Плюси та мінуси державно-приватного партнерства у кіберстрахуванні щодо зниження кіберризиків

Даррен Пейн, Директор з кібервідповідальності Geneva Association
29 липня, 18:00 · Даррен Пейн, Директор з кібервідповідальності Geneva Association

Кіберландшафт швидко розвивається, завдяки цифровізації розширюється діапазон загроз і вразливостей. Цей процес посилюється змінами в робочих і бізнес-практиках, спричиненими COVID-19, деякі з яких, ймовірно, триватимуть і після пандемії.

Зокрема, програми-вимагачі та атаки на ланцюги поставок стали більш плідними з початком пандемії, а разом з ними й ширше визнання потенціалу великомасштабних економічних збитків через зловмисні кіберінциденти.

З часом розвинувся спеціальний ринок кіберстрахування, що включає поступове розширення класу ризиків, що покриваються, як першої, так і третьої сторони. Однак нещодавнє різке збільшення коефіцієнтів збитків за автономним кіберстрахуванням – тобто спеціалізованим позитивним покриттям – спонукало перестраховиків повторно відкалібрувати кіберризики.

У поєднанні з ініціативами щодо усунення ненавмисної кіберзагрози зі звичайних полісів щодо майна та страхування від нещасних випадків потенціал ринку перестрахування став меншим. З огляду на постійний високий попит це призвело до різкої переоцінки вартості кіберстрахування та посилення умов.

На ринках кіберстрахування, таких як США, страхувальники, які бажають отримати страхове покриття на суму понад 10 або 15 мільйонів доларів, зазвичай об’єднують страховиків у кілька груп. Перший рівень (або первинний поліс) встановлює загальні умови для всієї програми. Другий рівень передбачає будь-який необхідний додатковий ліміт. Основний страховик несе 100% ризику збитку до його ліміту. Наступний айвий страховик нестиме 100% свого рівня захисту і так далі.

Страхові тарифи у сфері кіберстрахування зростають протягом продовження контракту за рівнем покриття

Страхові тарифи у сфері кіберстрахування зростають протягом продовження контракту за рівнем покриття

Кіберактивність держав та страхування

Нещодавні серйозні вторгнення в ланцюги постачання та інциденти з програмами-вимагачами підкреслили давню проблему для кіберстраховиків: який захист може і повинне забезпечити страхування, якщо виконавці таких атак пов’язані з національними державами?

Традиційний поліс має виключення щодо війни або подібних до неї інцидентів та не в змозі належним чином охопити ситуації, коли національні держави підозрюють у причетності до атаки або принаймні забезпечити безпечну гавань для хакерів, особливо якщо мотиви атаки незрозумілі. Такі проблеми віднесення та характеристики створюють значну контрактну невизначеність для страховиків, що лише посилило нещодавнє загострення умов ринку кіберстрахування.

Більш детальна класифікація кіберінцидентів, включаючи термінологію, яка передбачає нижчий тягар доказів для участі держави, ніж поточні, широко використовувані визначення, допоможе забезпечити більшу ясність для страховиків і підвищити рівень комфорту з їх викриттям. Але сприйняття ринком жорсткішого формулювання в договорах щодо страхування кіберінцидентів потребує часу, і навіть тоді, ймовірно, зайде лише так далеко.

Останні кіберінциденти висвітлюють залишкові проблеми у створенні чітких, остаточних меж навколо того, що законно підпадає під ворожі кіберінциденти, а що ні. Участь національних держав дуже різна: від повідомлення про мовчазне спонсорство, включно зі створенням середовища для розробки складного, але легкого у використанні зловмисного програмного забезпечення (наприклад, атака на Colonial Pipeline), до передбачуваного прямого нагляду та фінансування хакерських кампаній з боку суверенного уряду (наприклад SolarWinds).

За таких обставин знову виникають деякі труднощі прямого приписування, особливо якщо державні суб’єкти, пов’язані зі злочинними угрупованнями, використовують тактику фальшивого прапора, щоб приховати свої сліди, звинуватити інших або іншим чином підірвати будь-який міжнародний консенсус щодо кінцевого джерела нападу.

Кількісна оцінка кіберризиків залишається складною

Прогрес у моделюванні та кількісній оцінці кіберризиків, а також доступність перестрахування та інші механізми розподілу ризиків будуть ключовими для заохочення як діючих, так і потенційних страховиків пропонувати більше покриття кіберризиків та іншої зловмисної кіберактивності.

На відміну від небезпек природних катастроф – наприклад, ураганів або техногенних катастроф, таких як терористичні атаки – кібернебезпеки не мають географічних кордонів; весь світ потенційно є однією зоною кіберкатастрофи. Крім питань атрибуції та характеристики, оцінка частоти та тяжкості, особливо потенціал великих накопичених втрат, залишається особливо серйозною проблемою.

Аналіз детермінованого сценарію показує, що деякі зловмисні кіберінциденти, такі як тимчасовий збій у роботі хмарних сервісів, можуть спричинити економічні втрати, які можна порівняти з деякими історичними природними катастрофами. Але більш екстремальні та тривалі кібератаки, включно з широко розповсюдженим збоєм або збоєм ІТ чи операційної інфраструктури, можуть призвести до значно більших очікуваних втрат.

Крім того, невизначеність навколо таких оцінок є дуже великою, що означає, що загальні потенційні збитки можуть бути значно вищими, ніж ці «припущення», що легко виснажує здатність перестраховиків поглинати ризики. Особливо це стосується кіберінцидентів за участю держав, де неоднозначність щодо мотивів, тактики та векторів загрози хакерів, а також можливість ескалації відносно незначних ізольованих атак до повної кібервійни лише ускладнюють кількісну оцінку кіберризиків.

Роль урядового механізму підтримки

Прогрес у зборі даних про кіберзагрози, включаючи співпрацю між компаніями та урядами, підвищить обізнаність про ризики та готовність до них, що є важливими елементами для підвищення кіберстійкості. Така інформація дозволить страховикам виявляти вразливі місця та сприяти вдосконаленню моделювання кіберризиків. Подібним чином прогрес правоохоронних органів у розшуку та переслідуванні осіб, які вчинили кібератаку, а також у поверненні викрадених коштів, може певною мірою стримати кіберзлочинців і підвищити рівень комфорту страховиків, пропонуючи здатність поглинати ризики.

Однак, зрештою, системна характеристика деяких кіберризиків, зокрема потенціал множинних втрат від однієї події або кампанії атак, пов’язаних з кібератаками, означає, що масштаб накопичених втрат може перевищувати рівні, які може безпечно покрити сектор перестрахування.

Часто навколо великомасштабної зловмисної кібератаки є побічний збиток; ненавмисні цілі також зазнають втрат. Певною мірою останню серію атак також можна розглядати як майже промахи; якби обставини склалися інакше, втрати могли б бути набагато гіршими.

Подібно до поточних дебатів щодо ризиків, пов’язаних з пандемією, слід звернути увагу на рішення за підтримки уряду для фінансування цих кіберризиків з метою підвищення стійкості всієї економіки. Добре продумане державно-приватне партнерство могло б збільшити потенціал захисту та все ще заохочувати інновації кіберринку для розширення покриття таких кіберризиків. Це має бути не просто фіскальне рішення, а намагання через співпрацю зі страховиками сприяти впровадженню найкращих практик кібербезпеки, включаючи відповідне страхування, щоб зменшити вразливість суспільства до таких ризиків.

Проектування державно-приватного партнерства

Розробка таких державних рішень є складною. Важливі міркування щодо будь-якого партнерства включають те, чи є схема обов’язковою чи добровільною, чи є страхове покриття параметричним чи заснованим на відшкодуванні, ця схема базується на принципах взаємності чи солідарності.

З фіскальної та техніко-економічної точки зору також буде необхідно забезпечити прийняття відповідних заходів для фінансування схеми та забезпечення достатнього капіталу як до, так і після кіберподії. Існуватимуть компроміси під час прийняття певних функцій схеми та труднощів у калібруванні того, скільки пікових збитків має розподілятися між страхувальниками, приватними перестраховиками та урядами.

Такі виклики посилюються на міжнародному рівні. В ідеалі, враховуючи взаємопов’язаний і глобальний характер кіберризиків, можна було б використовувати спільні міжнародні рішення для покриття крупних кіберризиків за участю ворожих держав. Проте правові обмеження, культурні відмінності, доступ до капіталу та сумніви щодо готовності окремих урядів розділяти ризики в різних юрисдикціях означають, що глобальні рішення залишаються практично нездійсненними, принаймні в короткостроковій перспективі. Як наслідок, пріоритет слід надавати розробці вітчизняних рішень партнерства для масштабних кіберризиків.

Страхова галузь пройшла довгий шлях у своєму розумінні кібертероризму, кібервійни та оцінці того, як застрахувати такі ризики. Щоб розширити межі можливостей страхування, страховики повинні бути проактивними в оцінці можливих варіантів розподілу кіберризиків, у тому числі з урядами через партнерство. Такі спільні зусилля між страховиками та урядами дозволять скоротити прогалини в кіберзахисті та забезпечать повну реалізацію суспільних переваг кіберпростору.

Підсумок плюсів та мінусів можливих особливостей схеми державно-приватного партнерства

Підсумок плюсів та мінусів можливих особливостей схеми державно-приватного партнерства

ТОП-10 СТРАХОВИХ КОМПАНІЙ УКРАЇНИ

КАСКО ОСАЦВ ТУРИЗМ ДМС LIFE МАЙНО ЗК
премії виплати
  1. ARX 1 040 974 491 283
  2. АРСЕНАЛ СТРАХУВАННЯ 866 753 426 462
  3. УНІКА 534 866 248 375
  4. VUSO 449 235 190 026
  5. ТАС СГ 402 509 261 743
  6. UNIVERSALNA 395 958 123 141
  7. ЕКСПРЕС СТРАХУВАННЯ 342 528 204 368
  8. ІНГО 333 454 191 811
  9. PZU УКРАЇНА 194 272 100 738
  10. ПЕРША 94 657 50 259
  1. ТАС СГ 642 298 313 887
  2. ОРАНТА 605 113 233 619
  3. PZU УКРАЇНА 304 102 156 220
  4. VUSO 201 600 102 041
  5. ЄВРОІНС 182 113 98 789
  6. АРСЕНАЛ СТРАХУВАННЯ 163 337 74 642
  7. ІНГО 159 573 79 961
  8. ARX 155 674 76 197
  9. УНІКА 140 365 77 000
  10. ПЕРША 89 310 46 700
  1. VUSO 53 569 19 833
  2. PZU УКРАЇНА 47 671 31 562
  3. ARX 28 166 26 530
  4. ТАС СГ 23 435 6 139
  5. УНІКА 17 692 10 841
  6. ІНГО 15 107 5 595
  7. UNIVERSALNA 13 202 2 213
  8. ОРАНТА 9 065 2 496
  9. ПЕРША 8 797 1 940
  10. АРСЕНАЛ СТРАХУВАННЯ 3 847 2 432
  1. УНІКА 799 131 391 429
  2. UNIVERSALNA 358 053 214 160
  3. ІНГО 342 554 238 654
  4. ARX 277 345 162 936
  5. VUSO 208 952 209 891
  6. PZU УКРАЇНА 162 208 117 429
  7. ТАС СГ 150 731 136 975
  8. АРСЕНАЛ СТРАХУВАННЯ 100 251 73 925
  9. ЄВРОІНС 65 824 51 763
  10. ПЕРША 45 097 26 614
  1. МЕТЛАЙФ 1 274 306 238 768
  2. ГРАВЕ УКРАЇНА ЖИТТЯ 259 262 98 654
  3. УНІКА ЖИТТЯ 203 544 54 570
  4. PZU УКРАЇНА ЖИТТЯ 186 690 27 932
  5. ARX LIFE 168 246 31 533
  1. ARX 410 131 90 090
  2. ІНГО 333 083 37 491
  3. УНІКА 180 205 4 343
  4. VUSO 162 356 114 427
  5. UNIVERSALNA 98 861 3 898
  6. АРСЕНАЛ СТРАХУВАННЯ 98 082 12 885
  7. ТАС СГ 56 212 5 191
  8. ОРАНТА 48 462 2 743
  9. PZU УКРАЇНА 38 430 4 730
  10. ПЕРША 20 039 401
  1. ТАС СГ 628 333 209 613
  2. PZU УКРАЇНА 258 646 78 658
  3. ПЕРША 209 139 79 437
  4. ОРАНТА 173 180 44 319
  5. ІНГО 162 544 70 984
  6. VUSO 71 325 42 650
  7. ARX 64 731 22 762

ДІЗНАЙСЯ ВАРТІСТЬ СТРАХУВАННЯ ОНЛАЙН


Insurance Review by Beinsure

©2004-2024 FORINSURER (Форіншурер) — журнал про страхування та іншуртех: новини страхового ринку, рейтинги надійних страхових компаній та банків. Для підготовки матеріалів використано огляди та дослідження Beinsure.com — Digital Media.

© Finance Media LLC. D-U-N-S Number 36-516-0096. Реєстраційний код (ЄДРПОУ) юридичної особи №5727935. Дата реєстрації 06.03.2008.
Адреса: вул. Євгена Сверстюка, 11А, Київ, 02660, Україна. Тел: +380445168560.

© Повне чи часткове використання рейтингів страхових компаній заборонено. База даних рейтингів є інтелектуальною власністю журналу Insurance TOP (УНДІ Права та економічних досліджень). Погляд Редакції не завжди може співпадати з думкою авторів, компаній чи ЗМІ. © Фото: Pexels.