Наткнулся я тут на статью в Forbes об американском рынке киберстрахования и мне показалась она достаточно интересной, чтобы тезисно ее пересказать. Автор пишет, что в отличие от страхования жизни и жилья, зародившегося в конце 1700-х годах, и страхования автомобилей, появившегося в конце 1800-х, страхование киберрисков возникло только в 1997-м году и к этому сегменту рынка страховые компании применяли традиционные правила страхования, которые… о неожиданность, плохо применимы к новой сфере деятельности страховщиков. Оказалось, что они недооценили частоту и серьезность кибератак.
Согласно отчету Национальной ассоциации комиссаров по страхованию (NAIC), коэффициент убытков подскочил с 32,4% в 2017 году до 66,4% в 2021 году!
Это привело к тому, что страховые компании вынуждены были поднять размеры своих страховых премий и ужесточить требования к страховым полисам. Следствием этого стало сокращение страхователей и стремительный рост спроса на соответствующие услуги.
NAIC обнаружила, что премии по киберстрахованию выросли на 75% в период с 2020 по 2021 год, а исследование AM Best показало, что премии выросли на 50% в период с 2021 по 2022 год.
Это привело к падению убыточности страховщиков в 2022-м году, что означает, что ждать снижение размеров страховых премий, определяемых страховщиками самостоятельно, не приходится.
Почему страховщики допустили такие просчеты? Тут надо обратить внимание на практику андеррайтинга. Если коротко, то андеррайтинг — это процедура оценки возможных рисков перед заключением сделки. И андеррайтеры, не имеющие большого опыта в кибербезопасности, использовали традиционные, статические методы оценки рисков, базирующиеся либо на шаблонах, либо на предсказуемости событий. Например, это хорошо работает в страховании жизни, где сложно ожидать резких изменений продолжительности жизни (срока дожития). А в страховании автомобилей есть наработанная годами статистика, которая позволяет проводить актуарные расчеты и иметь основанные на статистике данные и тарифы.
Но в кибербезопасности все это работает плохо. И дело не в отсутствии статистики, а в динамичности мира ИБ. Сегодня у тебя все спокойно, но ночью американцы наносят ракетные удары по хуситам и в ответ они начинают «бомбить» кибератаками американские компании, что сразу приводит к росту страховых выплат. На утро у тебя опять все спокойно, а в обед встает трубопровод от атаки шифровальщика и стоимость нефтепродуктов взлетает до небес.
Поэтому на Западе многие страховые компании начинают присматриваться к динамическому андеррайтингу (у нас такого пока почти нет), который позволяет динамически моделировать множество различных сценариев, постоянно оценивать состояние ИБ организации и выводить адекватную стоимость полиса киберстрахования.
Но динамический андеррайтинг гораздо сложнее в реализации и требует более тесного общения страховщика и страхователя. Первые выстраивают у себя функцию ИБ, отслеживают готовящиеся атаки на своих клиентов, предупреждают их, тем самым спасая себя от страховых выплат, а страхователей от ущерба. Но это перестройка привычного страхового бизнеса.
Автор статьи в Forbes считает, что несмотря на все сложности, страхование киберрисков все же имеет все перспективы для роста, так как важность ИБ растет, спрос на данную услугу растет, а значит рынок сам все порешает и кто первый предложит адекватный страховой продукт, тот и снимет основные сливки.
При этом он советует страхователям уже сейчас присмотреться к текущим полисам и быть готовым к реализации требований, от которых зависит страховая премия. И чем эффективнее стратегия ИБ страхователя, тем ниже эта премия может быть. А значит нужно уже сейчас внедрять MFA, регулярную оценку защищенности, разрабатывать и внедрять план реагирования на инциденты, обучение сотрудников и т.п.
При этом автор отмечает, что первым страхователям надо быть готовым к тому, что они заплатят большую цену, чем их последователи, так как рынок киберстрахования пока еще не пришел в равновесие.
Второй совет, который дается в Forbes, — это наладить контакт со страховщиком, а также тесно пообщаться с руководством своей компании о приемлемом уровне риска, который им придется принять. Иными словами, все должны понимать, чего опасается именно бизнес, а не о чем трубят СМИ и что часто является скорее мифической угрозой для конкретной компании.
Наконец, автор дает совет, с которым я не могу согласиться, а именно, точно рассчитать все риски в количественном выражении. Я не уверен, что это хороший совет, так как на такие расчеты может уйти слишком много усилий без должного результата. А экспертные оценки «высокий риск», «средний» или «низкий» мало интересны страховщикам.
В заключение, статья Forbes постулирует, что директора по ИБ сегодня сталкиваются с серьезными юридическими последствиями за инциденты ИБ, происходящие в их организациях. Это бремя, возложенное на CISO, вряд ли уменьшится в ближайшее время и поэтому крайне важно сформировать общее понимание последствий от реализации недопустимых событий у топ-менеджмента компании, начиная от совета директоров и заканчивая другими руководителями. Они все должны понимать свою общую ответственность за конечный результат.
А что касается пока еще нестабильного рынка киберстрахования, нет повода паниковать, игнорировать его и даже бойкотировать. Это новая финансовая услуга и рынок не упустит возможность заработать на ней, что приведет так или иначе к формированию правил игры, которые устроят все стороны, и страховщиков, и страхователей, и регуляторов.