Перспективы рынка киберстрахования США под влиянием новых вызовов

,

MGIMO University of the Ministry of Foreign Affairs of Russia, Moscow, Russia, ,

Введение . В современном мире все больше увеличивается зависимость от информационных технологий (далее – ИТ), представляющих собой критически важную часть цепочки поставок для многих владельцев рисков. Возрастающее мастерство киберпреступников и напряженная геополитическая ситуация формируют ландшафт киберугроз и повышают опасность для всех экономических субъектов.

Доказано, что киберриск представляет самую большую трудность, с которой сталкиваются современные экономики (Badea, Rangu, 2019). Риск может быть вызван как неправильным управлением ИТ, неэффективным внедрением стандартов, отсутствием контроля, злоупотреблением

ИТ, так и преднамеренными атаками злоумышленников в целях захвата контроля, уничтожения, блокирования или модификации компьютерных программ и компьютерных структур.

В последние годы риск киберпреступлений стал одной из главных глобальных проблем. Например, в отчете Всемирного экономического форума (ВЭФ) «Глобальные риски 2024» в рейтинге глобальных рисков по степени серьезности в ближайшие два года кибербезопасность заняла четвертое место и была отнесена к числу постоянных проблем1. Заинтересованные стороны из государственного и частного секторов отнесли отсутствие кибербезопасности к третьему по степени серьезности риску в краткосрочной перспективе.

В недавнем издании «Барометра рисков Allianz», в котором на основе мнений 3 069 респондентов из 92 стран и территорий, представляющих 24 отрасли промышленности, определяются основные бизнес-риски на 2024 г., киберинциденты занимают первое место, как и в 2023 г.2

За последние годы частота и серьезность кибератак значительно возросли во всем мире, и, по прогнозам, их количество и тяжесть будут продолжать увеличиваться в будущем. Согласно оценке компании Cybersecurity Ventures, к 2025 г. стоимость киберпреступлений составит 10,5 трлн долл. США (далее – долл.) в год, по сравнению с оценкой ВЭФ в 3 трлн долл. в 2015 г.3 В октябре 2023 г. Э. Нойбергер, заместитель советника по национальной безопасности в администрации США Дж. Байдена, представила оценку, согласно которой к 2027 г. убытки от киберпреступности составят более 23 трлн долл. по сравнению с 8,4 трлн долларов в 2022 г.4

Участившиеся случаи утечек данных заставили компании осознать важность управления киберрисками, что вызвало экспоненциальное возрастание спроса на киберстрахование (Camillo, 2017). При этом киберриск считается настолько опасным риском из-за высокой информационной асимметрии, отсутствия актуарных данных и большой вероятности катастрофических потерь (Xie et al., 2020). Дефицит надежных исторических киберданных создает элемент неопределенности при моделировании, что в итоге приводит к завышенным ценам на покрытие киберрисков (Eling, 2020).

Хотя рынок киберстрахования еще только формируется, в мире уже наметился очевидный лидер в лице США5, что представляется вполне оправданным, если учитывать, что США обеспечивают 44,9 % от общемирового объема страховых взносов6. Помимо этого, в 2023 г. именно США были главной целью вымогательских атак, причем в большинстве месяцев число жертв превышало 100 человек7.

В связи с этим представляется весьма актуальным исследовать главные тенденции развития киберстрахования в США на основе анализа актуальных трудностей и законодательных изменений.

Данные и методы . В основе информационного источника исследования лежат научные статьи, аналитические доклады и отчеты экспертных институтов, база данных ВЭФ, Швейцарского перестраховочного общества, министерства финансов США, Комиссии по ценным бумагам и биржам, Национальной ассоциации страховщиков США, а также материал, сбор, систематизация и анализ которого стал возможен благодаря глобальной информационной сети Интернет.

Исследование выполнено на основе таких методов научного познания, как исторический и теоретико-прогностический, статистический, сравнительный анализ, синтез, дедукция, индукция.

Результаты и обсуждение. В 2023 г. на рынке киберстрахования США наблюдался всплеск активности по киберпретензиям в связи с неожиданным и значительным возрождением атак с использованием вирусов-вымогателей (ransomware). Больше всего пострадали такие отрасли, как здравоохранение, финансовые услуги, профессиональные услуги, технологии, образование и государственное управление. Некоторые из наиболее существенных киберпретензий были связаны с атаками на поставщиков программного обеспечения. Также увеличилось количество исков о неправомерном сборе данных, которые стали серьезной киберугрозой, часто допускающей частные права на иск и приводящей к принудительному взысканию со стороны регулирующих органов.

В то же время усиление геополитической напряженности между хорошо финансируемыми национальными государствами повысило риски атак на критически важную инфраструктуру. Кроме того, массовое внедрение технологий искусственного интеллекта (ИИ) заставило всерьез задуматься о повышении системного киберриска. В 2024 г. в масштабах всего мира средняя стоимость утечки данных достигла рекордной отметки в 4,88 млн долл., что на 10 % больше, чем в предыдущем году1.

Еще один фактор, который может усугубить частоту и тяжесть киберпретензий, связан с повышенным риском регулирования. Во многих штатах уже приняты комплексные законы о конфиденциальности, и к концу 2024 г. число присоединившихся штатов, вероятно, возрастет. В основном нормативные акты содержат обязательства по соблюдению требований к сбору данных, а некоторые допускают частные права на иск в определенных обстоятельствах. Наибольшее число исков связано с обвинениями в неправомерном сборе данных, касающихся как технологий отслеживания веб-сайтов, так и биометрических данных.

На федеральном уровне работает Комиссия по ценным бумагам и биржам (Securities and Exchange Commission, SEC), которая ввела новые обязательные требования к отчетности для публично торгуемых компаний по киберинцидентам и общим методам управления киберрисками. Согласно новым требованиям, организации должны сообщать о «существенных» киберинцидентах в SEC в течение четырех рабочих дней, а ежегодные отчеты должны содержать подробную информацию о предпринятых усилиях по управлению киберрисками. Комиссия уделяет особое внимание формулировкам, используемым в раскрытии информации и/или заявлениях компаний, касающихся этого риска. Очевидно, это может стать началом новой волны усиленного контроля со стороны регулирующих органов, что, несомненно, повысит ожидания в отношении управления киберрисками среди руководителей компаний и советов директоров.

Администрация Дж. Байдена активно работает над многочисленными инициативами и рекомендациями, касающимися киберрисков. В марте 2023 г. Белый дом представил Национальную стратегию кибербезопасности, в которой излагается новый подход к киберугрозам, а также налагается ответственность как на государственный сектор, так и на частный2.

Эта стратегия направлена на создание и укрепление сотрудничества по пяти основным направлениям: 1) защита критически важных объектов инфраструктуры; 2) разрушение и уничтожение субъектов угроз; 3) формирование рыночных сил для обеспечения безопасности и устойчивости; 4) инвестирование в устойчивое будущее; 5) формирование международных партнерств для достижения общих целей. Каждая из этих задач требует беспрецедентного уровня сотрудничества между соответствующими заинтересованными сторонами, включая государственный сектор, частную промышленность, гражданское общество, а также международных союзников и партнеров. Основные направления, на которых строится стратегия, отражают видение общей цели и приоритетов для этих сообществ, выделяют проблемы при реализации этого видения и определяют стратегические цели, вокруг которых должны быть организованы их усилия.

В июле 2023 г. Белый дом опубликовал План реализации Национальной стратегии кибер-безопасности3, где представлены периодизация и ожидаемые результаты достижения поставленных целей. Несмотря на такую дорожную карту, стратегия не содержит ориентированных на результат показателей эффективности для различных инициатив в области кибербезопасности, таких как обмен информацией или модернизация защитных систем федеральных агентств. Поэтому у руководителей федеральных служб кибербезопасности нет комплексного способа оценить или убедиться в том, что их усилия направлены на повышение кибербезопасности.

Скорее всего, планы не включают эти важные меры, так как разработка ориентированных на результат показателей нереальна из-за трудностей, присущих измерению успеха в области кибербезопасности. Однако некоторая ключевая информация, необходимая для оценки результатов, уже доступна. Например, Министерство финансов уже собирает сведения о количестве и стоимости инцидентов, связанных с вымогательством.

Знание масштабов проблемы может помочь чиновникам обозначить цели по ее нейтрализации, определить эффективность действий и направить ресурсы туда, где это необходимо.

В октябре 2023 г. Белый дом запустил Международную инициативу по борьбе с атаками в целях вымогательства (International Counter Ransomware Initiative), представляющую собой альянс более 40 стран и территорий во главе с США, который обязуется ликвидировать финансирование преступников путем отказа платить за вымогательство1. Страны-участницы смогут получить доступ к платформам обмена информацией, предоставляющим через Министерство финансов США черный список с данными о цифровых кошельках, используемых для перевода платежей за вымогательство. На сегодняшний день не существует законодательного требования о предотвращении выплаты выкупа организациями, и ожидается, что любой будущий мандат на этот счет потребует принятия соответствующего законодательства.

Также в октябре 2023 г. Белый дом издал указ о безопасной, надежной и заслуживающей доверия разработке и использовании искусственного интеллекта (Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence), устанавливающий новые стандарты безопасности и защиты ИИ2. Указ включает в себя три важные меры, которые необходимо немедленно принять. Во-первых, он обязывает разработчиков мощных систем ИИ делиться с правительством США результатами испытаний на безопасность и критически важной информацией. Во-вторых, указ предписывает разработку стандартов, инструментов и тестов для обеспечения безопасности систем ИИ. В-третьих, в документе рассматриваются риски использования ИИ для разработки опасных биологических материалов, устанавливаются рекомендации по обнаружению контента, созданного ИИ, и проверке подлинности официального контента.

Страховщики киберрисков вынуждены действовать в более жестких условиях и предлагать программы страховой защиты с учетом динамичных изменений по мере развития технологий и эскалации угроз. В первую очередь основные изменения в страховых полисах касаются исключений, связанных с военными действиями и системным риском.

Ряд недавних и текущих геополитических конфликтов непосредственно затрагивает страны, которые, как правило, обладают большим потенциалом для проведения кибератак. В связи с этим андеррайтерам страховых компаний США вменено в обязанность внимательно следить за развитием событий, так как существует немалая вероятность того, что традиционные средства ведения боевых действий с воздуха, моря, суши и из космоса могут смениться атаками в киберпространстве. Многие киберстраховщики пересмотрели формулировки исключений, связанных с военными конфликтами, расширили сферу действия исключений и, опасаясь кумулятивного эффекта при реализации системных рисков, ввели сублимиты, ограничивающие объем компенсаций по подобным событиям.

Если рассматривать степень покрытия полисами киберстрахования регуляторных рисков, то в целом ограничения усилились. Опасения андеррайтеров по поводу возрастающих расходов на выплату страховых претензий, предъявляемых регулирующими органами, привели к ограничению покрытия затрат на проведение расследований, урегулирование, штрафы и пени.

По мере того как расширяются масштабы и усложняется законодательство штатов, федеральное и международное законодательство о неприкосновенности частной жизни, расширяются и формулировки исключений в киберполисах. Особое внимание при этом уделяется исключениям, касающимся претензий по отслеживанию веб-сайтов, вытекающим из законов о конфиденциальности данных, таких как Закон о конфиденциальности биометрической информации (Biometric Information Privacy Act).

Особую роль в развитии рынка киберстрахования играют перестраховочные компании, принимающие на себя около 65 % рисков, подписанных прямыми страховщиками3. Для собственного обеспечения и значительного расширения страховых мощностей они используют рынки капитала, в частности ценные бумаги, привязанные к страхованию. В 2023 г. перестраховщик Beazley выпустил три облигации на случай киберкатастрофы на общую сумму 81,5 млн долл.1, а компания Axis Capital Holdings Ltd. выпустила одну полностью обеспеченную облигацию на случай киберкатастрофы на сумму 75 млн долл.2 Скорее всего, для удовлетворения повышающегося спроса на киберстрахование число подобных эмиссий будет возрастать.

Заключение . Новые технологии и геополитическая напряженность усугубили проблему киберугроз в США. Внедрение ИИ руководителями компаний может привести к непредвиденным последствиям, включая, в частности, предвзятое отношение к данным, ответственность за неприкосновенность частной жизни, риски, связанные с интеллектуальной собственностью, и профессиональную ответственность. Существует вероятность того, что помимо киберстрахования и полисов по технологическим ошибкам и упущениям пострадают несколько линий покрытия. Так, в ближайшем будущем убытки могут распространиться на полисы страхования директоров и должностных лиц, полисы ответственности за качество продукции, а также полисы профессиональных ошибок и упущений.

Тем не менее рынок киберстрахования США созрел до уровня, когда и заявители, и поставщики услуг получили ценное представление о том, как угрозы проявляются в виде претензий, и в целом понимают минимальные средства контроля безопасности, необходимые для предотвращения и смягчения их последствий. Правительством, регулирующими органами, поставщиками технологий и страховой индустрии предпринимаются усилия, чтобы максимально подробно проанализировать новый риск, прежде чем разработать инструменты управления.

Дорожная карта в виде принятых на уровне федерального правительства стратегий и инициатив намечена, и все большее число профессионалов в экосистеме киберстрахования США будут стремиться к инновациям в области передовых инструментов андеррайтинга и продолжат активно использовать передовые инструменты моделирования для более точного прогнозирования частоты и тяжести киберсобытий. В краткосрочной перспективе ключевую роль в развитии киберстрахования будут, очевидно, играть страховщики, перестраховщики, брокеры, актуарии, инженеры в области программного обеспечения, аналитики и поставщики средств кибербезопасности.