XXI век – это век расцвета цифровых технологий, для которого свойственна автоматизация почти всех услуг, продуктов или же создание этих услуг в цифровом мире с нуля. Сегодня почти все окружающие нас новые вещи обладают встроенными компьютеризованными функциями и выходом в Интернет. В современных условиях роль организации страховой защиты от киберугроз возрастает. В эпоху расцвета цифровых технологий необходимо создать все условия для развития страховой практики в этой сфере.
Любое предприятие заинтересовано в своей кибербезопасности. Во– первых, организация страховой защиты от киберрисков снизит риск возможного физического ущерба оборудованию, продукции или ущерба от прекращения производства вследствие сбоя. Во–вторых, предотвратит всевозможную потерю информации и, следовательно, репетиционный и финансовый ущерб компании.
Виды киберрисков
К киберрискам относятся риски, которые стали результатом осуществления сознательных преступных деяний, с помощью использования IT– технологий, и которые ориентированы на неавторизованное раскрытие, изменение или разрушение цифровых активов. К основным видам киберрисков относят:
- нецелевые атаки (фишинг, кардинг, смишинг);
- целевые атаки (финансовое мошенничество, хищение баз данных, промышленный шпионаж, DDOS атаки, вымогательство);
- атаки изнутри (хищение, уничтожение информации, содействие целевой атаке).
С каждым годом, разнообразие видов киберрисков растет, появляются новые вирусы. Например, с еще большей автоматизацией процессов, появилась кибератака, которая называется «привод», это своего рода управление физическими компонентами. Приводы открывают и закрывают клапаны, способны блокировать и разблокировать двери, управляют руками робота, приводят ускорители автомобилей, применяют тормоза и управляют многими другими процессами. Такое злонамеренное дистанционное управление различными механизмами приводит к огромным убыткам либо из–за прекращения работы этих процессов, либо ввиду перевода их работы в небезопасный режим.
Самым важным способом управления киберрисками по всему миру остается страхование. Страхование киберрисков возникло как ответ на растущее число утечек данных во всем мире, которые привели к высокому уровню потерь, которые в свою очередь наносят вред бизнесу. Основоположником и лидером страхования киберрисков считаются США. Киберстрахование развивается с 1990–х годов в связи с ростом электронных сайтов. Первые полисы киберстрахования начали появляться в конце 1990–х годов и покрывали расходы компаний от кибератак на онлайн–сайты и программное обеспечение.
В 2003 году вступил в силу Калифорнийский закон о нарушении безопасности и информации. Это повлияло на киберриски и киберстрахование в целом, поскольку от любых компаний, которые вели бизнес в штате, требовалось уведомлять жителей о любом нарушении любой конфиденциальной персональной информации мошенниками. Следуя примеру Калифорнии, многие другие штаты начали принимать аналогичные законы. Количество компаний в области киберстрахования начало расти. К 2010 году их число доходило до 60.
Большим толчком к развитию рынка киберстрахования являются огромные потери от кибератак. Одни из самых крупных киберинцидентов, которые напрямую повлияли на затраты компаний, считаются атаки вирусов – шифровальщиков WannaCry и NotPetya.
Вирус WannaCry атаковал около 200 тысяч компьютеров в 150 странах. Данный вирус–вымогатель блокировал устройства, шифровал данные и требовал выкуп за возвращение доступа. Позже похожий вирус NotPetya атаковал сети нефтяных, телекоммуникационных и финансовых компаний. Как видно, в зоне наибольшего риска находятся банки, электронные платежные системы, и различные финансовые компании.
В настоящее время киберриски рассматриваются как одни из самых важных рисков для бизнеса, так как они могут оказать огромное внимание на прибыль компаний. При реализации киберриска возникают следующие возможные последствия для компании:
- финансовый ущерб;
- обязательства после нарушения договоров страхования ответственности (вследствие утечки информации из баз данных);
- потеря клиентов, доли рынка;
- ущерб репутации (в результате появления недоверия к компании);
- благоприятный фон для развития конкурентов;
- затраты на ликвидацию последствий, в том числе восстановление данных, расследования, аудит безопасности и юридическая защита;
- вынужденный перерыв в бизнесе и, как следствие, потеря прибыли;
- убытки от виртуального вымогательства и т.д.
Согласно аналитикам «Juniper Research», убытки от киберпреступлений по итогам 2018 года составили 48 млрд. долл. Прогнозируется, что к 2023 году данные потери удвоятся. Большая часть мошеннических действий была осуществлена при совершении платежей через Интернет, в том числе при продаже и покупке авиабилетов, различных денежных переводов.
Финансовый ущерб в результате почти половины всех киберпреступлений составил свыше 500 млн. долл., включая, в том числе потерю доходов, отток клиентов, упущенную выгоду и прямые издержки. В феврале 2018 года аналитики антивирусной компании «McAfee» подсчитали, что в 2017 году мировой ущерб от кибератак составил около 600 млрд. долл. или 0,8% от мирового ВВП, увеличившись примерно на 35% по сравнению с оценкой за 2014 год на 445 млрд. долл.. На данный рост повлиял ряд фактов: появление новых хакерских схем, расширение рынка киберпреступлений, распространение криптовалют. Мошеннические схемы так быстро развиваются, что в ближайшем будущем появится полноценный рынок мошеннических услуг.
Согласно отчету «2017 Norton Cyber Security Insights Report», который был подготовлен компанией «Symantec» в январе 2018 года, в 2017 году хакеры украли 172 млрд. долл. у 978 млн. потребителей в 20 странах мира. Это показывает, что большинство онлайн–пользователей практически не разбирается в вопросах кибербезопасности или же они не осознают какой высокий риск стать жертвой хакеров, существует.
Рынок страхования киберрисков демонстрирует огромный потенциал развития в опережающем темпе. Долгосрочная устойчивость рынка в значительной степени зависит от тактики и стратегий, которые используют участники рынка. Известными конкурентами на мировом рынке киберстрахования являются
- «Symantec Corporation» (США),
- «EMC RSA» (США),
- «Intel Security» (США),
- «Hewlett Packard Enterprise» (США),
- «Trend Micro, Inc.» (Япония),
- «Cisco Systems, Inc.» (США),
- «Rapid7, Inc.» (США),
- «IBM Corporation» (США),
- «FireEye, Inc.» (США) и
- «Sophos Ltd.» (Великобритания) и другие.
В мае 2018 года в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Ожидается, что он станет катализатором ускоренного роста киберстрахования. Все компании, которые ведут бизнес с клиентами и потенциальными клиентами в Евросоюзе, должны будут соблюдать новое законодательство. Это потребует от компаний уведомлять регулирующий орган и частных лиц в случае нарушения персональных данных. Если компании не соблюдают новый регламент, они могут быть оштрафованы на сумму до 2% или 4% от их общего дохода в зависимости от вида деятельности. У компаний будет ограниченное количество времени, чтобы адаптироваться к новым изменениям.
Опорой для формирования культуры информационной безопасности в развитых странах стали рекомендации Организации экономического сотрудничества и развития «Guide lines for the Security of Information Systems and Networks: Towards a Culture of Security», которые были положены в основу Резолюции Генеральной Ассамблеи ООН «Создание глобальной культуры кибербезопасности». На данный момент наиболее крупномасштабный проект разработан и реализован в США – Национальная система кибероповещения (National Cyber Awareness System), которая распространяет информацию в целях поддержки безопасности компьютерных систем пользователей разного уровня компьютерной подготовки.
Мир продолжает свое цифровое преобразование без признаков замедления. Количество данных, потребляемых предприятиями, увеличивается с каждым днем. Компании все больше зависят от взаимодействия систем и технологий. В то же время, хакеры стали более изощренными в использовании сетей и программного обеспечения для достижения своих целей, и число зарегистрированных кибератак продолжает расти. К тому же, постоянно развивающаяся технологическая среда не позволяет компаниям идти в ногу с развитием способов кибербезопасности. В этом контексте страховая отрасль будет играть важную роль, помогая компаниям справляться с потенциальной угрозой кибератак.
