Сегодня многие компании сокращают бюджеты и увольняют персонал перед лицом текущих экономических трудностей и геополитической неопределенности. Между тем, кибератаки не замедляются; во всяком случае, частота атак и уровни риска продолжают расти.
Несмотря на эти растущие угрозы, многие компании по киберстрахованию также сокращают масштабы, сужая охват. В результате CISO и бизнес-лидеры сталкиваются с трудным выбором. Как они должны распределять средства? Должны ли они улучшить свое положение в области безопасности? Должны ли они покупать больше киберстрахования? Или и то, и другое?
Недавнее соглашение на 100 миллионов долларов между страховым гигантом Цюриха и Mondelez International (производитель печенья Oreos, крекеров Ritz и десятков других закусок) проливает некоторый свет на проблему. В 2017 году вредоносная программа NotPetya нанесла ущерб, оцениваемый в 10 миллиардов долларов по всему миру, и Монделез был одной из жертв.
Вполне вероятно, что российские военные хакеры применили NotPetya к украинской компании до того, как она распространилась по всему миру. Это то, что побудило Цюрих потребовать освобождения от акта войны. Они отказались платить по иску, пока дело не дойдет до суда. Был ли Монделез жертвой военного акта — или это была жертва “сопутствующего ущерба”, который должен быть покрыт страховкой?
Сейсмические сдвиги в киберстраховании
Еще до решения суда Цюриха / Монделеза индустрия киберстрахования претерпела серьезные изменения. В августе 2022 года Lloyd’s, крупнейший в мире страховой рынок, попросил всех киберстраховщиков, продающих через свою платформу, переписать свои полисы.
Согласно рыночному бюллетеню Y5381, Lloyd’s теперь требует, чтобы все автономные политики кибератак (согласно определенным кодексам и условиям) должны включать подходящее положение, исключающее ответственность за убытки, возникающие в результате любой поддерживаемой государством кибератаки.
Это вызвало драматический волновой эффект в отрасли. Страховщикам теперь приходится бороться за сохранение конкурентоспособности, несмотря на сужение охвата. Этот шаг также может побудить операторов, не являющихся Lloyd’s, исключить покрытие киберинцидентов, связанных с войной.
Между тем, учитывая растущий риск, страхование от кибератак пользуется большим спросом среди корпоративных клиентов. 20 крупнейших страховщиков США получили более 3,9 миллиарда долларов прямых премий за кибербезопасность в 2021 году. Кроме того, автономные кибер-премии выросли на 95% в 2021 году.
Проигрывают ли киберстраховщики?
По данным Fitch Ratings, убытки киберстраховщиков выросли на 300% в период с 2018 по 2021 год. Тем не менее, в 2021 году рост заработанных премий превысил изменение понесенных убытков, а коэффициент автономных кибер-потерь улучшился до 65% с 72% годом ранее.
Все это было до того, как началась война в Украине. Давление на страховые компании также возникает после крупных судебных решений в пользу истцов. Например, в декабре 2021 года суд Нью-Джерси постановил, что страховое подразделение Chubb не может отказать в покрытии убытков Merck & Co в размере 1,4 миллиарда долларов от NotPetya. Суд постановил, что военное исключение Чабба запрещает только физическую войну, а не кибератаки. Более того, решение Merck было основано на требовании о страховании имущества, а не на киберспецифическом покрытии.
Учитывая все эти факторы, очевидно, что Lloyd’s посчитал необходимым скорректировать то, как они покрывают претензии по кибератакам.
Как зародилось киберстрахование
В недавнем блоге Lawfare представлен обзор новой книги Джозефины Вольф “Политика киберстрахования: переосмысление риска в эпоху программ-вымогателей, компьютерного мошенничества, утечки данных и кибератак” (MIT Press, 2022). Вольф – профессор политики кибербезопасности, компьютерных наук и инженерии в Университете Тафтса.
По словам Вольфа, до того, как киберстрахование стало популярным, компании предъявляли кибернетические претензии по коммерческой общей ответственности, имуществу и другим видам традиционного страхования. Но судебные решения часто принимались против страхователей. Это позволило страховщикам избежать уплаты судебных издержек по групповым искам, связанным с кибербезопасностью. В конечном счете, эта тенденция подтолкнула рынок к разработке продуктов, ориентированных на киберстрахование.
Киберстрахование раскрывает сложность кибербезопасности
В наши дни все крупные бренды в любой отрасли также являются технологическими брендами. Что происходит, когда компания является жертвой нарушения, но также способствует кибератакам? Вольф подчеркивает, насколько сложно “распутать, кто был ответственен за инциденты, в которых было несколько, часто перекрывающихся, слоев жертв, пособников и потенциальных защитников”.
По словам Вольфа, для страховой отрасли существует постоянная трудность в моделировании и оценке киберрисков. Например, как страховщик влияет на то, как компьютерные сети и данные все больше переплетаются друг с другом и с другими зонами покрытия? Страховщики неоднократно жалуются на отсутствие хороших актуарных данных, критериев моделирования и ценообразования.
Вольф также указывает, что разработка страхового полиса для киберрисков сильно отличается от страхования автомобильных или пожарных рисков. В отличие от риска автомобилей и пожара, практически невозможно сформулировать все способы, которыми киберугрозы могут нанести вред.
Профессионалы в области безопасности понимают боль
Проблемы, с которыми сталкиваются киберстраховщики, отражают повседневную реальность команд кибербезопасности. Периметра больше не существует. Тысячи приложений, устройств, третьих сторон и пользователей просят подключиться к вашим сетям в любое время. Переплетенный характер сетей и конечных точек требует, чтобы безопасность применяла совершенно разные подходы, что может принести пользу индустрии киберстрахования и наоборот.
Например, подход к безопасности с расширенным обнаружением и реагированием (XDR) работает путем сбора и сопоставления данных в различных точках сети, таких как серверы, электронная почта, облачные рабочие нагрузки и IoT.
Собранные с помощью XDR данные затем анализируются и сопоставляются, придавая им наглядность и контекст. Это позволяет идентифицировать продвинутые угрозы. Далее, угрозы могут быть расставлены по приоритетам, проанализированы и отсортированы, чтобы предотвратить сбои в системе безопасности и утечку данных. XDR помогает организациям повысить уровень осведомленности о кибербезопасности и позволяет группам безопасности выявлять и устранять уязвимости.
Дополнительные преимущества между кибербезопасностью и страхованием
Все эти данные и понимание могут также улучшить понимание и разработку политики киберстрахования. Кроме того, обмен данными об инцидентах позволит более точно оценивать риски и устанавливать цены.
Киберстраховщики также рассматриваются как своего рода фактический регулятор. Чтобы претендовать на киберстрахование (чего очень хотят многие компании), необходимо соблюдать определенные стандарты. Кроме того, те, у кого более надежная защита, такие как системы XDR, могут настаивать на более низких премиях.
Индустрия киберстрахования будет продолжать развиваться. Если между страховщиками, охранными фирмами и организациями происходит гибкое сотрудничество, все стороны должны выйти вперед.
Author: admin
Related Posts
Согласно отчету, уровень вредоносных атак с использованием программ-вымогателей вырос на 68% в первой половине 2024 года
Обзор главных новостей в сфере кибербезопасности за 19 августа 2024 года
