Альфапедия

Киберстрахование

редактировать

Киберстрахование - это специализированный продукт страхование, предназначенный для защиты предприятий и частных лиц, предоставляющих услуги для таких предприятий - от основанных на Интернете рисков и в более общем плане от рисков, связанных с инфраструктурой информационных технологий, конфиденциальностью информации, ответственностью за управление информацией и связанной с этим деятельностью. Риски такого характера обычно исключаются из традиционных коммерческих полисов общей ответственности или, по крайней мере, конкретно не определяются в традиционных страховых продуктах. Покрытие, предоставляемое полисами киберстрахования, может включать страхование первой стороны от потерь, таких как уничтожение данных, вымогательство, кража, взлом и атаки типа «отказ в обслуживании» ; страхование ответственности, возмещающее компаниям убытки, причиненные другим лицам, например, из-за ошибок и упущений, неспособности защитить данные или клеветы; и другие преимущества, включая регулярный аудит безопасности, связи с общественностью после инцидента и расходы на расследование, а также денежные средства на вознаграждение за преступления.

Содержание
  • 1 Преимущества
  • 2 Недостатки
  • 3 История
  • 4 Типы
  • 5 Текущая потребность
  • 6 Существующие проблемы
    • 6.1 Положения об исключении войны
  • 7 Текущая работа
  • 8 Доступность
  • 9 Источники
Преимущества

Поскольку рынок киберстрахования во многих странах относительно невелик по сравнению с другими страховыми продуктами, его общее влияние на возникающие киберугрозы трудно оценить количественно. Поскольку влияние киберугроз на людей и бизнес также относительно велико по сравнению со степенью защиты, обеспечиваемой страховыми продуктами, страховые компании продолжают развивать свои услуги.

По мере того как страховщики выплачивают кибер-убытки, а также по мере развития и изменения киберугроз, страховые продукты все чаще покупаются вместе с существующими услугами ИТ-безопасности. Действительно, критерии андеррайтинга для страховщиков, предлагающих продукты киберстрахования, также находятся на ранней стадии разработки, и андеррайтеры активно сотрудничают с компаниями в области ИТ-безопасности для разработки своих продуктов.

Киберстрахование не только напрямую повышает безопасность, но и приносит огромную пользу в случае крупномасштабного нарушения безопасности. Страхование обеспечивает плавный механизм финансирования для восстановления после крупных убытков, помогая предприятиям вернуться к нормальной жизни и сокращая потребность в государственной помощи.

Наконец, страхование позволяет справедливо распределять риски кибербезопасности, со стоимостью страховых взносов соразмерно размеру ожидаемого убытка от таких рисков. Это позволяет избежать потенциально опасных концентраций риска, а также предотвратить безбилетную езду.

Недостатки

Информационные технологии являются неотъемлемой частью практически всех современных предприятий, потребность в отдельном продукте существует только из-за преднамеренного анализа, который исключил воровство и ущерб, связанный с современными технологиями, из существующие продуктовые линейки.

Брюс Шнайер предположил, что существующие страховые практики имеют тенденцию следовать модели «наводнения или пожара», однако кибер-события, похоже, не моделируются ни одним из этих типов событий, это привело к ситуации, когда Объем киберстрахования дополнительно ограничен, чтобы снизить риск для андеррайтеров. К этому добавляется нехватка данных о фактическом ущербе, коррелированном с типом события, отсутствие стандартов, связанных с классификацией событий, и отсутствие доказательств, связанных с эффективностью «передовой практики отрасли».

Страхование полагается на достоверные актуарные данные на практически статическом фоне риска. Учитывая, что их в настоящее время нет, маловероятно, что покупатели этих продуктов достигнут желаемых результатов. Такой взгляд на рынок отражается в текущем состоянии рынка, где стандартные исключения приводят к ситуации, когда «страховщик может утверждать, что они применимы практически к любой утечке данных».

История

Ранние работы в 1990-е годы были сосредоточены на общих достоинствах киберстрахования или протоколах, заимствованных из цифровых денег, чтобы обеспечить перераспределение рисков в распределенных системах. В конце 1990-х, когда бизнес-перспектива информационной безопасности стала более заметной, было сформулировано видение киберстрахования как инструмента управления рисками. Несмотря на то, что его корни в 1980-х годах выглядели многообещающими из-за таких событий, как 2000 год и атаки 11 сентября, рынок киберстрахования не смог процветать и оставался в нише для необычных требования. Покрытие жестко ограничено, а среди клиентов - малые и средние предприятия, нуждающиеся в страховании для участия в тендерах, или общественные банки, которые слишком малы, чтобы хеджировать риски своих банковских операций в Интернете..

Если не первая, то по крайней мере одна из первых политик кибер-ответственности, как мы их сейчас называем, была разработана для лондонского рынка Ллойда в 2000 году. Эту политику возглавили Кейт Дэниэлс и Роб Хамесфар, затем поверенные юридическая фирма Blatt, Hammesfahr Eaton в Чикаго, штат Иллинойс. В тесном сотрудничестве с Яном Хакером, затем страховщиком Ллойда, и Тедом Дулиттлом и Кинси Карпентер, затем брокерами с Кинси Карпентер, страховым брокером из Сан-Франциско, Калифорния, полис обеспечивал стороннее покрытие наряду с покрытием прерывания бизнеса. В те первые дни считалось, что для компании будет большой риск небрежная передача вируса, который может заразить системы других компаний, которые затем возбудят иск против исходной компании, а также прервут бизнес. Политика также была одной из первых, в которой в одинаковой форме были включены собственные и сторонние покрытия. Хотя такие ошибки и упущения, вероятно, имели место, иски против организаций на этом основании оказались редкими. Основное внимание в формах, разработанных с 2000 года, уделялось прерыванию бизнеса, уплате штрафов и пени, расходам на кредитный мониторинг, затратам на связи с общественностью и затратам на восстановление или восстановление частных данных, и сегодня они продолжают расширяться и развиваться. Кроме того, политики в отношении технологических ошибок и пропусков теперь продаются с покрытием сторонними организациями, например, программистам и установщикам технологий, на которых могут быть возбуждены судебные дела, если их советы или продукты не удовлетворят их клиентов. Среди других первых участников киберрынка - American International Group (AIG) и Chubb. Сегодня более 80 компаний конкурируют на киберрынке.

Даже консервативный прогноз на 2002 год, согласно которому в 2005 году мировой рынок киберстрахования оценивался в 2,5 миллиарда долларов, оказался в пять раз выше, чем размер рынка в 2008 году. В целом, в относительном выражении рынок киберстрахования сократился по мере роста Интернет-экономики.

На практике несколько препятствий помешали рынку киберстрахования достичь зрелости; Отсутствие надежных актуарных данных для расчета страховых премий, недостаточная осведомленность лиц, принимающих решения, способствовавшие слишком низкому спросу, а также юридические и процедурные препятствия были выявлены в «первом поколении» литературы по киберстрахованию примерно до 2005 года. Последний аспект могут вызвать разочарование при требовании компенсации за ущерб. Кроме того, организации, рассматривающие киберстрахование, должны пройти ряд часто инвазивных процедур оценки безопасности, раскрывая свои ИТ-инфраструктуры и политики. Между тем, наблюдая тысячи уязвимостей, миллионы атак и существенное улучшение в определении стандарты безопасности и компьютерная криминалистика ставят под сомнение обоснованность этих факторов, чтобы причинно объяснить отсутствие рынка страхования.

Типы
  • Сетевая безопасность - Страхование от кибератак и хакерские атаки.
  • Кража и мошенничество . Охватывает уничтожение или потерю данных страхователя в результате преступных действий или мошенничества. кибер-событие, включая кражу и перевод денежных средств.
  • Криминалистическое расследование . Включает юридические, технические или криминалистические услуги, необходимые для оценки того, произошла ли кибератака, для оценки воздействия атаки и остановки атаки.
  • Прерывание деятельности . Покрывает потерянный доход и связанные с этим расходы, когда страхователь не может вести дела из-за кибер-события или потери данных.
  • Вымогательство . Обеспечивает покрытие расходов, связанных с расследованием угроз совершения кибератак на системы страхователя и выплат вымогателям, которые угрожают получить и раскрыть конфиденциальную информацию.
  • Страхование репутации : Страхование от репутационных атак и кибер-клеветы.
  • Потеря и восстановление компьютерных данных . Покрывает физический ущерб или невозможность использования компьютерных активов, включая расходы на извлечение и восстановление данных, оборудования, программного обеспечения или другой информации, уничтоженной или поврежденной в результате кибератаки.
  • Конфиденциальность информации . Охватывает организационную ответственность (и), возникающую в результате фактического или предполагаемого несоблюдения каких-либо международных правил, нормативных актов или законов, касающихся кибербезопасности, конфиденциальности информации или личных данных. Например, эта часть покрытия будет охватывать юридическую защиту организации и окончательный денежный расчет в результате претензии регулирующих органов, утверждающей, что такая организация не соблюдала какие-либо покрываемые правила конфиденциальности, такие как «право на удаление (личной информации)», регулируемое в рамках Общий регламент ЕС по защите данных.
Текущая потребность

Инфраструктура, пользователи и услуги, предлагаемые в компьютерных сетях сегодня, подвержены широкому спектру рисков, связанных с угрозами, включающие распределенные атаки типа «отказ в обслуживании», вторжения различного типа, подслушивание, взлом, фишинг, черви, вирусы, спам и т. Д. Чтобы противостоять риску, создаваемому этими угрозами, пользователи сети традиционно прибегали к антивирусам и программное обеспечение для защиты от спама, межсетевые экраны, системы обнаружения вторжений (IDS) и другие надстройки для снижения вероятности воздействия угроз. На практике большая отрасль (такие компании, как Symantec, McAfee и т. Д.), А также значительные исследовательские усилия в настоящее время сосредоточены на разработке и развертывании инструментов и методов для обнаружения угроз и аномалий с целью защиты кибер-инфраструктуры и ее пользователей от возникающих в результате негативное влияние аномалий.

Несмотря на улучшения в методах защиты от рисков за последнее десятилетие благодаря аппаратным, программным и криптографическим методологиям, невозможно достичь идеальной или почти идеальной защиты кибербезопасности. Невозможность возникает по ряду причин:

  • Отсутствие надежных технических решений.
  • Трудность в разработке решений, учитывающих различные намерения сетевых атак.
  • Несогласованные стимулы между пользователями сети, поставщики продуктов безопасности и регулирующие органы в отношении защиты сети.
  • Пользователи сети, пользующиеся преимуществами положительного эффекта безопасности, вызванного инвестициями других пользователей в безопасность, в свою очередь, сами не вкладывают средства в безопасность и в результате получают бесплатные
  • Привязка к потребителю и первопроходцы уязвимых продуктов безопасности.
  • Сложность измерения рисков, приводящая к проблемам при разработке соответствующих решений по устранению рисков.
  • проблема лимонного рынка, когда у поставщиков средств безопасности нет стимула выпускать на рынок надежные продукты.
  • Ответственные игры, в которые играют поставщики продуктов.
  • Наивность пользователей в оптимальном использовании преимуществ технических решений.

Учитывая вышеупомянутые неизбежные препятствия на пути к почти 100% снижению рисков, возникает необходимость в альтернативных методах управления рисками в киберпространстве. Чтобы подчеркнуть важность улучшения текущего состояния кибербезопасности, президент США Барак Обама в феврале 2013 года издал указ о кибербезопасности, в котором подчеркивается необходимость снижения киберугроз и обеспечения устойчивости к ним. В связи с этим в недавнем прошлом некоторые исследователи безопасности определили киберстрахование как потенциальный инструмент для эффективного управления рисками.

Киберстрахование - это метод управления рисками, с помощью которого риски пользователей сети передаются страховой компании за плату, то есть страховую премию. Примеры потенциальных киберстраховщиков могут включать интернет-провайдера, поставщика облачных услуг, традиционные страховые организации. Сторонники киберстрахования считают, что киберстрахование приведет к разработке договоров страхования, которые перекладывают соответствующие суммы ответственности за самооборону на клиентов, тем самым делая киберпространство более устойчивым. Здесь термин «самозащита» подразумевает усилия пользователя сети по защите своей системы с помощью технических решений, таких как антивирусное и антиспамовое программное обеспечение, брандмауэры, использование защищенных операционных систем и т. Д. Киберстрахование также может быть рыночным решением, которое может соответствовать экономическим стимулам киберстраховщиков, пользователей (частных лиц / организаций), политиков и поставщиков программного обеспечения для обеспечения безопасности. т. е. киберстраховщики будут получать прибыль за счет соответствующих ценовых надбавок, пользователи сети будут стремиться хеджировать потенциальные убытки путем совместной покупки страховки и инвестирования в механизмы самозащиты, политики обеспечат повышение общей сетевой безопасности, а поставщики программного обеспечения безопасности могут увеличивают продажи своей продукции за счет формирования альянсов с киберстраховщиками.

Ключевой областью управления рисками является определение приемлемого риска для каждой организации. Выполнение «обязанности проявлять осторожность » помогает защитить все заинтересованные стороны - руководителей, регулирующих органов, судей, общественность, которых могут затронуть эти риски. Стандарт анализа рисков Duty of Care (DoCRA) предоставляет методы и принципы, помогающие сбалансировать соответствие требованиям, безопасность и бизнес-цели при разработке мер безопасности.

Существующие проблемы

Следовательно, в течение 2005 г. появилось «второе поколение» литературы по киберстрахованию, нацеленной на управление рисками существующих киберсетей. Авторы такой литературы связывают провал рынка с фундаментальными свойства информационных технологий, специально коррелированная асимметрия информации о рисках между страховщиками и страхователями, а также взаимозависимости.

Асимметрия информации оказывает существенное негативное влияние на большинство страховых сред, где типичные соображения включают неспособность различать пользователей разных ( высокий и низкий риск), т. е. так называемая проблема неблагоприятного выбора, а также действия пользователей, предпринимающие действия, которые негативно влияют на вероятность убытков после подписания договора страхования, т. е. так называемая проблема морального риска. взаимозависимый и коррелированный характер киберрисков характерен для киберстрахования и отличает традиционные сценарии страхования (например, страхование автомобиля или здоровья) от м бывшая. В большой распределенной системе, такой как Интернет, риски охватывают большой набор узлов и взаимосвязаны. Таким образом, вложения пользователей в безопасность для противодействия рискам создают положительные внешние эффекты для других пользователей в сети. Здесь цель киберстрахования - дать возможность отдельным пользователям усвоить внешние факторы в сети, чтобы каждый пользователь оптимально инвестировал в решения по безопасности, тем самым снижая моральный риск и повышая безопасность сети. В традиционных сценариях страхования диапазон рисков довольно невелик (иногда он охватывает только одну или две организации) и не коррелирован, поэтому интернализация внешних эффектов, вызванных инвестициями пользователей в безопасность, намного проще.

Положения об исключении войны

Как и другие страховые полисы, киберстрахование обычно включает положение об исключении войны - явно исключающее ущерб от военных действий. В то время как большинство требований киберстрахования связаны с простым преступным поведением, компании все чаще становятся жертвами кибервойн атак со стороны национальных государств или террористических организаций - будь то целенаправленные или просто побочные убытки. После того, как правительства США и Великобритании охарактеризовали атаку NotPetya как российскую военную кибератаку, страховщики утверждают, что они не покрывают такие события.

Текущая работа

Текущая Работы относительно существования рынков киберстрахования немного. Среди важных - работы (i) Леларжа и Болота, (ii) Пала, Голубчика, Псуниса и Хуи, (iii) Джонсона и др. И (iv) Шетти и др. Эти работы сначала комментируют поведение пользователей Интернета без кибер-страховки. В работах Леларджа и др. И Шетти и др. Представлены преимущества киберстрахования в плане стимулирования пользователей Интернета к надлежащим инвестициям в безопасность; однако их работы обращаются к ограниченным типам рынка. Леларж и др. Не моделируют информационную асимметрию в своей работе. Шетти и др. Доказывают, что рынки киберстрахования неэффективны в условиях информационной асимметрии. Джонсон и др. Обсуждают роль совместного существования самострахования и рыночного страхования в принятии пользователями различных видов страхования. В последней работе Пал и др. Доказывают неэффективность рынков киберстрахования в условиях частичной асимметрии информации и коррелированных рисков и показывают существование эффективных рынков (как регулируемых, так и нерегулируемых) при дискриминации по страховым взносам.

Доступность

По состоянию на 2014 год 90% объема киберстраховочных премий покрывали риски в США. Хотя по крайней мере 50 страховых компаний предлагают продукты киберстрахования, фактическое написание сосредоточено в группе из пяти андеррайтеров. Многие страховые компании не решались выходить на этот рынок страхового покрытия, поскольку достоверных актуарных данных о кибер-рисках не существует. Получению этих актуарных данных препятствует неадекватное раскрытие информации о кибератаках со стороны пострадавших. Однако после серьезного инцидента с вредоносным ПО в 2017 году Reckitt Benckiser опубликовал информацию о том, насколько кибератака повлияет на финансовые показатели, что заставило некоторых аналитиков полагать, что компании становятся более прозрачными с данными о киберинцидентах.

Поскольку ожидается, что премии киберстрахования вырастут примерно с 2 миллиардов долларов в 2015 году до примерно 20 миллиардов долларов или более к 2025 году, страховщики и перестраховщики продолжают совершенствовать требования к андеррайтингу. Незрелость рынка и отсутствие стандартизации - две причины, по которым страхование киберпродуктов сегодня делает его интересным местом в мире страхования. У вас есть не только страховой рынок, который пытается достичь стандарта и удовлетворить потребности сегодняшних застрахованных, но в то же время у вас есть быстро развивающийся ландшафт рисков и доступные мощности.

Ссылки
Последняя правка сделана 2021-05-16 12:23:09
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте