Прошло 10 дней с начала коллапса, причиной которого послужил сбой в обновлении CrowdStrike. Можно попробовать подвести некоторые итоги и посчитать, во сколько обошелся миру этот инцидент.
Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike:
- От инцидента пострадало 25% компаний из Fortune 500, хотя CrowdStrike заявляла о том, что в ее клиентах числится не менее половины Fortune 500.
- Самые пострадавшие отрасли — авиация, здравоохранение и банки. При этом по мнению Parametrix среди авиакомпаний пострадало 100% (но это из списка Fortune 500, а их там всего шесть).
- Ожидаемые прямые финансовые потери составляют 5,4 миллиарда долларов, но только для компаний из списка Fortune 500, исключая Microsoft.
- Наибольшие потери из всех индустрий — в здравоохранении. За ним следуют банки и авиация. Меньше всего пострадало производство и ИТ-отрасль.
- От 0,54 до 1,08 миллиардов долларов потерь попадает под действие страховок, то есть от 10% до 20% от общего объема.
- Средний размер потерь на пострадавшую компанию составил 44 миллиона долларов.
Очевидно, что это только верхушка айсберга, так как за первые 10 дней достаточно сложно оценить все возможные потери, которые включают в себя потери из-за простоев, рост операционных расходов, стоимость восстановления, снижение покупательской способности, потенциальные иски, снижение продуктивности и т.п.
«Однако определение окончательных убытков для отрасли, вероятно, будет длительным процессом, так как «язык» полисов киберстрахования пока не стандартизирован.» Рейтинговое агентство Moody’s
Дело в том, что как я отмечал в прошлой заметке, «системный сбой», который характеризует произошедший коллапс, может не покрываться страховкой, которая могла быть сфокусирована на злонамеренных действиях третьих лиц (кибератаках). И хотя страхование киберрисков в США достаточно развито, но оно все-таки плохо стандартизовано. Поэтому у каждой страховой компании свой страховой продукт, предлагаемый клиентам. С другой стороны, если страховка покрывала потери именно в результате системного сбоя, то в этом случае можно будет говорить о возмещении потерь от нарушения непрерывности бизнеса.
Но надо признать, что многие полисы киберстрахования специально исключают потери, как результат прерывания бизнеса.
Размер страховых выплат по данным Parametrix оценивается в 0,54 — 1,08 миллиарда долларов. Страховая компания CyberCube оценивает страховые выплаты в 400 миллионов — 1,5 миллиарда; что составляет по ее оценкам 3-10% от суммы финансовых потерь. Получается, что сумма ущерба по версии CyberCube приближается к 15 миллиардам.
Интересно, что пока разговоры о потерях идут только со стороны страховых компаний (перестраховочные компании пока молчат, ожидая оценок страховщиков), которым и расплачиваться за все произошедшее (по крайней мере в США).
Многие эксперты отмечают, что оценка Parametrix существенно занижена, так как не учитывает длительность и природу иных потерь, например, замену билетов на отмененные или задержанные авиарейсы, возврат средств за билеты, удар по репутации, штрафы и т.п. Например, 146 миллионов долларов, которые каждая из шести авиакомпаний Fortune 500 потеряла, выглядят очень малой суммой.
Согласно исследованию J. Gold Associates восстановление каждого пострадавшего ПК обходится компании в 82,5 доллара, если это делается собственным сотрудником, и втрое больше, если внешней компанией.
Получается, что, если учитывать данные Microsoft о 8,5 миллионах вышедших из строя компьютеров, только на восстановление будет потрачено не менее 700 миллионов долларов.
Оценок для компаний не из Fortune 500 и за пределами США я пока не видел, но напомню, что всего CrowdStrike заявляет о 29000 клиентов по всему миру. Если, следуя пропорции Parametrix, пострадала каждая 4-я компания, то совокупный объем потерь может составит несколько десятков миллиардов долларов, что делает данный инцидент самым дорогим в истории. Но я бы пока поостерегся делать какие-то оценки, не видя результатов слушаний в Конгрессе, расследования со стороны регуляторов, исков со стороны юридических фирм, которые сейчас готовятся как со стороны пострадавших клиентов, так и со стороны акционеров.
Курс акций CrowdStrike упал на 20% и акционеры потеряли не менее 15 миллиардов долларов. Это же тоже потери (и не столько CrowdStrike).
В разосланном агентством Moody’s отчете говорится:
«Мы ожидаем, что андеррайтеры оценят масштаб и характер события [с CrowdStrike] и скорректируют свои услуги андеррайтинга, сосредоточив внимание на покрытии системных сбоев. Хотя страховщики улучшили свои возможности по анализу потенциальных застрахованных убытков, связанных с отдельными утечками данных, потерями от программ-вымогателей и перерывами в работе бизнеса, анализ широкомасштабных сбоев по-прежнему остается сложной задачей. Кибермоделирование продвинулось вперед, но риски постоянно меняются, что создает неопределенность в отношении частоты и вероятности киберкатастроф. Сбой CrowdStrike побудит к дальнейшему изучению агрегирования рисков и методов моделирования, а также подстегнет спрос на страхование киберрисков«.
Я соглашусь с оценкой Moody’s, что данный сбой заставит многих страховщиков пересмотреть свои подходы к оценке событий с катастрофическими последствиями, а у нас страховые смогут не совершать ошибок, на которые «наступили» иностранцы и еще наступят, так как, возможно, они еще понесут убытки из-за нечетких формулировок к своих полисах и сослаться на форс-мажор, как это в свое время сделала страховая компания Zurich, отказавшись в 2018-м году выплачивать 100 миллионов долларов компании Mondelez (владеет брендами Orio, Cadbury, Toblerone и т.п.), посчитав, что атака шифровальщика NotPetya была проявлением кибервойны.
О возможных убытках для страховщиков киберрисков говорил и Уоррен Баффет на ежегодном собрании акционеров инвестиционной компании Berkshire Hathaway. По мнению Баффета в этом бизнесе слишком много неопределенностей и рисков, что создает большие сложности для андеррайтинга и не позволяет компании одного из богатейших людей мира активно заниматься этим видом бизнеса, несмотря на то, что Berkshire Hathaway является одной из крупнейших страховых и перестраховочных компаний в мире (входит в десятку).
По словам Аджита Джайна, преемника Баффета, на годовом собрании это приносило страховщикам прибыль, по крайней мере, на сегодняшний день. Он назвал текущую прибыльность «довольно высокой» — не менее 20% общей премии попадает в карманы страховщиков. Но послание Berkshire Hathaway страховым агентам носило предостерегающий характер.
Основная причина заключается в сложности оценки того, как убытки от единичного и, казалось бы, незначительного происшествия перерастают в совокупность потенциальных катастрофических потерь от «кибер»-события.
Хотя Баффет и предупреждал всех о возможных рисках, его компания является сегодня шестой в мире по объему выданных полисов киберстрахования. Но, как мы видим, предостережение, данное в мае, реализовалось всего спустя полтора месяца и страховщики теперь начнут более осмотрительно готовить полисы страхования.
Страховая компания Fitch Rating считает, что инцидент с CrowdStrike, не стал еще той косточкой домино, которая, качнувшись, потянула за собой весь рынок страхования и колоссальные убытки для экономики, став агрегированным событием, о котором говорили Баффет и Джайн. При этом Fitch оценивает застрахованные потери от коллапса 19-го июля в 10 миллиардов долларов, что больше оценок Parametrix и CyberCube на порядок, но все-таки еще не является катастрофическим; исключая может быть некоторых страховщиков, неправильно оценивших свои риски и риски клиентов.
Если попробовать подытожить все оценки, то оптимистичной можно назвать оценку Parametrix в 5,4 миллиарда долларов потерь. Оценка Fitch в несколько десятков миллиардов относится скорее к верхней границе, а цифры CyberCube (15 миллиардов) являются скорее неким средним значением, на которое я бы и ориентировался на сегодняшний день!
Многие эксперты сравнивают кейс CrowdStrike с инцидентом 2017-го года с вредоносом NotPetya, масштаб ущерба от которого оценивается в 10 миллиардов долларов. При этом эксперты считают, что в отличие от истории семилетней давности, сейчас воздействие на бизнес было существенно большим, чем тогда.
Отличный повод вернуть российские компании по кибербезопасности на рынок США и их сателлитов!