Как вымогательские атаки влияют на рынок страховых услуг
По мере возрастания числа киберинцидентов, особенно связанных с вымогательством и шантажом, на повестку дня все более настойчиво выходит вопрос, как и что покрывать страховым полисом, пишет Меган Гейтс в журнале Security Magazine.
Да и сами страховщики от разрушительных атак не гарантированы. В качестве примера автор ссылается на страховую холдинговую компанию CAN Financial Group, одну из крупнейших в США, которую хакеры вынудили заплатить 40 миллионов долларов выкупа за восстановление взломанной и парализованной сетевой инфраструктуры.
Страховка от кибератак обычно покрывает затраты на расследование взломов, на ответные защитные действия, на выплаты компенсаций и штрафов в связи с утечками персональной информации. В последние годы к этому добавилось страхование непредвиденных сбоев в компьютерах, замены последних, вынужденного отключения всей компьютерной сети под угрозой взлома.
Вместе с тем, отмечают эксперты, компании неохотно идут на страхование киберрисков, особенно в отраслях высокого риска, таких как финансы и здравоохранение. Часто страхуется отдельно система защиты информации, без включения в общую для предприятия страховку. Такой подход отчасти объясняется стремлением организации если не избежать, то снизить риски судебного преследования за утечки информации.
Страховые фирмы со своей стороны склонны к специализации в данной сфере рисков. Они проявляют больше внимания, анализа, разборчивости, скрупулезности в оценке киберрисков. И, естественно, повышают цены за эти конкретные услуги. Осторожность в подходе к страхованию киберрисков объясняется увеличением числа и изощренности кибератак, ростом наносимого ими вреда, а также неопределенностью относительно типа, диапазона, конкретного объекта предполагаемых атак.
В 2020-2021 годах возросло число организаций, которые неоднократно подвергались атакам вымогателей. При этом все чаще преступники угрожают обнародованием захваченной конфиденциальной информации, что чревато для компаний огромным уроном, как финансовым, так и репутационным. Последнего бизнес больше всего боится. Поэтому не случайно средняя сумма выплат шантажистам за последние два года увеличилась вдвое.
Стоимость непосредственного ущерба от замедления или прекращения деятельности компании, равно как и восстановительных работ, выросла в 2021 году втрое.
Опросы американских компаний показали, что число организаций, согласившихся на выкуп, увеличилось с 26% в 2020 году до 32% в 2021 году.
Возросшие издержки включают и подскочившие в цене услуги по страхованию киберрисков. Компании скрывают точные цифры. Консалтинговая организация Deloitte провела неформальное расследование и выяснила, что двойной рост выплачиваемых страховых премий далеко не редкость. Равно как не редкость отказы страховщика в компенсации убытка по причине недостаточно ответственного подхода держателя полиса к защите информации.
Майк Карбасси, главный аналитик фирмы Corvus Insurance, говорит о серьезных финансовых потерях страховой индустрии, что вынуждает страховщиков вносить в проекты контрактов дополнительные требования для клиентов. Так, они настаивают на «co-insurance» (разделении киберриска между страховщиком и страхователем), на осуществлении страхователем конкретных мер по усилению кибербезопасности как обязательном условии для подписания контракта (к ним относятся, в частности, мультифакторная идентификация, программа-фильтр для электронной почты, наличие всеобъемлющей стратегии кибербезопасности).
Эти новые требования к страхователям мотивированы стремлением страхового бизнеса минимизировать непредсказуемые киберриски. Непредсказуемые из-за отсутствия точных данных, на основании которых такие риски можно моделировать и прогнозировать.
Сфера страхования кибербезопасности чрезвычайно молода. Практически отсутствует в свободном доступе сводная база данных о киберинцидентах, анализ которых позволял бы страховщикам четко предписывать своим клиентам требования к кибербезопасности. Отсюда неопределенность относительно потенциальных потерь, покрываемых страховкой. Отсюда неуверенность, что предъявляемые страховщиками суммы контрактов адекватно и точно отражают киберриски.
|
вернуться назад
