В 2020 году мир вступил в новую эру кибератак. Несмотря на десятилетия вирусов, взломов и других форм атак, в прошлом году наблюдался рост изощренности злоумышленников, склонность платить за вымогателей и широкий круг геополитической неопределенности — условия, которые хакеры сочли благоприятными.
Финансовые последствия были серьезными. Выкупы взлетели с пятизначных ценников до миллионов, включая 10 миллионов долларов, которые, как сообщается, заплатила Garmin. По словам моих клиентов по всему миру, некоторые требования выкупа были намного выше, прежде чем они были снижены. Все это является дальнейшим усилением тревожной тенденции: недавний отчет Hiscox показывает, что застрахованные кибер-убытки в 2020 году составили $1,8 млрд., что на 50% больше, чем в прошлом году.
Столкнувшись с перспективой серьезных финансовых последствий атаки, специалисты C-Suite по всему миру обратились к киберстрахованию. Страховщики продают больше полисов, и объем доступной защиты увеличивается. В 2020 году, согласно данным Verisk, мировое страховое сообщество увидело, что первая программа киберстрахования с покрытием превысила $1 млрд.
Однако импульс, который так далеко продвинул сектор, может иссякнуть. Сектор киберстрахования, возможно, все еще находится в зачаточном состоянии, но есть признаки того, что он достиг плато. Есть несколько вероятных причин замедления роста. Что касается спроса, то, несмотря на поток кибератак, некоторые компании покупают меньше киберстрахового покрытия или вообще не покупают его, поскольку экономическая нагрузка от Covid-19 заставила некоторых из них рассматривать киберстрахование как роскошь. И хотя большее количество атак может стимулировать спрос, они также создают проблему предложения, из-за чего страховщики более осторожны с предоставлением защиты, а перестраховщики (которые обеспечивают страхование поставщиков страховых услуг) менее заинтересованы в обеспечении кибер-обязательств.
Однако в конечном итоге все эти факторы сводятся к одному простому факту: на киберстрахование просто не хватает денег.
Это важный момент для будущего страховой отрасли. Киберсреда является деликатной, учитывая сочетание нестабильности угроз, недавних убытков и возникающих обязательств, которые могут быть уменьшены или отозваны страховщиками в этой сфере. Волна кибератак с серьезными последствиями для страховой сферы, скорее всего, не будет представлять угрозу платежеспособности, но при реализации наихудшего сценария могут произойти структурные изменения в киберклассе бизнеса - или даже в страховой отрасли, которая намного менее заинтересована в развитии этого направления. Это может затем привести к потере важного рычага управления рисками для C-suites и советов директоров со значительной технологической зависимостью, то есть для большинства крупных и средних компаний.
Компаниям, которые хотят добавить больше киберстрахования в свою практику управления рисками или совершить покупку впервые, необходимо планировать эти расходы. В конце концов, мы смотрим на среду, в которой количество претензий растет, а страховщикам не хватает данных и общего опыта для разработки аналитики, которую они использовали бы в более зрелых направлениях бизнеса, таких как страхование недвижимости. Чтобы создать достаточный объем киберстрахования, ранние покупки меньших сумм с увеличением со временем могут помочь рынку расти вместе с потребностями компаний, которые он поддерживает.
Согласно внутреннему исследованию, проведенному PCS, на компании, у которых есть страхование от киберпространства не менее 200 млн. долларов, приходится немногим более 20% от 5 млрд. долларов страховых премий в мире.
Около 250 компаний покупают защиту на сумму не менее 200 млн. долларов, и потребуется всего 5 застрахованных убытков, немного больше этой суммы, чтобы перекрыть полученные премии за весь год. Это только 2% компаний на рынке, покупающих такое покрытие. Страховщикам, вероятно, потребуются десятилетия, чтобы отыграть такие убытки.
Теперь подумайте о компаниях с уровнем защиты не менее 500 млн. долларов. По нашим данным, их всего около 40 штук. Две полные потери могут превысить годовую премию. Страховщикам, возможно, придется подождать полвека, чтобы заработать достаточную премию против этих убытков. Даже для компаний, покупающих покрытие в размере 100-199 млн. долларов, риски весьма значительны. Наше исследование показывает, что на 500 компаний приходится еще 25% мировой страховой премии. Потребуется всего лишь небольшая часть убытков, чтобы выплаты превысили премии в размере 1,44 млрд. долларов, которую они генерируют.
Компании, желающие приобрести защиту от киберстрахования, сталкиваются с довольно нестабильной средой, обусловленной низкими ценами на защиту и высоким уровнем риска для страховщиков. Это своего рода формула, которая приводит к сокращению выделенной страховой емкости, которую мы наблюдаем прямо сейчас. Но основная проблема никуда не денется: киберриски будут сохраняться и развиваться, и компаниям необходимо будет управлять этим риском, включая обеспечение страховой защиты. Из-за неминуемой и частой киберугрозы и отсутствия исторического опыта в этой отрасли — помните, сектор все еще находится в зачаточном состоянии — нет простого способа исправить рынок.
Одним из самых сложных препятствий на пути решения структурных проблем, с которыми сталкивается сектор киберстрахования, является то, что страховщики непропорционально полагаются на перестрахование. Перестрахование — опять же, небрежно рассматриваемое как "страхование страховых компаний" — позволяет страховщикам перекладывать риск на другой источник капитала. А в случае киберпространства страховщики передают 50% собранной премии в перестрахование.
В результате концентрация капитала среди перестраховщиков просто поражает. На четыре перестраховщика приходится более 60% премий, и концентрация этой когорты может вырасти в результате волатильности рынка в 2021 году, поскольку более мелкие игроки пересмотрят свою приверженность кибер-политике. Фактически, более 75% перестраховщиков, занимающихся киберперестрахованием, имеют премию менее 100 млн. долларов, а большинство из них - менее 50 млн. долларов. С учетом того, что крупнейший перестраховщик на рынке, вероятно, получит премию более 500 млн. долларов, это примерно такой же размер, как и совокупность компаний, выписывающих менее 100 млн. долларов.
Так что это значит? Судя по динамике рынка страхования и перестрахования, в краткосрочной и среднесрочной перспективе спрос может превысить предложение. Традиционное мышление предполагает рост тарифов, укрепление рынка передачи рисков и сопутствующий приток капитала. Реальность может быть более тонкой: неопределенность результатов может заставить страховщиков опасаться быстрого реагирования на рост спроса, даже если цены на страховое покрытие вырастут. Кроме того, масштаб может стать проблемой.
Удовлетворение быстрого всплеска спроса при относительно новом риске также может привести к значительному увеличению убытков. Принятие такого рода риска на нишевом рынке — не то же самое, что принятие этого в более широком смысле, что в конечном итоге может привести к нехватке капитала (и снижению доступности на рынке) для киберстрахования.
Что делать компаниям?
Для руководителей высшего звена и советов директоров, все еще обеспокоенных киберрисками и наличием страховки, оптимальный курс вперед требует долгосрочного мышления, смешанного с краткосрочными действиями.
Ориентация на будущее рынка киберстрахования важна, но сейчас она не отвечает вашим потребностям, особенно с учетом роста числа программ-вымогателей и потерь от прерывания бизнеса, которые они могут вызвать. Страхование важно, но оно, вероятно, отойдет на второй план в более широком обсуждении кибербезопасности. Например: я заядлый велосипедист и у меня есть медицинская страховка, но это не значит, что мне тоже не нужен хороший шлем. Страхование помогает вам оправиться от ситуации, заполняя пробелы, когда возникают проблемы, которые вы не можете предотвратить, но попытки предотвратить проблемы по-прежнему имеют решающее значение.
Когда дело доходит до страхования, это может помочь изменить ваше мышление.
Для зрелых направлений бизнеса, таких как страхование имущества и профессиональная ответственность, часто на рынке имеется целевая сумма, и сумма, которую вы покупаете (и другие проблемы с покрытием) и она может немного варьироваться из года в год в зависимости от цены и бюджета. Киберстрахование немного другое. Вместо того, чтобы смотреть на это как на ежегодную проблему, подумайте о своих реальных потребностях. Например, в идеальном мире вы можете подумать, что 2 млрд. долларов покрытия имеют смысл и могут защитить вас от рисков.
Сегодня такая покупка невозможна, но вы можете разработать план, как туда добраться. Это может включать в себя покупку того, что вы можете сейчас, и, возможно, пополнение этого механизмами самострахования, которые варьируются от простого привлечения дополнительного капитала для противодействия будущим кибератакам за счет создания конкретных мероприятий по финансированию рисков, которые действуют как страховщики (кэптивные страховщики). Со временем вы можете добавить к этим частичным программам, заменить самострахование внешней защитой и добавить к своей общей программе страхования. Некоторые компании уже этим занимаются. Это просто требует времени, усилий и настойчивости.
30лет истории показали нам, что кибер-риски трудно понять, их сложно застраховать, они могут только расти и характеризуются постоянно меняющейся средой угроз. Завтрашние кибератаки могут не сильно походить на сегодняшние, о чем свидетельствует всплеск программ-вымогателей в 2020 году по сравнению с взломами 2015–2017 годов. Чтобы страховщики отреагировали на эту уникальную угрозу, им придется привыкнуть к распределению капитала в секторе, и это утешение будет меняться с течением времени, пока совокупность отраслевых знаний не станет достаточной для того, чтобы рассматривать киберстрахование, как зрелые классы бизнеса. До тех пор компаниям необходимо будет вкладывать средства в защиту, работая со своими страховщиками, чтобы увеличить количество доступных видов страхования.
