7 декабря 2016 г.
Хакерские атаки происходят удручающе регулярно, в результате сфера страхования вынуждена иметь дело с целым набором новых рисков: от краж миллионов номеров кредитных карт у американских ритейлеров до отключения энергосистемы, как это было на Украине в декабре прошлого года.
Относительно обычным стало "киберстрахование", которое предлагают страховые компании в данном случае. Однако риски в других сферах, от которых предлагается страхование, зачастую возникают на фоне киберрисков, так что страховщики все еще пытаются изучить эту так называемую "тихую" кибернезащищенность.
Система страхования, которая защищает компании, страдающие от бреши в системе данных, действует в течение почти 15 лет. Гораздо сложнее определить точную стоимость украденных медицинских данных, чем, например, стоимость автомобиля.
Страховщики обходят вниманием эту проблему, покрывая только прямые расходы, которые компания несет в результате хакерской атаки. Как правило, производится наем специализированной судебно-медицинской экспертизы, которая помогает компании наиболее точно определить то, что было украдено, уведомить пострадавших клиентов, также подразумевается краткосрочная остановка бизнес-процесса и штрафы.
В 2018 г. в силу вступят новые правила ЕС для сферы страхования, согласно которым будут предъявляться более строгие требования в отношении уведомлений и более высокие штрафы, чем те, с которыми компании имели дело до сих пор в США. Отчасти из-за этого доходы рынка киберстрахования, которые в 2014 г. составляли $2,5 млрд (90% из которых поступили от американских компаний), как ожидается, утроятся к 2020 г. согласно данным консалтинговой компании PwC. Хотя, конечно, это капля в море по сравнению с доходами в $670 млрд на мировом рынке автотранспортного страхования.
Данные нарушения, однако, по большей части являются результатом целенаправленных действий, а не стихийных бедствий. Несмотря на сотни ежегодных происшествий, с 2010 г. американские компании сообщили в регулирующие органы лишь о 90 случаях, которые нанесли материальный ущерб их бизнесу.
Большее беспокойство вызывают "тихие" кибератаки, которые наносят физический ущерб, что впоследствии может сказаться на других сферах, таких как жилье, страхование имущества или даже жизнь. В таких случаях, если страхование и не учитывает напрямую киберриски, то по крайней мере не исключает их.
В некоторых случаях разница может быть незначительной; взломщик, который вламывается в дом, используя "умный" замок, вовсе необязательно украдет больше, чем тот, кто вламывается через окно.
Но такие случаи, как огромный ущерб, причиненный сталелитейному производству в Германии в 2014 г. хакерами или кибератака на Украине, после которой была отключена подача электричества энергокомпанией Западной Украины "Прикарпатьеоблэнерго", заставляют страховщиков взять паузу. Это необходимо, для того чтобы дополнительно изучить потенциально возможные риски по этим новым угрозам.
Учитывая, что реальные прецеденты еще слишком редки, чтобы дать почву для составления каких-либо оценок, промышленность строит скорее гипотетические сценарии.
В конце прошлого года компания "Ллойд", которая специализируется на нишевых рисках, впервые обратилась к группам страховщиков и брокеров, чтобы смоделировать "правдоподобные, но экстремальные" сценарии кибератак и составить предполагаемый возможный сценарий по их отражению.
В результате в мае 2015 г. руководством "Ллойд" был предъявлен сценарий гипотетической хакерской атаки, результатом которой становится отключение всей энергосистемы на северо-востоке США. Согласно оценкам бизнес должен понести убытки в $222 млн, ущерб для ВВП должен превысить $1 трлн в течение пяти лет.
Многие страховщики используют опыт других компаний.
Мэтт Уэбб из Hiscox, специалист страховой компании, описывает "гонку вооружений" между аналитическими фирмами, такими как RMS и Symantec, предлагая на примере их опыта смоделировать возможные риски и помочь страховщикам с определением их киберобязательств.
Но даже если и удастся смоделировать ситуации, реально защититься от них окажется намного сложнее. Кевин Калинич из Aon отмечает, что в данный момент практически невозможно провести границу между кибервойной или кибертерроризмом и обычным хакерством. Киберпреступность географических границ не имеет, в отличие от, скажем, урагана во Флориде. Уэбб считает, что страховка должна как минимум покрывать киберриски и или исключать их.
Хотя страховщики уже оказывают услуги компаниям при более обыденных взломах, промышленность по-прежнему нуждается в четко сформулированных шагах при более масштабных стихийных кибербедствиях. Тем не менее в "Ллойд" полагают, что благодаря своему уникальному опыту по моделированию и уникальной структуре распределения рисков подготовлены лучше, чем большинство. Однако проверить реальную эффективность предлагаемых методик можно только в реальной жизни, когда произойдет разрушительная кибератака.