211service.com
Apdrošinātāji cīnās, lai noteiktu cenu kiberkatastrofai
Džeks Sakss
1992. gadā viesuļvētra Endrjū izpostīja Floridas dienvidu krastu, nogalinot desmitiem cilvēku un nodarot vairāk nekā 25 miljardus dolāru lielus zaudējumus. Vētra atklāja arī kritiskus trūkumus, kā īpašuma apdrošinātāji novērtēja šādas dabas katastrofas iespējamās izmaksas. Daudzas apdrošināšanas sabiedrības cieta lielus zaudējumus mēnešos, kas sekoja vētrai un vairāki neizdevās .
Mūsdienās apdrošinātāji cīnās, lai izprastu jauna veida potenciālas katastrofas ekonomisko apmēru, kas ir cilvēka izraisīta: postošs kiberuzbrukums. Dažas no 1992. gada mācībām ir piemērotas, taču citos veidos šī ir ļoti atšķirīga problēma, kas jāatrisina.
Lielie apdrošinātāji, tostarp AIG un Chubb, ir piedāvājuši kiberpolises kopš 90. gadu beigām, un šobrīd tās pārdod aptuveni 80 uzņēmumi, galvenokārt koncentrējoties uz datu pārkāpumiem. Kiberapdrošināšanas tirgus pēdējā laikā ir sācis strauji augt, jo virkne augsta līmeņa uzbrukumu ir pārliecinājusi augstākos vadītājus, ka hakeri rada nopietnas bažas. PricewaterhouseCoopers aplēses uzņēmumi 2020. gadā par kiberapdrošināšanu maksās 7,5 miljardus ASV dolāru, kas ir vairāk nekā 2000. gadā lēsts 2,75 miljardi ASV dolāru 2015. gadā.
Tomēr apdrošinātāji joprojām cīnās, lai saprastu kiberriska būtību un saprastu, kā strukturēt savas polises tā, lai tie nepaliktu neaizsargāti pret katastrofāliem zaudējumiem.
Cilvēki sāk uzskatīt kiberdrošību kā biznesa risku, nevis IT problēmu, saka Arvinds Parthasarathi, Cyence izpilddirektors, trīs gadus vecs uzņēmums, kas palīdz apdrošinātājiem modelēt kiberriskus. Tas nozīmē, ka jāatzīst, ka tā nav problēma ar skaidru risinājumu, bet gan risks, ko var pārvaldīt, lai gan tas nav novērsts. Tagad, saka Parthasarathi, vadītāji jautā: cik lielu risku es varu uzņemties?
Apdrošinātāji uzdod to pašu jautājumu, mēģinot noteikt, kā noteikt cenu jaunām kiberdrošības politikām. Mūsdienu kiberdraudi ir sarežģīti un strauji attīstās. Vissteidzamākais izaicinājums ir kvantitatīvi noteikt kiberkatastrofas risku, kas vienlaikus skars daudzus apdrošinājuma ņēmējus, aplēšot maksimālos zaudējumus sliktākajā gadījumā. Tas ir tas, ko apdrošinātāji nespēja izdarīt pirms viesuļvētras Endrjū.
Kiberkatastrofu, kuras mērogs ir salīdzināms ar viesuļvētru Endrjū, daļēji ir grūti modelēt, jo tāda vēl nav notikusi. Pagājušā gada oktobrī mēs saņēmām ieskatu par vienu veidu, kā šāda nelaime varētu izvērsties, kad hakeri izmantoja pārvaldītu tīmekļa kameru, DVR un citu lietu interneta ierīču tīklu, lai uzsāktu masveida pakalpojumu atteikuma uzbrukumu Dyn — galvenajam interneta trafika maršrutētājam. Uzbrukuma dēļ daudzas ievērojamas vietnes, tostarp Amazon, Netflix un Spotify, miljoniem lietotāju Amerikas Savienotajās Valstīs vairākas stundas nebija pieejamas (skatiet 10 Breakthrough Technologies 2017: Botnets of Things ).
Dyn uzbrukuma izmaksas vēl nav skaidras, taču nesenais Amazon S3 mākoņu krātuves sistēmas pārtraukums četru stundu garumā (kas nebija kiberuzbrukuma rezultāts) S&P 500 uzņēmumiem izmaksāja vismaz 150 miljonus ASV dolāru, liecina Cyence aprēķini. Nav grūti iedomāties plaša mēroga uzbrukumu mākoņpakalpojumam, kas radītu miljardu zaudējumus.
Kiberuzbrukums tradicionālajai fiziskajai infrastruktūrai, piemēram, tai izņēma būtisku režģa daļu decembrī Kijevā, Ukrainā, arī rada bažas. Daži uzbrukumu saista ar Krievijas valsts sponsorētiem hakeriem. Apdrošināšanas tirgus Lloyd’s no Londonas nesen analizēja hipotētisku scenāriju, saskaņā ar kuru elektroenerģijas padeves pārtraukums ASV ziemeļaustrumos atstāj bez elektrības 93 miljonus cilvēku. Tajā secināts, ka šāds notikums apdrošinātājiem varētu izmaksāt no 21 līdz 71 miljardam ASV dolāru, kas parāda, cik grūti ir precīzi noteikt šādu risku izmaksas.
Izaicinājums mēģināt kvantitatīvi noteikt kiberrisku dažos veidos ir līdzīgs tam, ar ko apdrošinātāji saskārās 1990. gados, jo viņiem ir ļoti maza pieredze ar šāda veida riskiem. Bija nepieciešami 15 gadi, lai izveidotu datu kopas, kas ir pamatā sarežģītiem un detalizētiem dabas katastrofu modeļiem, uz kuriem apdrošinātāji paļaujas šodien, saka Toms Hārvijs, Risk Management Solutions produktu vadītājs, kas izstrādā katastrofālu riska modeļus apdrošinātājiem. Lai gan kibernozarē lietas notiek daudz ātrāk, viņš saka, ka uzņēmumu apkopotie dati joprojām ir diezgan nekonsekventi. Tas apgrūtina informācijas apkopošanu un nozares tendenču izpēti.
Ir būtiskas atšķirības starp dabas katastrofu un kiberkatastrofu modelēšanu, protams, sākot ar to, ka prasmīgi cilvēki virza kibernotikumus, nevis fiziskus likumus. Hakeru motivācija, taktika, paņēmieni un mērķi ātri mainās, lai pārvarētu jaunas aizsardzības. Izaicinājums ir saprast aktīvu pretinieku, saka Cyence's Parthasarathi, kura uzņēmums izmanto spēļu teoriju un uzvedības ekonomiku, lai modelētu uzbrucēju uzvedību.
Lai novērtētu liela kiberuzbrukuma risku, ļoti svarīga ir arī interneta ģeogrāfijas izpratne. Apdrošinātājiem ir nepieciešama to vietu karte, kur tiek glabāti vērtīgi dati, tostarp informācija par to, cik labi šo aktīvu īpašnieki tos aizsargā, saka Stīvens Boiers, BitSight CTO un līdzdibinātājs. Boijera uzņēmums veic šāda veida internetā glabāto līdzekļu kartēšanu un novērtē to organizāciju drošības veiktspēju, kurām šie aktīvi pieder.
Boijers saka, ka apdrošinātājiem ir jāizvairās izmantot kiberversiju, lai segtu visus Floridas piekrastē pirms viesuļvētras Endrjū, piemēram, piedāvājot pārāk daudz polišu uzņēmumiem, kas ir atkarīgi no vienas tehnoloģijas vai pakalpojumu sniedzēja, piemēram, Amazon Web Services. Kad tur notiek pārtraukums, ikvienam ir pretenzijas, viņš saka.