Плюси та мінуси державно-приватного партнерства у кіберстрахуванні щодо зниження кіберризиків

Кіберландшафт швидко розвивається, завдяки цифровізації розширюється діапазон загроз і вразливостей. Цей процес посилюється змінами в робочих і бізнес-практиках, спричиненими COVID-19, деякі з яких, ймовірно, триватимуть і після пандемії.

Зокрема, програми-вимагачі та атаки на ланцюги поставок стали більш плідними з початком пандемії, а разом з ними й ширше визнання потенціалу великомасштабних економічних збитків через зловмисні кіберінциденти.

З часом розвинувся спеціальний ринок кіберстрахування, що включає поступове розширення класу ризиків, що покриваються, як першої, так і третьої сторони. Однак нещодавнє різке збільшення коефіцієнтів збитків за автономним кіберстрахуванням – тобто спеціалізованим позитивним покриттям – спонукало перестраховиків повторно відкалібрувати кіберризики.

У поєднанні з ініціативами щодо усунення ненавмисної кіберзагрози зі звичайних полісів щодо майна та страхування від нещасних випадків потенціал ринку перестрахування став меншим. З огляду на постійний високий попит це призвело до різкої переоцінки вартості кіберстрахування та посилення умов.

На ринках кіберстрахування, таких як США, страхувальники, які бажають отримати страхове покриття на суму понад 10 або 15 мільйонів доларів, зазвичай об’єднують страховиків у кілька груп. Перший рівень (або первинний поліс) встановлює загальні умови для всієї програми. Другий рівень передбачає будь-який необхідний додатковий ліміт. Основний страховик несе 100% ризику збитку до його ліміту. Наступний айвий страховик нестиме 100% свого рівня захисту і так далі.

Страхові тарифи у сфері кіберстрахування зростають протягом продовження контракту за рівнем покриття

Кіберактивність держав та страхування

Нещодавні серйозні вторгнення в ланцюги постачання та інциденти з програмами-вимагачами підкреслили давню проблему для кіберстраховиків: який захист може і повинне забезпечити страхування, якщо виконавці таких атак пов’язані з національними державами?

Традиційний поліс має виключення щодо війни або подібних до неї інцидентів та не в змозі належним чином охопити ситуації, коли національні держави підозрюють у причетності до атаки або принаймні забезпечити безпечну гавань для хакерів, особливо якщо мотиви атаки незрозумілі. Такі проблеми віднесення та характеристики створюють значну контрактну невизначеність для страховиків, що лише посилило нещодавнє загострення умов ринку кіберстрахування.

Більш детальна класифікація кіберінцидентів, включаючи термінологію, яка передбачає нижчий тягар доказів для участі держави, ніж поточні, широко використовувані визначення, допоможе забезпечити більшу ясність для страховиків і підвищити рівень комфорту з їх викриттям. Але сприйняття ринком жорсткішого формулювання в договорах щодо страхування кіберінцидентів потребує часу, і навіть тоді, ймовірно, зайде лише так далеко.

Останні кіберінциденти висвітлюють залишкові проблеми у створенні чітких, остаточних меж навколо того, що законно підпадає під ворожі кіберінциденти, а що ні. Участь національних держав дуже різна: від повідомлення про мовчазне спонсорство, включно зі створенням середовища для розробки складного, але легкого у використанні зловмисного програмного забезпечення (наприклад, атака на Colonial Pipeline), до передбачуваного прямого нагляду та фінансування хакерських кампаній з боку суверенного уряду (наприклад SolarWinds).

За таких обставин знову виникають деякі труднощі прямого приписування, особливо якщо державні суб’єкти, пов’язані зі злочинними угрупованнями, використовують тактику фальшивого прапора, щоб приховати свої сліди, звинуватити інших або іншим чином підірвати будь-який міжнародний консенсус щодо кінцевого джерела нападу.

Кількісна оцінка кіберризиків залишається складною

Прогрес у моделюванні та кількісній оцінці кіберризиків, а також доступність перестрахування та інші механізми розподілу ризиків будуть ключовими для заохочення як діючих, так і потенційних страховиків пропонувати більше покриття кіберризиків та іншої зловмисної кіберактивності.

На відміну від небезпек природних катастроф – наприклад, ураганів або техногенних катастроф, таких як терористичні атаки – кібернебезпеки не мають географічних кордонів; весь світ потенційно є однією зоною кіберкатастрофи. Крім питань атрибуції та характеристики, оцінка частоти та тяжкості, особливо потенціал великих накопичених втрат, залишається особливо серйозною проблемою.

Аналіз детермінованого сценарію показує, що деякі зловмисні кіберінциденти, такі як тимчасовий збій у роботі хмарних сервісів, можуть спричинити економічні втрати, які можна порівняти з деякими історичними природними катастрофами. Але більш екстремальні та тривалі кібератаки, включно з широко розповсюдженим збоєм або збоєм ІТ чи операційної інфраструктури, можуть призвести до значно більших очікуваних втрат.

Крім того, невизначеність навколо таких оцінок є дуже великою, що означає, що загальні потенційні збитки можуть бути значно вищими, ніж ці «припущення», що легко виснажує здатність перестраховиків поглинати ризики. Особливо це стосується кіберінцидентів за участю держав, де неоднозначність щодо мотивів, тактики та векторів загрози хакерів, а також можливість ескалації відносно незначних ізольованих атак до повної кібервійни лише ускладнюють кількісну оцінку кіберризиків.

Роль урядового механізму підтримки

Прогрес у зборі даних про кіберзагрози, включаючи співпрацю між компаніями та урядами, підвищить обізнаність про ризики та готовність до них, що є важливими елементами для підвищення кіберстійкості. Така інформація дозволить страховикам виявляти вразливі місця та сприяти вдосконаленню моделювання кіберризиків. Подібним чином прогрес правоохоронних органів у розшуку та переслідуванні осіб, які вчинили кібератаку, а також у поверненні викрадених коштів, може певною мірою стримати кіберзлочинців і підвищити рівень комфорту страховиків, пропонуючи здатність поглинати ризики.

Однак, зрештою, системна характеристика деяких кіберризиків, зокрема потенціал множинних втрат від однієї події або кампанії атак, пов’язаних з кібератаками, означає, що масштаб накопичених втрат може перевищувати рівні, які може безпечно покрити сектор перестрахування.

Часто навколо великомасштабної зловмисної кібератаки є побічний збиток; ненавмисні цілі також зазнають втрат. Певною мірою останню серію атак також можна розглядати як майже промахи; якби обставини склалися інакше, втрати могли б бути набагато гіршими.

Подібно до поточних дебатів щодо ризиків, пов’язаних з пандемією, слід звернути увагу на рішення за підтримки уряду для фінансування цих кіберризиків з метою підвищення стійкості всієї економіки. Добре продумане державно-приватне партнерство могло б збільшити потенціал захисту та все ще заохочувати інновації кіберринку для розширення покриття таких кіберризиків. Це має бути не просто фіскальне рішення, а намагання через співпрацю зі страховиками сприяти впровадженню найкращих практик кібербезпеки, включаючи відповідне страхування, щоб зменшити вразливість суспільства до таких ризиків.

Проектування державно-приватного партнерства

Розробка таких державних рішень є складною. Важливі міркування щодо будь-якого партнерства включають те, чи є схема обов’язковою чи добровільною, чи є страхове покриття параметричним чи заснованим на відшкодуванні, ця схема базується на принципах взаємності чи солідарності.

З фіскальної та техніко-економічної точки зору також буде необхідно забезпечити прийняття відповідних заходів для фінансування схеми та забезпечення достатнього капіталу як до, так і після кіберподії. Існуватимуть компроміси під час прийняття певних функцій схеми та труднощів у калібруванні того, скільки пікових збитків має розподілятися між страхувальниками, приватними перестраховиками та урядами.

Такі виклики посилюються на міжнародному рівні. В ідеалі, враховуючи взаємопов’язаний і глобальний характер кіберризиків, можна було б використовувати спільні міжнародні рішення для покриття крупних кіберризиків за участю ворожих держав. Проте правові обмеження, культурні відмінності, доступ до капіталу та сумніви щодо готовності окремих урядів розділяти ризики в різних юрисдикціях означають, що глобальні рішення залишаються практично нездійсненними, принаймні в короткостроковій перспективі. Як наслідок, пріоритет слід надавати розробці вітчизняних рішень партнерства для масштабних кіберризиків.

Страхова галузь пройшла довгий шлях у своєму розумінні кібертероризму, кібервійни та оцінці того, як застрахувати такі ризики. Щоб розширити межі можливостей страхування, страховики повинні бути проактивними в оцінці можливих варіантів розподілу кіберризиків, у тому числі з урядами через партнерство. Такі спільні зусилля між страховиками та урядами дозволять скоротити прогалини в кіберзахисті та забезпечать повну реалізацію суспільних переваг кіберпростору.

Підсумок плюсів та мінусів можливих особливостей схеми державно-приватного партнерства