Read in English
Оценить статью
(Голосов: 2, Рейтинг: 5)
 (2 голоса)
Поделиться статьей
Андреас Куэн

Старший программный партнер EastWest Institute

В ходе своей деловой поездки в Россию старший программный партнер EastWest Institute Андреас Куэн побеседовал с редактором сайта РСМД Анастасией Толстухиной на тему недавно опубликованного доклада EastWest Institute «Киберстрахование и системные рыночные риски». Документ, подготовленный совместно с такими гигантами отрасли, как Microsoft, Marsh & McLennan и areco.ai, позволяет лучше понять системную природу киберрисков и те вызовы, которые они заключают в себе для зарождающейся индустрии киберстрахования. С докладом на английском языке можно ознакомиться здесь.

В ходе своей деловой поездки в Россию старший программный партнер EastWest Institute Андреас Куэн побеседовал с редактором сайта РСМД Анастасией Толстухиной на тему недавно опубликованного доклада EastWest Institute «Киберстрахование и системные рыночные риски». Документ, подготовленный совместно с такими гигантами отрасли, как Microsoft, Marsh & McLennan и areco.ai, позволяет лучше понять системную природу киберрисков и те вызовы, которые они заключают в себе для зарождающейся индустрии киберстрахования. С докладом на английском языке можно ознакомиться здесь.

Давайте начнем с азов: что такое киберстрахование, и почему оно важно?

По сути своей киберстрахование — это очень простая концепция, и причины обращения к этой услуге ничем не отличаются от причин застраховать автомобиль или дом. Автомобильная страховка защищает от материального ущерба, возникающего вследствие ДТП или угона машины. Она покрывает ремонт автомобиля, медицинские расходы или защищает клиента от судебных исков в связи с нанесением ущерба третьим лицам. Если у вас есть дом, вы страхуете его, чтобы защитить себя от гигантских финансовых потерь в случае пожара, наводнения и прочих катаклизмов.

Анастасия Толстухина:
Бизнесу тоже нужен киберкодекс

Аналогичный принцип действует и в цифровом мире. Если у вас есть бизнес и вы сильно зависите от Интернета для осуществления текущих операций, продажи товаров, общения с поставщиками или обработки больших массивов личных данных или иной чувствительной информации, киберстрахование используется для защиты от определенных информационных рисков. В случае киберинцидентов, будь то отключение критических для предприятия сервисов, похищение чувствительной деловой информации, атака вируса-вымогателя или утечка защищенных личных данных, киберстраховка может покрыть финансовый ущерб и юридические расходы, а также защитить вас от исков в связи с ущербом, нанесенным третьим лицам.

В условиях все усиливающегося тренда на цифровизацию (например, реализация российской программы развития цифровой экономики) и распространения киберугроз весьма вероятен рост числа масштабных и разрушительных по своим материальным последствиям киберинцидентов. В нашем докладе произведен подсчет количества недавних крупных инцидентов. Одно лишь массовое заражение вирусом NotPetya в 2017 году нанесло ущерб на сумму около 10 млрд долларов США. Даже для крупной международной компании с солидной ресурсной базой подобный киберинцидент может оказаться катастрофическим как с финансовой, так и с функциональной точки зрения. Кроме того, из-за взаимосвязанности компьютерных систем и мировой экономики последствия крупной кибератаки могут ударить не только по ее изначальной цели, но и дестабилизировать глобальные рынки и негативно сказаться на мировой экономике в целом.

В то же время история с NotPetya дала понять, что быстро растущая отрасль киберстрахования должна разбираться с нерешенными вопросами, так как в киберинциденты все чаще оказываются вовлечены сложные государственные акторы. Так, одна компания отказала клиенту в выплате страхового возмещения, приравняв данный киберинцидент к военным действиям. В итоге эта компания получила судебный иск. За ходом разбирательства внимательно следят, поскольку его итоги могут иметь важные последствия для страхового рынка.

Страховые решения предлагают важный (но не единственный) подход по минимизации ущерба и хеджированию финансовых рисков в случае разрушительного киберинцидента. Хотя страховка и несколько «смягчает удар», важно подчеркнуть, что она — лишь дополнение, а не полноценная замена эффективных мер кибербезопасности.

Что подтолкнуло Вас к подготовке этого доклада? Почему именно сейчас?

Киберстрахование — услуга прозрачная и логичная, но нужно сделать одну важную оговорку. Оценка информационных рисков и адекватное ценообразование являются здесь достаточно сложной задачей, в отличие от страхования автомобиля или недвижимости. Страховые компании располагают ограниченным объемом актуальной информации о киберинцидентах, а постоянные новшества в мире информационно-коммуникационных технологий (ИКТ) и многовекторные кибератаки также не упрощают работу страховщиков. Эта неопределенность затрудняет развитие здорового рынка киберстрахования. Теоретически если та или иная компания запросит чрезмерно высокую страховую премию, она будет неконкурентоспособна на этом рынке. А если она оценит риски слишком низко, со временем накопленный эффект от ее потерь может поставить под угрозу само ее существование.

Толчком к встречам с отраслевыми экспертами, представителями правительства и академических кругов, которые в итоге вылились в наш доклад, стало понимание того, что киберсфера становится все более уязвимой для системных рисков. По большому счету, решением этой проблемы должным образом не занимаются до сих пор. Системная киберугроза способна нанести болезненный удар по самым разным отраслям экономики и в итоге привести к разрушительным последствиям в реальном мире.

Акцент в докладе сделан на двух основных механизмах — общей уязвимости и усиливающейся зависимости — из-за которых усиливается пагубное воздействие «срабатывания» угрозы. Речь идет о масштабных киберинцидентах, вызванных либо общей неисправностью программного обеспечения, установленного на устройствах сотен миллионов пользователей (например, распространенная мобильная операционная система), либо о зависимости сотен тысяч предприятий от центральных Интернет-провайдеров (например, крупный «облачный» сервис). Страховой отрасли и правительствам важно понимать опасность системных рисков. В докладе приводится ряд примеров и предлагаются аналитические (но при этом применимые на практике) инструменты для оценки системных рисков с использованием собственно системных критериев и факторов, связанных с инцидентами.

В основе задачи EastWest Institute по предотвращению конфликтов в киберпространстве и вне его лежит укрепление информационной стабильности. Киберстрахование делает глобальное информационное пространство более устойчивым и безопасным, защищая клиентов от финансовых потерь вследствие крупных инцидентов и повышая общий уровень кибербезопасности. Таким образом, доклад о киберстраховании и системных рисках является стратегическим документом, дополняющим наши усилия по разработке норм поведения государств — посредством Глобальной комиссии по киберстабильности или работы в области безопасности глобальной цепочки поставок, а также в рамках наших международных передовых групп.

Как развивается российский рынок киберстрахования? Какую позицию он занимает в мире?

В Европе и США в последние десятилетия сформировался здоровый рынок, предлагающий широкий спектр стандартных и специфических страховых программ на случай киберинцидентов. По прогнозам экспертов, к следующему году объем этого рынка вырастет до 7,5 млрд долларов. Упомянутые страховые программы покрывают связанный с кибератаками ущерб: прямые финансовые потери, ущерб вследствие утечки данных, перерыва в деловых операциях, а также в связи с исками третьих лиц. Примерно одна треть американских компаний имеет полноценную киберстраховку. Общее число страховых исков выросло на 39% с прошлого года и составило 12,5 млн.

Доклад о киберстраховании и системных рисках является стратегическим документом, дополняющим наши усилия по разработке норм поведения государств.

В России на сегодняшний день наблюдается более низкий спрос на киберстрахование, однако в 2017 году перед Сбербанком была поставлена задача по разработке программ киберстрахования и его дочернее предприятие «Страховой брокер Сбербанка» объявило о начале продаж корпоративного пакета страхования от киберугроз. Российский рынок киберстрахования пока находится в зачаточном состоянии. Несколько лет назад такие страховые программы были примерно лишь у 20 российских компаний, и все они были предоставлены иностранными страховщиками. Однако ввиду объявления правительством страны курса на развитие цифровой экономики весьма вероятно, что ситуация изменится.

Кому следует приобретать киберстраховку? Нужна такая защита каждой компании?

Это зависит от бизнес-модели и степенью уязвимости компании перед лицом киберугроз. Перед принятием решения о приобретении киберстраховки следует провести тщательную оценку информационных угроз компании и потенциальных финансовых потерь.

Проще говоря, чем крупнее предприятие и чем больше его деятельность зависит от ИКТ, тем сильнее возрастает необходимость в хеджировании киберрисков и проведении соответствующих испытаний. Страхование — всего лишь один из множества инструментов по защите от прямых потерь и от исков третьих лиц по ущербу, возникшему вследствие киберинцидента.

Выбор программы киберстрахования зависит от ряда факторов. Объем выплат может варьироваться от сотен тысяч до сотен миллионов долларов, а размер страховой премии зависит от сферы деятельности компании, различных исключений и ограничений, а также прочих факторов рисков.

Есть ли в докладе фрагменты, применимые к российскому рынку киберстрахования?

В документе приводится перечень рекомендаций по противодействию системным рискам — они основаны на повсеместно применимых принципах. Участникам зарождающегося рынка следует принять их к сведению. Одно из общих положений — необходимо укреплять потенциал для киберстрахования, чтобы закрыть вышеупомянутую брешь в оценке рисков. Этого можно достичь посредством последовательного применения общепризнанной базы киберугроз, охватывающей всю отрасль, а также обмена данными о киберинцидентах и ущербе от них. Сегодня рынок испытывает нехватку стандартов и общего языка в страховых пакетах. Повышение транспарентности и приведение терминологии к единообразному виду может помочь потребителям киберстраховки лучше понять, что именно включено в их пакеты.

Еще одна, как представляется, ключевая рекомендация из доклада —программа государственного «заслона» в области системных рисков. Это крайняя мера, призванная защитить клиентов от потерь, превышающих нынешние возможности рынка. Такой «заслон» мог бы поглотить катастрофический финансовый ущерб от масштабных киберинцидентов и способствовать развитию здорового рынка киберстрахования, что положительно скажется на обществе, все более зависимом от надежного и безопасного информационного пространства.

Оценить статью
(Голосов: 2, Рейтинг: 5)
 (2 голоса)
Поделиться статьей
Бизнесу
Исследователям
Учащимся