Аннотация
Современное общество становится все более зависимым от информационно-технологической инфраструктуры и цифровых сервисов. Более того, пандемия COVID-19 вынудила переходить от традиционной офлайн-работы к современным методам, включая удаленную работу. Этот переход привел к увеличению числа кибератак, так как он расширил поверхность атаки. В результате возросла потребность в защите информационных систем.
Что касается обеспечения безопасности информационных систем, киберстрахование становится стратегическим инструментом управления рисками. Это помогает организациям обезопасить себя от потенциальных убытков, связанных с кибератаками. В данном исследовании мы анализируем соответствующую литературу по киберстрахованию, исследованиям и передовой практике, чтобы лучше понять текущее положение дел и выявить актуальные тенденции.
Введение
Усиливающаяся зависимость современного общества от цифровых услуг привела к тому, что организации прикладывают значительные усилия для обеспечения адекватной кибербезопасности и предотвращения как случайных, так и злонамеренных инцидентов. Однако по мере развития современных методов кибератак и увеличения их серьезности становится очевидным, что организации не могут полагаться только на меры по снижению рисков для обеспечения своей кибербезопасности. Вместо этого киберстрахование становится неотъемлемой частью организационных мер безопасности.
Среди примеров серьезных кибератак, оказавших значительное воздействие, следует отметить случаи WannaCry и NotPetya в 2017 году, которые затронули тысячи компаний в разных регионах и отраслях. Кроме того, атаки программ-вымогателей, нацеленные на правительственные организации США, такие как Министерство обороны, Министерство внутренней безопасности, Министерство финансов и др., также вызывают серьезную обеспокоенность.
Современные угрозы в области кибербезопасности включают такие аспекты, как криптоджекинг, вредоносное программное обеспечение, атаки по цепочке поставок, программы-вымогатели, компрометация деловой электронной почты и другие.
Управление информационной безопасностью часто базируется на процессе оценки рисков. Организации могут выбрать одну из четырех стратегий по управлению рисками после проведения такой оценки: изменение рисков, сохранение рисков, предотвращение рисков и распределение рисков. Последняя стратегия, известная также как разделение рисков, подразумевает делегирование части риска внешней стороне, способной наиболее эффективно управлять им. Среди методов реализации этой стратегии стоит выделить использование страхования для смягчения последствий инцидентов или заключение субподрядов с целью предотвращения риска.
Рынок киберстрахования стремительно развивается и ожидается, что будет продолжать развиваться. Несмотря на сильную мотивацию организаций использовать страхование как часть стратегии кибербезопасности в ответ на конкретные угрозы, они не всегда считают это приоритетным. Сфера киберстрахования проходит фундаментальные изменения и преобразования, и в данной статье исследуются факторы, стоящие за этим развитием, а также препятствия, практики и вовлеченные процессы. Статья анализирует движущие силы рынка киберстрахования, структуру этого рынка, типы полисов и основные риски, подлежащие страхованию. Тем не менее, покрытие рисков в рамках страхования кибербезопасности может быть менее четким по сравнению с другими видами страхования, так как инциденты могут быть обнаружены только спустя некоторое время.
В заключении, данная статья обобщает результаты анализа существующей литературы и выделяет особенности рынка страхования в области кибербезопасности, включая сложности андеррайтинга, доминирование крупных клиентов и дисбаланс между спросом и предложением. Также описываются процессы андеррайтинга и управления претензиями, а также внимание уделяется актуальным тенденциям.
Современные угрозы в области кибербезопасности и их воздействие на рынок страхования
В данном разделе мы рассмотрим текущие киберугрозы, которые представляют вызов для организаций и способствуют росту спроса на киберстрахование. Эти угрозы включают в себя атаки по цепочке поставок, программы-вымогатели, компрометацию деловой электронной почты и мошенничество с финансовыми переводами.
1. Программы-вымогатели
Программы-вымогатели представляют собой форму вредоносных атак, при которых злоумышленники шифруют информацию организации и требуют оплату (выкуп) за восстановление доступа к данным. В последние годы программы-вымогатели стали одной из наиболее серьезных киберугроз, и были признаны основной угрозой в 2020-2021 годах, с рядом громких инцидентов, привлекших широкое внимание . Эти атаки постепенно эволюционировали, и появилось понятие “двойного вымогательства”, где злоумышленники не только требуют выкуп за расшифровку данных, но и угрожают обнародованием этих данных. Существуют доклады и исследования, подчеркивающие постоянный рост числа атак программ-вымогателей в 2020 и 2021 годах. Важно отметить, что суммы выкупа, требуемые злоумышленниками, продолжают увеличиваться.
Кроме того, бизнес-модель “Ransomware-as-a-Service” (RaaS) стала широко распространенной в 2020 и 2021 годах. RaaS представляет собой модель, позволяющую даже неопытным злоумышленникам с ограниченными техническими навыками осуществлять атаки эффективно. Доступ к программам-вымогателям легко доступен на тёмной стороне интернета (Dark Web). Для увеличения эффективности атак, киберпреступники также нацеливаются на поставщиков управляемых безопасности, предоставляющих услуги для нескольких организаций, позволяя им одной атакой затронуть сотни и даже тысячи организаций. В среднем время восстановления после атаки программами-вымогателями составляет около 19 дней, что приводит к серьезным простоям в работе организаций. Негативные последствия программ-вымогателей включают потерю репутации, доходов, средств и конфиденциальных данных.
2. Компрометация деловой электронной почты
Компрометация деловой электронной почты (BEC) представляет собой атаку, при которой злоумышленнику удается проникнуть в учетную запись электронной почты сотрудника и затем использовать этот доступ для различных незаконных действий, часто под видом легитимных. В результате BEC могут возникнуть разнообразные виды убытков, включая программы-вымогатели, финансовые мошенничества, утечку конфиденциальных данных и многое другое. Показатель серьезности BEC-атак проиллюстрирован тем, что только в Соединенных Штатах их общие затраты оцениваются в приблизительно 1,7 миллиарда долларов в 2019 году. В среднем, стоимость одной атаки BEC составила 30 000 долларов в 2020 году и увеличилась до 50 000 долларов в 2021 году. Был зафиксирован значительный рост числа BEC-атак в различных регионах и сферах деятельности, особенно в 2021 году по сравнению с 2020 годом. Условия, вызванные пандемией COVID-19, способствовали увеличению случаев BEC, так как физическое присутствие и личное общение часто заменялись электронной почтой.
3. Мошенничество с переводами денежных средств
Нарушения, связанные с мошенничеством при переводе средств (FTF), представляют собой атаки, которые направлены на искажение действий авторизованных пользователей или перенаправление денежных средств на несанкционированных получателей. Атаки FTF обычно выполняются после других типов атак, таких как программы-вымогатели и социальная инженерия. В то время как для проведения других более сложных атак, например программ-вымогателей, требуются продвинутые методы, инструменты и знания, атаки FTF чаще всего используются в связке с BEC и социальной инженерией, что делает их более доступными для злоумышленников. Тем не менее, атаки FTF могут привести к существенным убыткам. Например, средние потери от одной атаки FTF в 2021 году составили 326 000 долларов, что заметно превышает уровень 2020 года, когда средние убытки составляли 124 000 долларов.
4. Атаки на цепочки поставок
В последние годы организации активно внедряют цифровые преобразования, которые часто включают в себя использование аутсорсинговых услуг, таких как размещение данных у поставщиков облачных вычислений. Эти поставщики, ihrerseits, зависят от других поставщиков и так далее. Очевидно, что, полагаясь на внешние поставщики (а также на их поставщиков и вендоров), организации сталкиваются с более высокими рисками, которые выходят за рамки их собственного контроля. Следовательно, отдельные киберриски были преобразованы в риски цепочки поставок, поскольку успешная атака может одновременно затронуть несколько организаций из-за сложных сетей поставщиков, которые сегодня поддерживают функционирование рынка. Злоумышленники все чаще нацеливаются на поставщиков программного обеспечения и услуг, осознавая, что множество организаций зависят от них для обеспечения своей инфраструктуры и что одной атакой можно нанести ущерб множеству потенциальных жертв.
5. Последствия пандемии
Условия, вызванные пандемией COVID-19, привели к резкому увеличению кибератак. Организации были вынуждены быстро адаптироваться, изменяя рабочие процессы и внедряя массовую удаленную работу, чтобы обеспечить бесперебойное функционирование бизнеса. Вместе с этим они временно уступили в области кибербезопасности, так как не имели достаточного времени для должной подготовки. Сотрудники перешли к работе из дома, используя свое собственное оборудование и сети, которые не всегда соответствовали политикам безопасности организации, делая их уязвимыми перед киберугрозами. Более того, несколько организаций стали зависеть от протоколов, таких как Microsoft Remote Desktop Protocol (RDP), которые стали уязвимыми точками для атак со стороны киберпреступников. Помимо технических уязвимостей, вызванных пандемией, отсутствие межличностного взаимодействия между сотрудниками и службой поддержки информационных технологий осложнило развитие культуры кибербезопасности и осведомленности в этой области, что сделало сотрудников более уязвимыми перед социальной инженерией и связанными с нею атаками, а также ограничило возможности оперативной реакции и реагирования на инциденты.
Страховые полисы в области киберстрахования
Стандарт ISO 27102, дает определение киберинцидента как события в киберпространстве, которое может иметь серьезные последствия для информационной безопасности и бизнес-процессов. Это важное понятие в области кибербезопасности, так как киберинциденты могут возникать из различных причин и варьироваться по характеру и масштабу.
Документ предлагает классификацию киберинцидентов по пяти основным типам:
Сбой системы: Этот тип инцидентов связан с неполадками в работе информационных систем и сетей. Это может включать в себя сбои серверов, отказы в работе сервисов или приложений.
Утечка данных: Когда конфиденциальная информация или данные организации попадают в нежелательные руки, это считается утечкой данных. Такие инциденты могут привести к утрате чувствительной информации и повышенному риску нарушения конфиденциальности.
Потеря целостности или доступности данных: Этот тип инцидентов охватывает события, которые могут привести к изменению или утрате целостности данных, а также блокированию доступа к ним. Это может включать в себя воздействие зловредного программного обеспечения на данные или сетевую инфраструктуру.
Человеческие ошибки: Нередко киберинциденты происходят из-за человеческих ошибок, таких как неправильная конфигурация систем, небрежность в использовании паролей или неверные действия сотрудников.
Злонамеренные действия: Этот категория включает в себя инциденты, где атаки осуществляются с преднамеренным намерением навредить организации. К ним относятся атаки хакеров, вирусов и программ-вымогателей.
Киберстрахование становится важным инструментом для организаций в сфере кибербезопасности. Оно предоставляет финансовую защиту и компенсацию в случае киберинцидентов. Страховщики берут на себя риск и обязуются выплатить застрахованным лицам суммы, связанные с убытками, вызванными кибератаками. Это помогает организациям справиться с финансовыми трудностями и восстановиться после инцидента, что особенно актуально в мире, где киберугрозы становятся все более сложными и разрушительными.
Инциденты, подпадающие под страхование, и критерии приемлемости
Область киберстрахования охватывает разнообразные киберинциденты, которые могут привести к финансовым потерям, нарушению бизнес-процессов, повреждению сетевой инфраструктуры и так далее. Среди таких инцидентов можно выделить сбои в работе информационных систем, утечки данных, нарушение целостности или доступности информации, злонамеренные действия и человеческие ошибки.
Программы-вымогатели представляют собой одну из наиболее значительных киберугроз, которые стимулируют организации к выбору киберстрахования как инструмента управления рисками. По данным исследования, проведенного компанией Cloudian, организации получили возмещение как за выплаченный выкуп (примерно 59% от суммы выкупа), так и за другие убытки, вызванные атакой программ-вымогателей (примерно 58% от общих потерь).
Тем не менее, исследования также выявляют несоответствия, которые приводят к недостаточной ясности и ограниченному использованию киберстрахования. Первое несоответствие связано с тем, какие события признаются страховыми компаниями страховыми, и какие – нет (например, ошибка в управлении, но не отказ в электропитании). Второе несоответствие связано с расширением страхования на субподрядчиков и внешних поставщиков услуг, и разные страховые компании применяют разные подходы к этому вопросу. Некоторые страховые компании предоставляют страхование для событий, произошедших в рамках внешнего сотрудничества, но ограничивают эту опцию лишь набором утвержденных поставщиков (то есть компаний с известной репутацией). Третье несоответствие связано с тем, в какой степени страхование может распространяться на дочерние компании и корпоративные структуры в разных юрисдикциях или на новые дочерние компании, созданные в течение действия страхового полиса. Учитывая эти разногласия, установление критериев приемлемости играет важную роль в определении условий, при которых риск может быть страхован. Это становится важным моментом, так как прогнозирование риска становится более точным, когда риск соответствует определенным критериям. Ряд исследований, подчеркивают важность установления таких критериев, чтобы улучшить надежность страхования и упростить процесс оценки киберриска. В этом контексте, различные исследования акцентируют внимание на определении подобных критериев и рассматривают возможности развития страхования киберрисков. Как было обсуждено в этих исследованиях, на пути развития рынка киберстрахования возникают препятствия, связанные с этой областью. Следовательно, исследователи и профессионалы страхования признают важность установления этих критериев с целью преодоления данных препятствий, что способствует росту рынка, увеличению объема страховых рисков и повышению конкурентоспособности рынка, а также снижению стоимости страхования. Описанные критерии представлены в таблице.
Таблица 1. Страхуемость киберрисков
Критерий страхуемости | Описание |
---|---|
Случайные убытки | Инцидент должен быть случайным и не находиться под контролем застрахованного лица |
Ограниченный риск катастрофически больших потерь | Катастрофически большие потери должны происходить с очень низкой частотой |
Подсчитываемые убытки | Должна быть возможность оценить или рассчитать возможные убытки и вероятность инцидента |
Большое количество аналогичных средств защиты | Для облегчения определения вероятности должно быть доступно большое количество однородных единиц воздействия |
Доступная премия | Страховая премия должна быть разумной для застрахованного |
Определенный ущерб | Подделать потерю должно быть сложно. Ее время, место и причину должно быть легко определить |
Крупные убытки | Убытки должны быть достаточно большими, чтобы застрахованный мог родиться самостоятельно |
Случайность наступления страхового случая… | … инциденты должны происходить независимо |
Максимально возможный ущерб… | … каждый инцидент должен быть управляемым для страховщика |
Средний ущерб за инцидент… | … должно быть умеренным |
Риск убытков… | …должно быть достаточно большим |
Информационная асимметрия… | … должно быть слишком высоким |
Страховая премия… | …должно быть доступным для застрахованных |
Пределы покрытия… | … должно подходить для застрахованных лиц |
Публичные ограничения… | … следует соблюдать |
Правовые ограничения… | … не должно нарушаться |
Политика киберстрахования
Содержание политики киберстрахования определено в полисе, который может представлять собой отдельный документ или входить в состав политики страхования другого типа (например, полиса общей ответственности или имущественного страхования). Этот полис представляет собой соглашение между страхователем и страховщиком, которое устанавливает условия и исключения, касающиеся застрахованных рисков. Страховая премия представляет собой сумму, которую страхователь уплачивает страховщику за предоставление страховой защиты. Исключения из полиса определяют те виды убытков, которые не покрываются страхованием и могут включать в себя телесные повреждения, материальный ущерб, террористические угрозы, нарушение прав интеллектуальной собственности, репутационные потери и другие. В работе проведен анализ наиболее распространенных исключений, которые присутствуют в полисах киберстрахования, включая преступные или мошеннические действия, нарушение патентов, небрежное отношение к информационной безопасности, кражу интеллектуальной собственности, акты терроризма, военные конфликты и телесные повреждения. В полисе могут быть указаны также ограничения покрытия, которые могут относиться к периоду ожидания или сумме, подлежащей вычету, которую страхователь должен учесть перед предъявлением претензии.
Киберстрахование может варьироваться в своей способности охватывать различные угрозы кибербезопасности, такие как прерывание бизнес-процессов, юридические обязательства, штрафы судебных органов, расходы на реагирование и другие виды потерь. Эффективность и объем покрытия зависят от нормативных требований, практики на рынке, стратегии страховщика и потребностей страхователя. Тем не менее, в одном исследовании, проведенном в Соединенных Штатах, выявлено, что существуют сходства в полисах между разными страховыми рынками, и в целом виды покрытия убытков остаются схожими. Это указывает на то, что страховщики демонстрируют определенную уверенность в своей способности оценивать киберриски.
Разновидности страховых полисов и их охват
На рынке киберстрахования применяются два основных типа страховых полисов: полисы первого лица и полисы третьего лица. Полисы первого лица направлены на обеспечение финансовой защиты самого застрахованного, предоставляя компенсацию и покрывая убытки, понесенные непосредственно страхователем. В свою очередь, полисы третьего лица предназначены для защиты от возможных исков и убытков, возникших у третьих лиц, которые могут быть затронуты киберинцидентом.
Обратившись к результатам предыдущих исследований и анализу, мы представляем перечень тех убытков, которые подпадают под страховое покрытие обоих типов полисов. Это позволяет страховщикам и застрахованным лицам более детально определить, какие риски могут быть компенсированы каждым из типов страхования.
Таблица 2. Типы покрытия страховыми полисами
Тип покрытия | Охват | Показательные случаи |
---|---|---|
Первая сторона | Потеря или повреждение цифровых активов | Покрытие расходов на ремонт утерянных или поврежденных данных и программного обеспечения (например, в случае компьютерной атаки или компрометации данных) |
Прерывание бизнеса | Покрытие потерянных доходов и расходов из-за прерывания бизнеса в результате сбоя компьютерной сети | |
Кибер-вымогательство | Покрытие расходов на судебно-медицинское расследование, покрытие выплат выкупа | |
Затраты на судебно-медицинское расследование и восстановление | Покрытие расходов на расследование и локализацию утечки данных, а также на восстановление систем и сетей | |
Третья сторона | Мониторинг кредитоспособности / Колл-центр | Покрытие расходов на программу кредитного мониторинга, предлагаемую клиентам, пострадавшим от утечки данных, и расходов на услуги колл-центра для реагирования на запросы клиентов |
Ответственность за использование средств массовой информации | Покрытие расходов, связанных с нарушением прав интеллектуальной собственности и распространением материалов | |
Связи с общественностью | Покрытие расходов на защиту и восстановление репутации и общественного имиджа | |
Нарушения безопасности и конфиденциальности / Штрафы и неустойки / расходы на уведомление клиентов | Штрафы и неустойки, возникающие в результате несоблюдения правил защиты персональных данных или разглашения деловой информации третьих лиц. |
Процесс подготовки и андеррайтинга киберстрахования
Определение, стоит ли страховой компании принимать на себя определенный киберриск и формировать соответствующую страховую политику, — это сложный процесс, который называется андеррайтингом. Процесс андеррайтинга обычно включает в себя несколько этапов подготовки, которые помогают принять решение о принятии риска, а также определить адекватный размер страховой премии. Эти этапы включают в себя получение информации о методах обеспечения кибербезопасности застрахованного лица, анализ киберрисков, связанных с этим лицом, оценку бизнес-рисков страховой компании, решение о возможности страхования данного застрахованного лица и определение стоимости страхования. На заключительном этапе создается полис киберстрахования, который формализует все условия и детали страхования.
Сбор и анализ информации
Для того чтобы страховая компания могла оценить риски и принять решение о страховании, организация, желающая получить страховку, должна предоставить информацию, которая поможет составить профиль рисков, включая следующие аспекты:
- Описание бизнеса и его миссии.
- Сведения о ключевых клиентах и поставщиках.
- Типы обрабатываемых данных и их объем.
- Подробная информация о информационных системах и любых соглашениях об аутсорсинге.
- Информация о системе управления информационной безопасностью (ISMS).
- Список существующих мер по обеспечению безопасности.
- Информация о предыдущих киберинцидентах.
- Отчеты, связанные с управлением безопасностью, включая аудиторские отчеты.
- Данные о бюджете и расходах на ИТ-безопасность.
- Сведения о текущем и предыдущем страховании.
- Финансовые отчеты и дополнительные документы.
Однако стоит отметить, что разные страховые компании могут акцентировать внимание на различных аспектах запрашиваемой информации. Например, одни могут уделять особое внимание данным, которые обрабатываются организацией, в то время как другие акцентируют внимание на аспектах технической и бизнес-инфраструктуры, а также бюджете, связанном с информационной безопасностью. Эксперты по страхованию также подчеркивают значение неформальной информации и ответов, предоставленных представителями застрахованной организации на вопросы о методах управления безопасностью. Важно, чтобы информация была точной и обновленной. Также учитывается, являются ли сотрудники, задействованные в процессах обеспечения безопасности, экспертами в своих областях, таких как команда управления инцидентами.
Страховщик проводит анализ киберрисков организации, оценивая как уязвимости, так и эффективность средств контроля безопасности. В процессе андеррайтинга также рассматриваются сценарии накопления рисков, то есть события, которые могут привести к претензиям по множеству страховых полисов, например, широкомасштабные отключения электроэнергии.
Роль ISMS в киберстраховании
Когда страховая компания рассматривает возможность страхования киберрисков для организации, она сначала собирает информацию о ней. Однако множество данных можно получить из документации, связанной с системой управления информационной безопасностью (ISMS) организации, которая соответствует стандарту ISO 27001.
ISMS – это набор правил и методов, разработанных организацией для обеспечения безопасности ее информации. В процессе андеррайтинга страховщик может использовать информацию, содержащуюся в ISMS, чтобы лучше понять, как организация управляет своей информационной безопасностью.
ISMS создает различные документы, которые могут быть полезными для страховой компании при принятии решения о страховании. Эти документы включают в себя информацию о том, как организация обрабатывает и защищает свои данные, а также о процедурах управления безопасностью. Эта информация может помочь страховщику лучше оценить риски и предложить адекватное страховое покрытие.
Таким образом, ISMS является важным источником информации, который может помочь страховщику понять, насколько организация защищена от киберрисков, и принять более обоснованное решение о страховании.
Таблица 3. ISMS как источник для процесса андеррайтинга (на основе ISO 27102)
Стадия ISMS | Документация |
---|---|
Планирование | Сфера применения ISMS |
Цели безопасности | |
Политика ISMS | |
Метод оценки рисков | |
Заявление о применимости | |
Эксплуатировать | Документирование деятельности по обработке информации |
Результаты оценки рисков | |
План обработки рисков | |
Оценка эффективности | Результаты мониторинга и измерений |
Результаты аудита | |
Руководство рассматривает результаты | |
Несоответствия и любые последующие предпринятые действия | |
Корректирующие действия | |
Поддержка | Компетентность заинтересованных сторон |
Программы повышения осведомленности |
Информация, содержащаяся в системах управления информационной безопасностью (ISMS), может предоставить страховой компании ценные сведения о рисках в области кибербезопасности. Она включает в себя информацию о том, как организация управляет своей безопасностью, какие меры контроля она применяет, а также данные о предыдущих инцидентах и действиях по их устранению. ISMS также способствует установлению стандартизированного формата для обмена информацией между страховщиком и застрахованным лицом, что делает процесс взаимодействия более эффективным и понятным.
Процесс управления претензиями
Управление претензиями в сфере киберстрахования – это процесс, который включает в себя следующие шаги:
- Застрахованный обнаруживает киберинцидент, который соответствует условиям его страхового полиса.
- Застрахованный связывается со страховой компанией и может обратиться за помощью к юридическим консультантам или фирмам по реагированию на инциденты.
- Специализированные команды начинают работу: криминалисты проводят расследование инцидента, команда по кризисным коммуникациям управляет информационной стороной ситуации, а команда по восстановлению после инцидентов занимается восстановлением нормальной работы систем.
- Застрахованный и страховая компания сотрудничают для определения степени страхового покрытия и других важных деталей.
Однако, процесс управления претензиями может столкнуться с определенными сложностями. Важно заметить, что события могут оставаться незамеченными на ранних стадиях и может потребоваться время для их обнаружения. Кроме того, подача и подтверждение претензии может требовать проведения и документирования судебно-медицинского расследования, что добавляет сложностей и может влиять на конфиденциальность информации. Способы взаимодействия с юридическими консультантами также могут повлиять на конфиденциальность данных, и это может иметь важное значение в процессе расследования и урегулирования инцидентов в области кибербезопасности.
Рынок страхования кибербезопасности
Рынок киберстрахования переживает стремительное развитие и прогнозируется его дальнейший рост в ближайшем будущем. Согласно данным и исследованиям, глобальный рынок киберстрахования продемонстрировал впечатляющее увеличение объема. Например, в 2018 году он составил около 4,85 миллиарда долларов и уже в 2019 году возрос до 6 миллиардов долларов. По прогнозам экспертов, этот рынок ожидается даже более существенным ростом, достигнув 15 миллиардов долларов к концу 2022 года и предположительно увеличившись до 28,6 миллиарда долларов к 2026 году.
Отличительные характеристики рынка киберстрахования
Отличительные черты рынка страхования кибербезопасности привлекают внимание исследователей. Во-первых, следует отметить, что на данном рынке преобладают крупные клиенты, в основном крупные компании. Это объясняется тем, что киберстрахование чаще всего становится неотъемлемой частью сотрудничества между большими компаниями. Они рассматривают киберстрахование как обязательное условие сотрудничества. Также стоит отметить, что крупные компании чаще всего используют услуги страховых посредников, которые помогают им понять риски и продукты киберстрахования. В то время как, менее крупные организации часто менее информированы о киберстраховании, так как им реже сталкиваться с необходимостью.
Второй характерной особенностью рынка киберстрахования является сложность процесса андеррайтинга. В сравнении с другими видами страхования, процесс оценки рисков в киберстраховании является более сложным и продолжительным. Это связано с тем, что условия и покрытие страхования в области кибербезопасности менее стандартизированы, чем в других сферах страхования. Каждая застрахованная организация имеет свои уникальные потребности, что делает процесс андеррайтинга индивидуальным. Также стоит учесть, что многие организации впервые сталкиваются с киберстрахованием, и им нужно провести детальную оценку киберрисков, которые они хотят передать страховщику. В других сферах страхования клиенты могли менять страховщиков, и они имеют опыт процесса андеррайтинга. Однако в сфере киберстрахования основная часть рынка движется медленными бюрократическими темпами. На этом фоне появляются новые бизнес-модели, такие как Coalition и AtBay, которые стараются изменить подход к оценке и управлению киберрисками. Они предлагают новый способ страхования, определяя риски на ранней стадии, а не только после инцидента, что упрощает процесс.
Наконец, следует отметить значительный дисбаланс между спросом и предложением на рынке киберстрахования. По мере роста спроса на киберстрахование, цены на страховые премии продолжают увеличиваться. Это связано с тем, что все больше организаций осознают важность страхования от киберрисков и ищут подходящие страховые решения. Согласно исследованию Howden Cyber Insurance Survey и Совету страховых агентов-брокеров, спрос на продукты киберстрахования значительно вырос в 2021 году. Тем не менее, рынок затрудняется удовлетворить этот спрос, что объясняется сложным и долгим процессом андеррайтинга, особенно в индивидуальном формате для каждой организации.
Роль поставщиков киберстрахования
Роль страховых компаний в сфере киберстрахования не ограничивается простым принятием рисков, а также включает активное участие в управлении основными киберрисками. Они осуществляют оценку существующих мер по обеспечению безопасности, предоставляют средства и процессы для минимизации потерь, а также готовят первичный план действий при киберинцидентах. Таким образом, страховые компании выполняют разнообразные внутренние организационные функции, включая юридическую поддержку, соблюдение стандартов и законов, информационные технологии и координацию действий в случае кризисных ситуаций.
Согласно исследованиям, киберстраховщики признают, что услуги быстрого реагирования на киберинциденты играют важную роль в страховых продуктах. Эти услуги, как правило, предоставляются в виде комплексного подхода и включают сотрудничество с другими специалистами, такими как IT-эксперты, юристы, PR-консультанты и т.д.
Однако некоторые эксперты выразили опасения относительно степени влияния страховых компаний на мировое распространение мер по обеспечению кибербезопасности и развитие средств защиты. Критики отмечают, что рынок киберстрахования не стимулирует организации внедрять базовые меры безопасности и вкладывать средства в защиту от киберрисков. Компании киберстрахования, кажется, считают, что покрытие расходов после возникновения инцидента более эффективно, чем заблаговременное снижение рисков.
Требования по киберстрахованию
Требования в области киберстрахования резко увеличиваются, как показывают результаты опросов и отчеты. Например, страховая компания Allianz сообщила, что количество претензий по киберстрахованию от застрахованных организаций значительно возросло: в 2016 году было около 100 претензий, в то время как в 2020 году этот показатель увеличился до около 1050. Исследование Howden Cyber Insurance Survey также отметило радикальный рост числа претензий по полисам как первой, так и третьей стороны за последние 5 лет. NetDiligence сообщила, что в период с 2016 по 2020 год было зарегистрировано 5 797 претензий, при этом 30% из них были поданы в 2019 году и 25% – в 2020 году. Основные претензии связаны с борьбой против атак, таких как программы-вымогатели, взломы, деловой электронный мошенничество (BEC), финансовые технологии, фишинг, вредоносные программы и другие виды киберугроз. Самые дорогостоящие иски касаются программ-вымогателей (312 тыс. долларов в 2020 году и 184 тыс. долларов в 2021 году) и финансовых технологий (152 тыс. долларов в 2020 году и 247 тыс. долларов в 2021 году). По отраслям, наибольшее количество исков было подано представителями консультационных и профессиональных услуг, сферой здравоохранения, финансовыми услугами, производством, розничной торговлей и другими секторами.
Преграды на пути развития рынка киберстрахования
Несмотря на быстрый рост киберстрахового рынка, многие организации неохотно рассматривают страхование как основную стратегию управления рисками. Их первоочередной целью остается предотвращение рисков, минимизация ущерба, передача и даже принятие рисков. Это нежелание можно частично объяснить тем, что многие организации (примерно 35%) остаются недовольными своими страховыми полисами и процессом управления киберпретензиями.
Однако есть определенные препятствия, которые затрудняют развитие киберстрахования и делают его отличным от других видов страхования. Одним из таких препятствий является корреляция рисков кибербезопасности. Чтобы страховые компании могли обеспечивать стабильные условия управления претензиями, им необходимо иметь большой пул застрахованных организаций и покрывать риски, которые не сильно зависят друг от друга. В отличие от других видов страхования, риски в киберсфере оказываются взаимосвязанными. Это происходит потому, что одно и то же киберсобытие может повлиять на несколько организаций или систем одновременно. Например, если разные компьютерные системы используют схожие технологии или зависят от одного и того же поставщика (например, Microsoft Windows), они могут быть уязвимыми к одному и тому же киберсобытию.
Кроме того, риски кибербезопасности могут взаимодействовать между собой, так как компрометация одной системы может изменить уровень риска для других систем. Например, вредоносная программа может быть создана с использованием одних и тех же программных библиотек или протоколов, что делает ее уязвимой. Предприятия со всего мира часто зависят от ограниченного числа систем и ресурсов для борьбы с киберугрозами. Например, большинство предприятий использует те же списки определений вирусов и сигнатур IP/IDS. Если один из таких ресурсов подвергнется атаке, это может повлиять на множество предприятий и, следовательно, на страховые компании.
И, наконец, еще одним важным аспектом и преградой является стоимость. Соглашения о страховании, как правило, оцениваются сверху, так как страховщики не могут точно предсказать вторичные потери клиентов, такие как ущерб репутации.
Тенденции в области киберстрахования, исследований и практических направлений
Киберстрахование представляет собой развивающуюся область, сталкивающуюся с несколькими актуальными научными и практическими задачами. Одной из таких задач является согласование языка и терминологии, используемых участниками в сфере страхования, с тем, что ожидается, что это способствует зрелости отрасли и расширению рынка.
Гармонизация процесса андеррайтинга и языка
Процесс андеррайтинга включает в себя несколько методов, которые страховые компании используют для сбора информации от потенциальных клиентов. Эти методы включают в себя анкеты, встречи, кабинетные исследования, аудиторские отчеты и оценку рисков. Среди них наиболее распространены анкеты, которые используются для сбора количественной и качественной информации о страхуемом риске. Однако, согласно исследованию, проведенному ENISA совместно с десятью ведущими страховыми компаниями, существует недостаток согласованности в терминологии и языке, используемых страховщиками при составлении андеррайтинговых анкет и полисов. Этот недостаток согласованности оказывает влияние на способность определения соотношения потерь и может привести к крупным незастрахованным инцидентам или высокому проценту незащищенных претензий.
В настоящее время, согласно ENISA, для демонстрации соответствия лучшим практикам применяется множество стандартов кибербезопасности, таких как COBIT, ISO 27001, ISO 27002, NIST. Это означает, что организации могут столкнуться с различными методами оценки рисков и опросами, проводимыми различными страховыми компаниями в процессе андеррайтинга для определения подверженности риску. Следовательно, первым потенциальным направлением исследования является гармонизация языка оценки рисков, независимо от используемого стандарта, чтобы страховщики имели более согласованные ориентиры для оценки рисков потенциальных клиентов. Однако, даже при использовании одного и того же стандарта оценки рисков, две страховые компании могут задавать разные вопросы для оценки одного и того же риска. В отличие от более зрелых страховых продуктов, где стандартизация более распространена, киберстрахование менее развито и стандартизировано, и поэтому страховщики могут использовать различные методы оценки рисков. Согласно исследованию, проведенному ENISA, вопросы, используемые десятью крупными страховщиками, были значительно разнообразными. Это означает, что существует неоднородность в процессах андеррайтинга и оценке рисков. Таким образом, вторым потенциальным направлением исследований является гармонизация стандартов безопасности и андеррайтинговых анкет. Наконец, в том же отчете говорится о неоднородности языка, используемого для описания страхового покрытия. Поэтому третьим направлением дальнейшего развития является гармонизация политики и языка описания страхового покрытия. Это поможет клиентам сравнивать цены и полисы, предлагаемые различными страховщиками.
Знакомство с процессами андеррайтинга и управления претензиями
По результатам исследований выявлены существенные барьеры, мешающие развитию рынка киберстрахования. Одной из основных проблем является сложность и продолжительность процесса андеррайтинга. Эта сложность обусловлена отсутствием стандартизированных полисов, условий и терминологии. Большинство организаций впервые сталкиваются с процессом киберстрахования, и большинство страховщиков адаптируют процесс андеррайтинга под каждого клиента. Сложность процесса усугубляется отсутствием актуарных данных, постоянно меняющимся ландшафтом угроз и рисков, а также специфическими знаниями, необходимыми как страховщикам, так и застрахованным организациям для понимания угроз, уровня подверженности, потенциальных последствий и связанных с этим мер по снижению рисков.
Кроме того, существуют проблемы, связанные с прогнозированием и моделированием рисков. Эти проблемы включают в себя измерение уровня безопасности, расчет поверхности атаки, учет организационных характеристик (например, размер компании, сфера деятельности, репутация) и учет рисков, связанных с третьими сторонами. Хотя технологические инструменты, поддерживающие процесс андеррайтинга, становятся все более доступными, существует потребность в их усовершенствовании для облегчения работы как страховщиков, так и застрахованных организаций.
Для застрахованных организаций было бы полезно улучшить инструменты для количественной оценки рисков, а также инструменты для сравнительного анализа, которые помогут им сравнивать свой уровень безопасности с аналогичными организациями. Для страховщиков также необходимы более эффективные инструменты и технологии для оценки рисков, упрощения процессов андеррайтинга и обеспечения более гладкой коммуникации с застрахованными организациями. Это поможет ускорить процессы и обмен информацией в рамках реальных сделок.
Базы данных о киберинцидентах и аналитика больших данных
Исследования в области киберстрахования указывают на значительный вклад инструментов и методов анализа больших данных, таких как интеллектуальный анализ данных, кластерный анализ и машинное обучение, в улучшение уровня кибербезопасности организаций. Эти методы стали активно применяться в различных областях кибербезопасности, таких как обнаружение вторжений и аномалий, противодействие распространению спама и фальсификаций, выявление вредоносных программ и программ-вымогателей, защита кода, а также облачная безопасность.
Анализ больших данных и машинное обучение могут также стать важными инструментами в области киберстрахования. Эти методы могут использоваться для разработки моделей прогнозирования киберрисков при создании страховых продуктов или для предупреждения застрахованных лиц о предполагаемых атаках и предложения рекомендаций по управлению рисками.
Тем не менее, на пути использования преимуществ анализа больших данных в киберстраховании стоит препятствие – отсутствие исторических и актуарных данных, которые обеспечивают надежность и уменьшают неопределенность в процессе оценки киберрисков и определения страховых тарифов. В настоящее время страховые компании и брокеры полагаются на дорогостоящие коммерческие базы данных, предоставляемые сторонними поставщиками, чтобы получить информацию о киберинцидентах и убытках. Согласно данным исследования, на рынке киберстрахования существует зависимость от нескольких крупных поставщиков данных, которые собирают информацию о киберсобытиях и рисках.
Эти базы данных содержат записи из общедоступных источников о киберсобытиях, включая данные о типе и масштабе организаций, типе отрасли и размере дохода. Они также предоставляют информацию о конкретных киберсобытиях, таких как количество затронутых записей, виды потерь и обстоятельства инцидентов. Но такие данные часто разнородны и неполны.
В результате, рынок киберстрахования мог бы значительно выиграть от усовершенствования источников данных. Примером таких усовершенствований может быть создание анонимизированных репозиториев киберсобытий и инцидентов, которые объединили бы данные из различных источников. Например, ENISA предлагает создание общеевропейского репозитория инцидентов, который предоставлял бы агрегированные данные от нескольких источников. Критическую роль в этом процессе могли бы сыграть Центры обмена информацией и анализа, а также национальные группы реагирования на компьютерные чрезвычайные ситуации.
Список исследованной литературы:
-
Franke, U.: The cyber insurance market in Sweden. 1-s2.0-S0167404817300883-main
-
Survey, H. Cyber Insurance: A Hard Reset, Howden Broking. Howden Cyber Insurance – A Hard Reset report_1
-
Gallagher Cyber Insurance Market Conditions Report: Guidance as the cyber insurance market continues to harden. 2021-q1-cyber-insurance-market-update
-
ENISA Threat Landscape 2021. ENISA Threat Landscape 2021
-
Report, H.: Don’t let cyber be a game of chance. Hiscox Cyber Readiness Report 2021
-
ISO/IEC 27001:2013 Information technology—Security techniques—Information security management systems—Requirements (2012)
-
ISO/IEC 27005:2018, Information technology—Security techniques—Information security risk management (2018)
-
Böhme, R., Kataria, G.: Models and measures for correlation in cyber-insurance. 162458449
-
Marotta, A., Martinelli, F., Nanni, S., Orlando, A., Yautsiukhin, A.: Cyber-insurance survey. Cyber_-_insurance_survey
-
Aziz, B.: Others A systematic literature review of cyber insurance challenges. In: 2020 International Conference on Information Technology Systems and Innovation (ICITSI)
-
Dambra, S., Bilge, L., Balzarotti, D.: SoK: Cyber insurance? technical challenges and a system security roadmap. In: 2020 IEEE Symposium On Security And Privacy (SP) dambra2020
-
White, A., Schmidt, K.: Systematic literature reviews. Complement. Ther. Med. white2005
-
Webster, J., Watson, R.: Writing a literature review. MIS Quarterly. pp. xiii–xxiii, Analyzing the past to prepare for the future (2002) webster_howto-litreview
-
ZeroFox Fact vs Fear: Dark Web Trends Security Teams Need to Focus on. (2021)
-
BlackFog The State of Ransomware in 2021-2023 BlackFogRansomwareReport-Sep-2023 2022_Ransomware_Report_v2
-
FortiNEt The 2021 Ransomware Survey Report. report-ransomware-survery
-
Investigations, F.: Internet Crime Report. 2019_IC3Report
-
ACSC ACSC Annual Cyber Threat Report. ACSC-Annual-Cyber-Threat-Report-2022
-
Coalition Cyber Insurance Claims Report. DLC-2021-07-Coalition-Cyber-Insurance-Claims-Report-2021-h1 (1)
-
Abnormal Email Threat Report, Q3 2021 Key Takeaways and Trends. H2_2023_EmailThreatReport
-
Security, H. Rebellions and Rejections Report. HP_Wolf_Security_Rebellions_and_Rejections_Report
-
Briefing, B.: Beazley Breach Response Services. Beazley-Breach-Insights-Q3-2020, BBR-Canada-Product-Offering, BBR-2, Beazley Breach Response
- ISO/IEC 27102:2019, Information security management—Guidelines for cyber-insurance ISO-IEC-27102-2019
- ENISA Incentives and barriers of the cyber insurance market in Europe. Cyber-Insurance-Market ENISA Threat Landscape 2023
-
Biener, C., Eling, M., Wirfs, J.: Insurability of cyber risk: an empirical analysis. Geneva Papers Risk Insur. Issues Pract. WPF-1503
-
Berliner, B.: Large risks and limits of insurability. Geneva Papers on Risk and Insurance gpp.1985.22
-
Kshetri, N.: The evolution of cyber-insurance industry and market: an institutional analysis. Telecommun. Policy N_Kshetri_Evolution_2020
-
Romanosky, S., Ablon, L., Kuehn, A., Jones, T.: Content analysis of cyber insurance policies: how do carriers price cyber risk? tyz002
-
ENISA Commonality of risk assessment language In cyber insurance—Recommendations on Cyber Insurance. WP2017 O-3-3-2 1 Recommendations on Cyber Insurance
-
Talesh, S.: Data breach, privacy, and cyber insurance: How insurance companies act as “compliance managers’’ for businesses. Law Soc. Inq. Talesh-2017-Law and Social_Inquiry Cyber Insurance
-
Woods, D., Agrafiotis, I., Nurse, J., Creese, S.: Mapping the coverage of security controls in cyber insurance proposal forms. J. Internet Services Appl. 2017-jisa-wanc-author-final
-
Nurse, J., Axon, L., Erola, A., Agrafiotis, I., Goldsmith, M., Creese, S.: The data that drives cyber insurance: a study into the underwriting and claims processes. In: 2020 International Conference On Cyber Situational Awareness, Data Analytics And Assessment (CyberSA). CS-2020-cyber-insurance
-
FERMA Preparing for cyber insurance, Federation of European Risk Management Associations. preparing-for-cyber-insurance-web-04-10-2018
-
ENISA Cyber Insurance: Recent Advances, Good Practices and Challenges. ENISA_Cyber-Insurance_2016-11_FINAL
-
Woods, D., Böhme, R.: How cyber insurance shapes incident response: a mixed methods study. Workshop On The Economics Of Information Security (2021) DW2021_HowInsuranceShapes_WEIS
-
Schwarcz, D., Wolff, J., Woods, D.: How privilege undermines cybersecurity. Available At SSRN 4175523. (2022) SSRN-id4175523
-
Ralph, F.: Data hacks and big fines drive cyber insurance growth. Data hacks and big fines drive cyber insurance growth
-
Research, A.: Cyber Insurance Market by Company Size (Large Companies and Small and Medium-sized Companies) and Industry Vertical (BFSI, IT and Telecom, Retail and E-commerce, Healthcare, Manufacturing, Government and Public Sector, and Others): Global Opportunity Analysis and Industry Forecast, 2019–2026. (https://www.alliedmarketresearch.com/cyber-insurance-market (2020),
-
Insurance Agents, C. & Brokers Commercial Property Casualty Market Report Q3 2021. ciab
-
Corporate, A. & Specialty Ransomware trends: Risks and Resilience. agcs-ransomware-trends-risks-and-resilience
-
NetDiligence Cyber Liability and Data Breach Insurance Claims. Cyber Liability & Data Breach Insurance Claims
-
Böhme, R., Kataria, G.: On the limits of cyber-insurance. In: International Conference On Trust, Privacy And Security In Digital Busi-ness, 15, 1-s2.0-S1877050923003290-main, document59, 872118-1239836, 24
-
Zurich & Advisen 11th Annual Information Security and Cyber Risk Management Survey. 11th annual Zurich Cyber Risk Management Survey Report
-
Baer, W., Parkinson, A.: Cyberinsurance in it security management. IEEE Secur. Priv. CIn
-
Bolot, J., Lelarge, M.: Cyber insurance as an incentivefor internet security. In: Managing information risk and the economics of security, cyber-surv
-
Hofmann, A., Ramaj, H.: Interdependent risk networks: the threat of cyber attack. Int. J. Manag. Decis. Mak. 58543_IJMDM-cyberattack-20357
-
Öğüt, H., Raghunathan, S., Menon, N.: Cyber security risk management: Public policy implications of correlated risk, imperfect ability to prove loss, and observability of self-protection. Risk Anal. Int J. 31, 497-512 (2011) Cyber_Security_Risk_Management_Public_Po
-
Haas, A., Hofmann, A.: Risiken aus Cloud-Computing-Services: Fragen des Risikomanagements und Aspekte der Versicherbarkeit. (FZID Discussion Paper, 2013) 749490268
-
Imran, M., Durad, M., Khan, F., Derhab, A.: Reducing the effects of DoS attacks in software defined networks using parallel flow installation. Human-centric Comput. Inf. Sci. 9, 1–19 (2019) s13673-019-0176-7
-
Tseng, F., Chou, L., Chao, H.: A survey of black hole attacks in wireless mobile ad hoc networks. Human-centric Comput. Inf. Sci. 1, 1–16 (2011) 2192-1962-1-4
-
Bandyopadhyay, T., Mookerjee, V., Rao, R.: Why IT managers don’t go for cyber-insurance products. Commun. ACM 52, 68–73 (2009) 231827324
-
Deloitte Cyber Insurance underwriting—Helping boards create supervisory confidence. deloitte-uk-helping-boards-create-supervisory-confidence-cyber-insurance-underwriting
-
Talesh, S., Cunningham, B.: The technologization of insurance: an empirical analysis of big data an artificial intelligence’s impact on cybersecurity and privacy. Utah L. Rev. 2021(5), 967 (2021) The Technologization of Insurance_ An Empirical Analysis of Big D
-
Academy, C.: Cyber insurance underwriting tools unlock cyber risk. https://www.cyberinsuranceacademy.com/knowledge-hub/guide/cyber-underwriting-tools-how-cyber-risks-are-evaluated/ (2021)
-
Alani, M.: Big data in cybersecurity: a survey of applications and future trends. J. Reliab. Intell. Environ. 7, 85–114 (2021) BDinCyberSec
-
Souri, A., Hosseini, R.: A state-of-the-art survey of malware detection approaches using data mining techniques. Human-centric Comput. Inf. Sci. 8, 1–22 (2018) s13673-018-0125-x
-
Subroto, A., Apriyana, A.: Cyber risk prediction through social media big data analytics and statistical machine learning. J. Big Data 6, 1–19 (2019) s40537-019-0216-1
-
Woods, D., Moore, T.: Does insurance have a future in governing cybersecurity? IEEE Secur. Priv. 18, 21–27 (2019) 2019insuranceasgoverannce