Сприятливі умови для покупців зберігаються, незважаючи на зростаючу частоту атак, причому компанії середнього ринку стикаються з найбільшою вразливістю, згідно зі звітом Aon.
Згідно з новим аналізом ринку, проведеним компанією Aon, ціни на кіберстрахування продовжували знижуватися в першому кварталі 2025 року, знизившись на 7% і відзначивши 10-й квартал поспіль зниження для ризиків, що базуються в США.
Ринок кіберстрахування залишається стійко на користь покупців, що зумовлено посиленням глобальної конкуренції та широкими можливостями страховиків.
"Зараз ідеальний час для виходу на ринок кіберстрахування для компаній будь-якого розміру, і це особливо важливо для компаній середнього бізнесу, які стають все більш вразливими", – заявив Брент Рієт, глобальний лідер з кіберстрахування в Aon.
Таке зниження цін відбувається на тлі посилення кіберзагроз. За даними Aon, у 2024 році було зареєстровано 1 228 інцидентів серед американських клієнтів, що на 22% більше, ніж у попередньому році. Більшість позовів були пов'язані з кіберподіями – 776 повідомлень у США, що на третину більше, ніж у попередньому році.
Згідно зі звітом Aon, основні системні події домінували в ландшафті загроз 2024 року. Лютнева атака на Change Healthcare, постачальника технологій для оплати медичних послуг, що сталася через невдале впровадження багатофакторної автентифікації, вплинула на приватні дані приблизно 190 мільйонів осіб і призвела до фінансових наслідків у розмірі 3,09 мільярда доларів США до оподаткування. Липневий збій у роботі CrowdStrike призвів до виходу з ладу понад 8,5 мільйонів систем по всьому світу, а одна авіакомпанія повідомила про збитки у розмірі 500 мільйонів доларів США та 170 мільйонів доларів США у вигляді витрат.
Незважаючи на збільшення частоти страхових випадків, коефіцієнт збитковості страховиків залишився стабільним і навіть дещо покращився, зменшившись майже на 3% порівняно з 2023 роком. Така стабільність зумовлена покращенням кіберготовності організацій та зменшенням сум виплат, що здійснюються зловмисниками, які знизилися на 77% серед клієнтів Aon, зазначається у звіті.
Кількість інцидентів з використанням програм-вимагачів у 2024 році зросла на 24% порівняно з 2023 роком, проте все менше компаній платять зловмисникам. Галузеві дані показують, що лише 25% компаній заплатили викуп – це рекордно низький показник. У той час як середній розмір виплат за викуп у четвертому кварталі 2024 року сягнув $553 959, середній розмір виплат знизився на 45% до $110 890, що свідчить про те, що більшість організацій успішно протистоять спробам здирництва, йдеться у звіті.
Компанії середнього бізнесу стикаються з непропорційно високими ризиками
Аналіз показує, що серед організацій середнього розміру існують моделі вразливості, які викликають занепокоєння. За даними Aon, компанії з річним доходом від $100 млн до $2 млрд подали більше позовів щодо кібер-злочинів, ніж будь-яка інша група, на яку припадає 52% всіх справ, незважаючи на те, що вони складають меншу частку ринку.
Такий непропорційний вплив відображає недостатній рівень готовності. Серед компаній середнього сегменту 55% не проводили навчань з кібербезпеки, в той час як 45% проводять сканування вразливостей, що охоплюють менше 100% інфраструктури підприємства, зазначає Ріет з Aon.
Дефіцит готовності виходить за рамки технічного контролю. Дослідження IBM демонструє, що організації, які мають команди реагування на інциденти та офіційні плани реагування, знижують витрати на порушення в середньому майже на 500 000 доларів США, зазначається у звіті. Проте багато компаній середнього бізнесу не мають цих фундаментальних запобіжників, що робить їх вразливими як до прямих витрат від атак, так і до тривалих періодів відновлення.
Організації, які інвестували в кібербезпеку, продемонстрували значно кращі результати. Клієнти Aon, які мають надійні засоби контролю безпеки та плани безперервності роботи, були краще підготовлені до реагування на атаки, відновлення систем та відновлення доступу до даних, йдеться у звіті. Ці компанії продемонстрували 9% покращення критично важливих засобів контролю безпеки, які впливають на страхову стійкість, з помітними досягненнями у секторах фінансових послуг (21%), професійних послуг (12%) та виробництва (11%).
Середовище андеррайтингу еволюціонувало, щоб відобразити ці реалії. Страхові компанії стали більш витонченими в оцінці ризиків, вимагаючи при цьому менше документації, ніж раніше. Замість того, щоб застосовувати жорсткі критерії, засновані на контролі, страховики тепер зосереджуються на загальних профілях кібер-зрілості і приймають організаційні описи конкретних заходів безпеки, йдеться у звіті Aon.
Згідно зі звітом, контроль, орієнтований на конфіденційність, став зростаючим пріоритетом для операторів кіберстрахування у 2024 році, що є відповіддю на посилення правового контролю за обробкою персональних даних. Цей зсув відображає зростання кількості колективних судових позовів за участю кількох позивачів, особливо в секторі охорони здоров'я, після численних порушень, які нібито порушують права пацієнтів на конфіденційність.
Регуляторні зміни посилюють це занепокоєння. Все більше штатів впроваджують закони, подібні до Каліфорнійського закону про конфіденційність споживачів, а нові технології, такі як штучний інтелект, створюють додаткову загрозу через вбудований код відстеження та практики збору даних.
Стратегічне управління ризиками стає необхідним
Перетин зростаючих кіберзагроз і сприятливих цін на страхування створює унікальну можливість для стратегічного управління ризиками. Однак дані свідчать про те, що кіберподії все частіше призводять до більш широких репутаційних ризиків, які виходять далеко за межі безпосередніх технічних наслідків, повідомляє Aon.
Аналіз 1 414 кіберподій до 2024 року показує, що 56 з них переросли в події, що загрожують репутації, спричинивши зниження середньої акціонерної вартості на 27%. Атаки шкідливого програмного забезпечення та програм-вимагачів, як виявилося, найчастіше завдають шкоди репутації, на них припадає 60% випадків репутаційних ризиків, хоча вони становлять лише 45% від загальної кількості кіберінцидентів.
Ступінь тяжкості залежить від типу атаки. Мережеві та системні атаки, як правило, завдавали найбільшої шкоди, що призводило до зниження акціонерної вартості в середньому на 51%. Навіть менш серйозні категорії, такі як атаки з несанкціонованим доступом, все одно спричинили середній вплив на акціонерну вартість на рівні 25%.
Компанії, які успішно справляються з кіберподіями, можуть насправді покращити свою репутацію та підвищити акціонерну вартість. Дослідження показує, що 17 з 47 досліджених кібератак призвели до зростання акціонерної вартості в середньому на 18%, коли організації продемонстрували ефективне реагування на інциденти. Решта 30 подій призвели до зниження вартості акцій в середньому на 21%.
За даними Aon, п'ять ключових факторів сприяють успішному відновленню вартості: всебічна готовність, включаючи аналітичну інформацію для розуміння ризиків; сильне видиме лідерство під час інцидентів; швидкі, цілеспрямовані та надійні заходи реагування; швидке, відкрите та чесне інформування про події та заходи реагування; а також демонстрація справжньої прихильності до значущих змін після інцидентів.
Ознайомитися з повним текстом звіту можна тут.