Диверсифікація, моделювання ризиків – головні пріоритети для перевізників у міру пом'якшення кібер-ринку

Оскільки тарифи на кіберстрахування почали стабілізуватися, страхові компанії прагнуть до більшої диверсифікації для підтримки своїх стратегій андеррайтингу та зростання, вважають учасники дискусії на цьогорічному симпозіумі PLUS Cyber Symposium в Нью-Йорку.

"Вони прагнуть до диверсифікації стандартними способами, які ми знаємо, – охоплюючи кілька галузей, сегментів і географічних регіонів, – але також і більш нюансованої диверсифікації, реально аналізуючи, які технологічні залежності є великими ризиками для їхніх портфелів", – сказала Крістал Бох, керівник відділу кібер-аналітики в Aon Re в США. "Тому все більше операторів інвестують в різні можливості сканування і різні інструменти, які дійсно визначають ці технологічні точки агрегації по всьому портфелю".

В якості одного з прикладів вона вказала на дослідження Parametrix і Aon, проведене в серпні 2024 року, про диверсифікацію ризиків відключення хмарних сервісів. Дослідження під назвою "Диверсифікація хмарних ризиків" показало, як можна диверсифікувати збитки, що виникають внаслідок збоїв у роботі хмарних сервісів, в рамках великих перестрахувальних портфелів.

"Ви можете бачити, що якщо ви розподіляєте свій портфель по всій географії, це значно зменшує залежність вашого портфеля від будь-якого одного хмарного регіону, що має величезне значення для зменшення цього ризику", – сказала вона. "Тому я думаю, що оператори здатні знайти диверсифікацію, але тут ще є над чим працювати, щоб збільшити пиріг для більшої диверсифікації".

Вона додала, що частина цієї роботи стосується сфери малих і середніх підприємств.

"[Йдеться про] те, щоб змусити ці МСП і мікропідприємства купувати страховку – я б сказала, в основному МСП і мікропідприємства, але навіть деякі середні і великі страхувальники в різних регіонах купують кіберстрахування", – сказала вона. "Тож збільшення цього пирога також допоможе з диверсифікацією".

Вона зазначила, що, хоча робота ще триває, за останні кілька років у сфері МСБ було досягнуто більшого прогресу.

"Моделі були створені спочатку з акцентом на великому страхуванні, оскільки саме в цьому секторі спостерігався найбільший рівень використання кібер-страхування", – сказала вона. "Оскільки все більше МСП купують кібер-страхування, я думаю, що це проливає світло на необхідність кращого управління та розуміння системних втрат МСП".

Це означає, що в міру того, як МСП вчаться на кіберподіях і краще розуміють свої ризики, те, як вони моделюють ризики, змінюється і те, як вони їх моделюють. Іноді це відбувається навіть швидше, ніж у великих компаніях, сказав Бох.

"Я думаю, що це на краще, і що ми стаємо більш тонко підходити до моделювання для МСП", – сказала вона.

За межами сфери МСП моделювання кібер-ризиків розвивається і в страхуванні в цілому. Бох зазначила, що вендорні моделі не тільки дозріли, але й завоювали довіру традиційних перестраховиків, страховиків та інвесторів на ринку цінних паперів, пов'язаних зі страхуванням.

"Моделі зблизилися в багатьох аспектах з точки зору величини збитків, але, що більш важливо, з точки зору того, які ризики тягнуть за собою хвіст", – сказала вона. "Я думаю, що більшість моделей і детермінованих сценаріїв зараз сходяться на тому, що шкідливе програмне забезпечення з вимогами викупу є найбільшим "хвостом", а хмарні технології займають друге місце".

Говорити однією мовою ризиків

Це зближення відіграло важливу роль в уніфікації мови ризиків у галузі, що дозволило більш ефективно спілкуватися між страховиками та зовнішніми постачальниками моделей.

Джонатан Хацор, генеральний директор Parametrix Insurance, зазначив, що за останні кілька років відбулися помітні зрушення, коли страховики скоригували свої структури перестрахування – від квотних угод до програм ексцедента збитковості – щоб краще справлятися з системними кібер-ризиками.

"Існує великий тиск на наявність моделей, які говорять однією мовою", – сказав він. "Тому перевізники повинні використовувати одну мову, щоб пристосуватися до зовнішніх моделей".

Марк Камілло, керівник відділу мережевої безпеки і конфіденційності CyberAcuView в США і Канаді, сказав, що CyberAcuView працює над тим, щоб стати рушійною силою в подоланні розриву в мові політики.

"Я думаю, що з точки зору мови політики, були певні речі, які починали починатися з мови війни навколо критичної інфраструктури, особливо з Lloyds", – сказав він. "Тому ми в CyberAcuView вирішили, що повинні знайти спосіб подолати розрив між США і Великою Британією і створити мову, яку можна було б використовувати... більш широко на ринку".

За його словами, ситуацію ще більше ускладнило запровадження широкого висвітлення подій, в якому оператори намагалися сегментувати свої втрати від вибуття та системні втрати за допомогою додатків.

"Якби це сталося з 50 різними страховиками, які створили 50 різних індосаментів, це могло б бути дуже хаотично, намагаючись пояснити це страхувальникам", – сказав він. "Ідея полягала в тому, щоб створити певну загальну мову, яку, знову ж таки, страховики могли б модифікувати на основі індивідуального апетиту до ризику".

Хацор зазначив, що хоча завжди існує розрив у досконалості зовнішніх моделей порівняно з можливостями страховиків, за останні кілька років цей розрив скоротився.

"Зараз є більше схожості, і я більше розумію ризик, оскільки ми можемо використовувати ці зовнішні моделі", – сказав він. "Ми вважаємо, що це дуже допомагає ринку".

Збір даних, ризик накопичення все ще залишається проблемою

Незважаючи на цей прогрес, у моделюванні кіберризиків залишаються проблеми. Одна з цих проблем пов'язана зі збором даних.

"Я думаю, що ми виявили, що збір даних займає набагато більше часу, ніж ми спочатку очікували, щоб страховики отримали повне уявлення про те, як виглядають кінцеві збитки", – сказав Камілло. "Я думаю, що коли відбувається подія, виникає багато паніки, проводиться багато протипожежних тренувань. Намагаючись оцінити деякі початкові втрати, ми отримуємо досить високі цифри".

За його словами, в деяких випадках збитки починають матеріалізуватися лише через рік після події.

"Ви маєте певне уявлення, але насправді вони повинні пройти через процес подачі позову про переривання бізнесу, всі години очікування, франшизи, які йдуть на це рішення, деякі зобов'язання, які тягнуться за ними... навіть через рік, півтора, ці цифри зростають", – сказав він. "Але знову ж таки, я думаю, що з часом ми будемо краще в цьому розбиратися, оскільки у нас буде більше каталогу подій".

Хацор зазначив, що, хоча наявність хороших моделей є важливою, не менш важливим є розуміння накопичення в портфелях.

"Можливо, я б сказав, що це навіть важливіше", – сказав він.

Однак він додав, що деякі постачальники послуг і багато андеррайтерів недостатньо враховують ризик накопичення.

"Наприклад, CrowdStrike, – сказав він. "CrowdStrike – це постачальник послуг, а не постачальник критично важливих послуг. Якщо вони вийдуть з ладу, то це ні на кого не вплине, і вони не мають можливості як сервісна система стати магістраллю для кібератаки через те, що система була розроблена таким чином. Але подія, яка сталася, була, я б сказав, дещо несподіваною, тому що їхня здатність вимкнути кінцеві точки клієнтів була дуже несподіваною".

За його словами, цей приклад демонструє, що перш ніж братися за моделювання кібер-ризиків, необхідно краще зрозуміти, що таке накопичувальний ризик.

"Я б сказав, що моделі зараз дуже корисні, особливо щодо традиційних втрат, відносно точні, я б сказав, і дуже стабільні щодо системних, – сказав він. "Проте, у нас попереду ще довгий шлях, але розуміння накопичення, мапування накопичень і використання технологій для цього дуже і дуже важливо".

Хоча індустрія кіберстрахування ще не зіткнулася з "великою" з точки зору накопичення подій, сказав Паскаль Міллер, генеральний директор CyberCube, важливо брати до уваги міні-катастрофи, які відбулися, при розумінні ризику накопичення і вдосконаленні моделей кіберризиків.

"Ми бачили багато міні-котячих подій, і ви починаєте заглиблюватися в ці міні-котячі події і ставити контрфакти: "А чи може це повторитися?". Так. Чи може це бути нульовий день, а не відома вразливість? Так. Чи може за цим стояти зловмисник? Так. Чи може це стосуватися іншого програмного забезпечення з більшою часткою ринку? Так", – сказав він. "Я вважаю, що, безумовно, такі питання допомогли просунутися вперед у розвитку сучасної моделі. Тож ми озирнулися назад, було зроблено багато інвестицій, моделі виявилися корисними. Як завжди, є ще багато сфер для вдосконалення".

Тим не менш, важливо визнати, наскільки сильно розвинулися моделі кібер-ризиків, оскільки галузь продовжує рухатися вперед, сказав він.

"Гадаю, якби я повернувся на п'ять років назад, ви б почули – і, можливо, чітко почули б на такій сцені, як ця – що кібердані та моделювання перебувають у зародковому стані", – сказав він. "Я просто не думаю, що це вже так. Якщо ви подивитесь на мільярди доларів позовів, десятки тисяч позовів, які вже надійшли, сотні мільйонів доларів, витрачених на технології обробки даних, навчальні ініціативи, моделі постачальників і третіх сторін, то реальність така, що нам ще є куди рухатись, але ми маємо в своєму розпорядженні надійний набір інфраструктури".