Може стартап вдарити по 20-мільярдного ринку страхування можливих ризиків?

За останні кілька років сукупний темп річного зростання ринку страхування кібер-ризиків становить 25-50 %. Згідно з Доповіддю Беттерли від 2015 р, сума річних страхових внесків дорівнює майже 2,75 мільярдів доларів США. Розростається ціла екосистема з страховиків, посередників/ брокерів, аналітиків/ консультантів і збирачів інформації по ринку страхування, і всі намагаються витягти максимум вигоди зі сприятливою обстановки. У той час як великі страхові корпорації намагаються вирішити проблеми страхування кібер-ризиків, новачки на ринку намагаються підірвати всю цю екосистему. І битва тільки почалася.
image
Маса можливостей: засоби вимірювання і аналізу ризиків
Управління ризиками компанії — найбільш важливе завдання керівників вищої ланки. На першому місці серед ризиків стоїть загроза руйнування бізнесу. Бізнес можуть підірвати стихійні лиха і політичні колотнечі — загрози, які більш зрозумілі, ніж кібер-ризики. Згідно барометра ризиків Allianz 2016, кібер-ризики є найбільш вірогідними причинами проблем у довгостроковому періоді.

image
Найбільш реальні ризики в довгостроковому періоді (від 10 років і більше)

— Кібер-атаки: 33%
— Припинення діяльності (у тому числі внаслідок збою постачань): 11%
— Тероризм: 9%

Кібер-атаки є найсерйознішою загрозою бізнесу в довгостроковому періоді. Вплив нових цифрових технологій також входить в десятку виявлених ризиків. (Джерело: Allianz Global Corporate & Specialty. Зазначено процентне співвідношення відповідей 824-х респондентів. Опитані вказували три найбільш серйозні загрози. Джерело 2: Дослідження самих серйозних ризиків у довгостроковому періоді, проведене компаній Allianz в 2016 р; брали участь 800 фахівців з управління ризиками з 40 країн).

Із зростанням кількості країн-загарбників і країн-ізгоїв, корпоративних фахівців з управління ризиками доводиться міняти позицію по відношенню до ризиків. Страхування від ризиків, як правило — перший крок. Коли є багато спраглих покупців, з'являються багато не менш спраглих постачальників.

Згідно з даними корпорації AIG, сума страхових внесків за 2015 р, отриманих страховиками, склала 1,6 мільярдів доларів. Згідно з прогнозами компанії Allianz, ця сума складе 20 мільярдів до 2025 р. В середньому 24% підприємств США потребують кібер-захисту (Джерело: Дослідження Ради страхових агентів і брокерів, з участю 75 брокерів, вересень 2015 р).

Тільки приблизно 40% компаній зі списку Fortune 500 застрахували себе від можливих ризиків, і вони навіть не придбали повний пакет захисту від всіх можливих загроз. Існує понад 18 000 середніх за розміром компаній із сукупним доходом від 250 мільйонів США, зайнятих у професійних послугах, роздрібних продажах і різних галузях виробництва, яким потрібна страхування від можливих ризиків.

Очевидно, що міць ринкового попиту стимулює швидке зростання ринку страхування, навіть якщо нові гравці не володіють достатнім досвідом. Неформальні бесіди в офісах на тему кібер-захисту сходяться до заяв типу: «Ніхто в цьому нічого не розуміє, але це вже мільярдний ринок» і «це найкраще, що придумали з часів винаходу пожежі.»
Корпоративні клієнти готові купити страховку, але вони не зовсім розуміють, від яких ризиків захищаються. Згідно з дослідженням страхових виплат, проведеним NetDiligence в 2015 р, 48% опитаних зізналися, що слабо розбираються в кібер-ризики, і тому вони не можуть адекватно від них захиститися.

А 46% компаній взагалі не володіють даними про ціну подібних ризиків. Головні питання, на який корпорації шукають відповіді, це: (a) Що саме знаходиться під загрозою – стійкість функціонування бізнесу? Ми піддамося DDoS-атаці? Або нам загрожує розкрадання інтелектуальної власності? Зберігається у нас фінансова, медична, особиста інформація клієнтів? (b) Яка ймовірність втілення подібних загроз? і (з) Які можливі збитки?

Як і у випадку з більшістю розвиваючих областей, вкрай необхідна певна систематизація та схема оцінки ризиків. Схема, розроблена Національним Інститутом стандартів і технологій США (NIST)- всього лише відправна точка, багато ще треба зробити. У рамках подібної схеми, можна оптимізувати різні інструменти, технології та практики для оцінки можливих ризиків. Серед перших інновацій має бути пропозицію матриці оцінки ризиків і спроба стати постачальником FICO, розробив рейтинг кредитоспроможності потенційного позичальника в США (FICO score). Серед стартапів, які вхопилися за розробку матриці ризику — Security Scorecard, BitSight і Cyence. Компанії, що спеціалізуються на управлінні ризиками і забезпечення відповідності нормативним вимогам, вклинилися на ринок і пропонують інструменти з управління ризиками. Починається золота лихоманка.

Можливість: двигун торгівлі страховками
Незважаючи на величезний попит, страховикам доводиться викручуватися, щоб грамотно подати свою пропозицію, і визначити скільки за нього просити. На такому молодому ринку складно прогнозувати коефіцієнт збитків та рентабельність продукції, не кажучи вже про визначення суми, необхідної для захисту від майбутніх кібер-катастроф. На основі таблиці страхових виплат за останні сто років можна визначити розмір страхових премій, і передбачити землетрусу і повені. Але звідки компаніям типу AIG і Allianz взяти таку аналітику для кібер-ризиків? Практично нізвідки.

На ринок прийшла компанія Symantec і прагне стати основним гравцем. За словами Роксани Диволь — генерального директора першого віце-президента, глави відділу веб-безпеки і куратора проекту по страхуванню від можливих ризиків компанії Symantec — вони засікають 800 тисяч подій інформаційної безпеки кожну секунду. На компанію працюють статистики, які збирають дані за минулі періоди, і в режимі реального часу, так, щоб створювати нові продукти, що відповідають конкретним потребам споживачів.

Дуже складно передбачити, в якій формі, в якому масштабі і коли з'явиться кібер-загроза. Як ці погрози вплинуть на суми виплат за страховками і як ці ризики будуть еволюціонувати? Часто ми взагалі не знаємо, що відбувається — взяти хоча б інциденти за 2016 р. «Інші помилки» і «Інші інциденти» становлять майже 30% всіх інцидентів.

image

Як страхові компанії оцінюють свій «максимальний ймовірний збиток» у випадку з кібер — ризиками на макрорівні? А коли порушено кілька сторін, як визначити відповідальність перше / третіх сторін? Якщо я переправлю шкідливий файл іншій стороні, не усвідомлюючи загрозу, то піддаюся я сам ризику? Часовий проміжок для подання вимоги про відшкодування збитку, теж може мати значення для застрахованого. Один експерт скаржився, що ми розуміємо, що вибухнула пожежа, коли бачимо дим. А що стосується кібер-атак? Ми можемо і не підозрювати про атаку протягом більше 300 днів.

Яким же чином фахівець з управління ризиками може застосувати дану логіку при виборі оптимального обсягу страхового захисту, визначення суми страхового внеску і виключень із страхового покриття? Які з страхових претензій можна буде відхилити? Які будуть наслідки атаки державного масштабу (Північна Корея/ Соні)? Згідно з дослідженням страхування кібер-ризиків Ганноверського дослідницького центру (листопад 2014), у половини страхових компаній немає фахівців з кібер-ризиків.

image

Навіть посередникам та брокерам доводиться нелегко. Провівши дослідження ринку страхування кібер-ризиків, Рада страхових агентів і брокерів прийшов до висновку, що 71% брокерів не розуміє, що саме страхується. Значить брокери діють в темряві.

Рада також повідомляє: «Багато чого залежить від особистої здатності брокера оцінити підводні камені і тонкощі страхування і грамотно подати інформацію різним клієнтам, чиї інтереси дуже сильно варіюються. Основними проблемами є відсутність стандартизованої термінології та складність визначення винятків із страховки.»

Якщо ми вирішимо, що досить страхування общекоммерческой відповідальності (CGL) або відповідальності директорів та вищих посадових осіб (D & O), то нас може очікувати серйозний підступ. Коли компанія DSW, яка торгує взуттям, зазнала хакерської атаки, страхова компанія AIG спробувала відхилити претензію, віднісши їх втрати до винятків із поліса. Однак, після позову, суд присудив виплатити страхову суму DSW.

Простіше кажучи, корпораціям в найближчому майбутньому треба буде надати більш прості інструменти для роз'яснення таких питань: а) що покриває їх страховка, як вона співвідноситься з ризиками бізнесу і які винятки; b) хто з страховиків самий досвідчений у цій сфері; з) і як можна знизити розмір страхового внеску? З плином часу, може з'явитися онлайн біржа страхового ринку.

Можливість: Важливість інструментів і технологій
Страховики не надають великого значення використанню інструментів і засобів забезпечення безпеки. Згідно з даними Ганноверського дослідного центру від листопада 2014 р, спостерігається цікава тенденція: найбільш важливою вважається інформація про філософію управління ризиками, а на другому місці — характер інформації, що зберігається.

image

При страхуванні кібер-ризиків, яка інформація стоїть на першому місці по важливості? (N=73)
— Філософія компанії в сфері управління ризиками: 25%
— Характер збереженої інформації/ архівних даних: 23%
— Тести безпеки і аудиторська інформація: 16%
— Оновлення захисту даних в мережі/міжмережевий захисту: 15%
— Власні/ сторонні ІТ-сервіси: 5%
— Обсяг збереженої інформації/ архівних даних: 4%
— Дотримання нормативних вимог і сумісність зі стандартом безпеки PCI: 4%
— Шифрування даних: 3%
— Інша: 4%

Місце, займане інформацією з оновленням захисту даних в мережі/міжмережевий захисту просто смішно, і, на жаль, даними по шифруванню відведено зовсім малозначне місце. Це повинно змінитися. По мірі того, як страхові компанії все більше уваги приділяють значення різних технологій захисту інформації, можуть і змінюватися критерії страхування можливих ризиків. У Силіконовій долині повинні розуміти, що технології не вирішують всі проблеми. Важливі ще люди, практики і політика.

Може пройти багато часу поки ми зрозуміємо, як утопічна мрія про незриму роботі систем безпеки, чарівним чином захищає нас від усіх бід, незалежно від наших прорахунків, слабких місць та особливостей. Коли це станеться, нам не потрібно буде страхування від можливих ризиків. А поки, 19-річний вундеркінд збирається підірвати 20-мільярдний ринок.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.