценить такой ущерб сложно, но в этом случае ответные действия компании могут снизить его уровень. По данным отчета по взломам информационной безопасности в 2014 г., репутационные убытки составляют от 5% до 20% стоимости виртуальных атак для крупных организаций.
Учитывая тесную связь виртуального и реального мира, физический ущерб имуществу представляет собой растущую угрозу, как по частоте, так и по стоимости. Одним из примеров такой новой категории риска могут стать системы промышленного контроля, применяемые в энергетическом секторе, которые построены на основе концепции открытости и операционной совместимости. Такой случай недавно произоше на сталелитейном заводе в Германии. После того как хакеры получили доступ к системам контроля (для которого требовались лишь учетные данные определенных сотрудников), они осуществили незапланированную остановку доменной печи, что повлекло за собой весьма крупные убытки, по данным Федерального управления по информационной безопасности Германии (German Federal Office for Information Security).
На данный момент риск причинения смерти и телесных повреждений в результате виртуальных атак рассматривается как маловероятный. Однако стоит отметить, что в будущем, поскольку все больше оборудования подключается к сети, этот риск может возрасти.
Для малого и среднего бизнеса картина в целом примерно такая же. Но для этого сегмента более характерны случаи виртуального мошенничества. Например, небольшой брокер получил сообщение электронной почты, которое содержало ссылку на вредоносное ПО, позволившее мошенникам получить доступ к банковским данным и перевести на свои счета 100 тыс. фунтов стерлингов в течение следующих десяти дней.
Кроме того, малый и средний бизнес, обладающий меньшими средствами для защиты от атак и предотвращения их последствий, больше подвержен риску повреждения данных и ПО. С другой стороны, за исключением фирм, работающих в области инновационных технологий, этот сегмент рассматривается как менее подверженный убыткам от воровства интеллектуальной собственности и ущерба репутации.

Уровень риска для средних и малых организаций и вероятность их наступления

cats045.jpg

Сложность предложений страховых компаний также не способствует повышению частоты использования их продуктов. Традиционные страховки не предусматривают защиты клиентов от виртуальных рисков. Кроме того, многие андеррайтеры отреагировали на появление такого риска включением в полисы ряда ограничений. В результате клиентам сложно понять, какие именно кибер-риски покрывает их полис.

Потенциальные пробелы покрытия виртуальных рисков в рамках традиционных полисов

cats046.jpg

Чтобы преодолеть пробел в страховании виртуальных рисков участники рынка разработали специальные продукты, которые можно приобрести как отдельно, так и в качестве дополнения к традиционным полисам.

Возможность страхования и уровень подверженности виртуальным рискам

cats047.jpg

Страховой рынок предлагает решения для множества виртуальных рисков, большинство из которых могут быть застрахованы полностью или с рядом ограничений.
Так, полностью застраховать можно риск взлома данных, включая расходы на уведомление частных лиц, учреждение call-центров, расследование инцидентов и ответственность перед третьими лицами. Также полностью застрахована может быть ответственность перед третьими лицами за взлом системы безопасности сети компании и ее использование для атаки сторонних организаций. Страховка покрывает риск повреждения данных или ПО, виртуальное мошенничество и вымогательство.
С ограничениями страхуются перерывы в работе сети, поскольку сложно определить общий объем обязательств по всем принятым рискам, которые могут наступить в результате одной виртуальной атаки. Также с ограничениями страхуется риск убытков от перерыва в производстве, поскольку трудно установить связь между виртуальным взломом и убытками. Малое число страховщиков принимает риски повреждения физического имущества.
Кроме того, остается ряд рисков, которые сложно полностью застраховать. Самыми важными из них является воровство интеллектуальной собственности и электронный шпионаж, для которых страховщики не предлагают прямого покрытия (компенсации стоимости интеллектуальных активов или потерю доходов в результате снижения доли рынка), поскольку этот вид убытков сложно доказать и посчитать. Некоторые страховщики предоставляют страхование судебных издержек за истребование компенсаций от лиц, которые нарушили права интеллектуальной собственности организации.
В настоящее время страховые компании не предлагают страхования риска смерти и телесных повреждений в результате виртуальных атак. Тем не менее, такой риск страхуется в рамках общей ответственности и ответственности сотрудников с ограниченными исключениями виртуальных рисков за пределами специфических сегментов рынка.
Пробелы и исключения в традиционных полисах, связанные с виртуальными рисками, на фоне возникновения отдельных продуктов виртуального страхования создают сложную картину, где представители бизнеса пытаются понять границы своего покрытия.
В долгосрочной перспективе, страховщики могли бы исключать такие риски из традиционных продуктов и страховать их в рамках дополнительных или самостоятельных полисов. Британское правительство рассчитывает, что страховые компании заинтересованы в этом, поскольку это будет способствовать всестороннему пониманию своих обязательств по виртуальным рискам. Регуляторы, перестраховщики и ассоциации могут одобрить этот шаг, но происходить это вероятно будет медленно по мере становления риска и накопления опыта у страховщиков. Решение, которое доступно уже сейчас – это информирование бизнеса о возможности страховании виртуальных рисков.
Специфическая природа виртуального риска приводит к тому, что одно событие может отразиться на большом числе клиентов в разных регионах. В итоге, страховщики и перестраховщики могут оказаться обремененными катастрофным уровнем убытков, что может повлечь за собой не выплату компенсаций.

Возможные сценарии виртуальных катастроф

cats048.jpg

Моделирование виртуальных рисков развито слабо в отличие от традиционных, таких как природные катастрофы. Это связано с все тем же отсутствием данных и приводит к тому, что страховщики полагаются на экспертов в оценке масштабов и частоты возможных виртуальных катастроф. В результате, существует широкий спектр оценок возможной стоимости для каждого из сценариев. Оценить риск для отдельной организации также сложно. По оценкам британского правительства, в 2014 г. глобальные обязательства страхового сообщества по виртуальным рискам составляли 100 млрд. фунтов стерлингов.

Сравнение обязательств по виртуальным рискам с международными емкостями страхового и перестраховочного рынков по другим рискам

cats049.jpg

Несмотря на недостаток точных данных о возможном максимальном размере убытка по виртуальным рискам, в краткосрочном периоде страховой рынок не столкнется с дефицитом ресурсов. Опрошенные андеррайтеры выразили сильную заинтересованность в наращивании портфеля в данном сегменте.
Учитывая вероятность роста обязательств по виртуальным рискам, со временем страховщикам потребуется поддержка со стороны правительства, а также создание пула. На данный момент компаниям необходимо повысить понимание виртуальной взаимосвязанности и влияния разных типов покрытия; разъяснить клиентам, какие виртуальные обязательства включены в традиционные полисы; повысить уровень понимания масштаба возможных убытков и их вероятное влияние на страховой рынок; определить системные события, которые или не поддаются страхованию частными страховщиками или для которых международные емкости недостаточны.