Накал страстей в киберпространстве набирает обороты — в 2014 году хакеры увели 500 млн паролей почтового сервиса Yahoo, через два года в сеть утекли уже номера социального страхования, водительских прав и кредитных карт 143 млн человек в результате взлома бюро кредитных историй Equifax. В 2017 году от вирусов WannaCry и Petya пострадали сотни тысяч компьютеров по всему миру, включая крупные промышленные и фармацевтические компании, которые оценили ущерб от атаки в рекордные $200–300 млн. Россия тоже не отстает — в июле 2018 года в сеть попали личные данные клиентов РЖД, Сбербанка и Московского транспорта.
Все это спровоцировало настоящую гонку страховщиков за новый рынок — рынок киберстрахования генерирует премии в $2,5 млрд в год, что составляет 1% от общей суммы коммерческих премий. Аналитики Morgan Stanley прогнозируют, что к 2020 году рынок будет составлять от $8 млрд до $10 млрд. В России также планируют создать масштабный рынок страхования от киберрисков. Свои продукты уже представили AIG, «АльфаСтрахование», «Ингосстрах» и Сбербанк. Последний возглавляет рабочую группу по созданию обязательного киберстрахования в стране в рамках программы «Цифровая экономика». Полис информационной безопасности может стать обязательным с 2022 года для ряда отраслей, среди которых банковская сфера, пассажирские перевозки, а также металлургия, машиностроение, судостроение и авиапром.
Но понимают ли сами страховщики до конца тот продукт, который так рьяно продают? И чем киберугрозы похожи и даже превосходят стихийные бедствия и террористические атаки?
Страхование вслепую
Киберрискам сложно дать определение, но гораздо сложнее их предсказывать. Вопросы безопасности, и кибербезопасности в частности, не те вопросы, которые компании предпочитают раскрывать. Страх репутационных издержек заставляет многие компании молчать о произошедших инцидентах, что существенно затрудняет андеррайтинг: большинство компаний держат свои системы безопасности в секрете, и порой невозможно убедиться в существовании какой-либо защиты у клиента вовсе.
Заставить компании и банки говорить о произошедших инцидентах и ущербе может только регулятор. Например, Центробанк России обязал подотчетные организации предоставлять данные об атаках на регулярной основе с 1 июля. Однако предоставляемые регулятору данные зачастую не отражают всей картины.
Еще одна причина проблем с рынком киберстрахования в том, что стремительная конкуренция за новый сегмент не дает страховщикам поддерживать премии на комфортных для себя значениях. Ситуацией уже обеспокоилось агентство Fitch: «Страховщики, которым не хватает опыта андеррайтинга, наиболее подвержены андеррайтинговым потерям, связанным с киберрисками, что влечет за собой снижение рейтингов».
Сейчас страховщикам по обе стороны океана не хватает не только опыта оценки рисков в вопросах кибербезопасности, но и самих специалистов по оценке угроз. На лондонском рынке есть едва ли дюжина подобных специалистов, заявляет глава компании по подбору специалистов для страхования Flint Hyde Гаррет Игл.
Не хватает и данных для правильной оценки рисков. Когда страховщики оценивают потенциальный ущерб, скажем, от надвигающегося на Флориду урагана, они могут полагаться на большой массив данных и хорошо проработанные модели, которые были отточены на протяжении многих лет.
Но в сфере кибербезопасности таких данных просто нет. Выборка слишком мала, чтобы полагаться на достоверный результат используемых моделей, согласно объяснениям главы отдела инноваций Lloyd’s Тревора Мейнарда. При этом потенциальный ущерб может быть сопоставим с вышеупомянутым стихийным бедствием — по оценке Lloyd’s, кибератака может стоить $120 млрд — сравнимо с потерями от урагана «Катрин».
Эффект домино
Одним из сценариев разрушительного эффекта кибератаки может быть взлом провайдера облачных сервисов, при котором пострадавшими будут как его клиенты, так и сам сервис. Компании столкнутся с множеством издержек после кибератак, начиная от ремонта системы, компенсации клиентов, судебных издержек и расходов на рекламу в связи с потерей доходов и репутационным ущербом. Совокупный объем претензий может составить от $15 млрд до $121 млрд, даже больше, чем от урагана «Сэнди» в 2012 году.
Такой ущерб может быть сопоставим с природной катастрофой не только финансово. Серьезное влияние может быть оказано на бизнес и экономику, что вызовет многочисленные претензии и резко увеличит расходы страховых компаний, предостерегает исполнительный директор Lloyd’s Инга Бил.
Вероятная атака на операционные системы, которые используются огромным количеством устройств на предприятиях по всему миру, может привести к потерям до $28,7 млрд. Хотя общая сумма скромнее, однако большая часть таких убытков не застрахована или не подпадает под страховые случаи.
Еще одна опасность — не все страховщики учитывают риск одновременного наступления страховых случаев у большого числа клиентов. В Guidewire Cyence предупреждают, что компании обычно забывают про вполне возможные сценарии с глобальными атаками и наступление киберапокалипсиса. В результате под ударом оказывается уже страховая компания, которой не хватит средств для покрытия убытков.
Наравне с терроризмом
Страховой брокер Willis Towers Watson отмечает, что в результате кибератаки возможны скрытые киберриски. Если при кибератаке вышло из строя оборудование, то клиент может инициировать оплату по статье «материальный ущерб» (если она предусмотрена в договоре). Конечно, можно судиться, но обычно такие дела решаются в пользу застрахованных.
Регуляторы уже обеспокоились этим вопросом — в прошлом году Управление по вопросам пруденциального регулирования Великобритании попросило страховщиков сократить непреднамеренное покрытие скрытых киберрисков и внести ясность, покрывается ли ущерб от атак через интернет в рамках обычных имущественных полисов. Помимо этого, британский регулятор рекомендовал регулярно проводить стресс-тестирование, чтобы выявить возможные последствия одновременного наступления большого количество страховых случаев.
По мнению некоторых экспертов отрасли, правительствам всего мира необходимо обеспечить поддержку киберинцидентов, как это уже делается для террористических атак. На данный момент правительства не склонны брать на себя риски от нарушения информационной безопасности, но некоторые шаги в этом направлении все же можно уже наблюдать: в Великобритании поддерживаемый правительством пул страховщиков от террористических атак добавит издержки от кибертерроризма к своему покрытию.
Тонкая грань
Все это заставляет страховые компании пытаться найти баланс между созданием продукта, который найдет спрос у клиентов, и минимизацией собственных рисков, которые трудно прогнозировать. При этом страховщики предпринимают шаги, чтобы защитить себя от претензий: накладывают строгие ограничения на максимальный размер выплат и старательно обходят те виды ущерба, где оценка особенно затруднена, например, репутационный вред.
В результате покупатели киберстраховок должны понимать, что подобные полисы никак не решают вопросов безопасности, как самих компаний — держателей полисов, так и их клиентов. Инвестицию в подобную страховку нельзя расценивать как альтернативу вложениям в надежную защиту баз данных и другой инфраструктуры. Как говорит бывший директор Центра правительственной связи Великобритании (аналог «Спецсвязи» в России) Роберт Ханниган, ныне консультирующий страховую компанию Hisox по вопросам киберрисков: «Есть люди, которые понимают риски, а есть те, кто этого не делает. Рано или поздно последние попадутся на этом».