Какова цена инцидента с CrowdStrike или причем тут андеррайтинг и Уоррен Баффет?

Какова цена инцидента с CrowdStrike или причем тут андеррайтинг и Уоррен Баффет?

Прошло 10 дней с начала коллапса, причиной которого послужил сбой в обновлении CrowdStrike. Можно попробовать подвести некоторые итоги и посчитать, во сколько обошелся миру этот инцидент.

Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike:

  • От инцидента пострадало 25% компаний из Fortune 500, хотя CrowdStrike заявляла о том, что в ее клиентах числится не менее половины Fortune 500.
  • Самые пострадавшие отрасли — авиация, здравоохранение и банки. При этом по мнению Parametrix среди авиакомпаний пострадало 100% (но это из списка Fortune 500, а их там всего шесть).
  • Ожидаемые прямые финансовые потери составляют 5,4 миллиарда долларов, но только для компаний из списка Fortune 500, исключая Microsoft.
  • Наибольшие потери из всех индустрий — в здравоохранении. За ним следуют банки и авиация. Меньше всего пострадало производство и ИТ-отрасль.
  • От 0,54 до 1,08 миллиардов долларов потерь попадает под действие страховок, то есть от 10% до 20% от общего объема.
  • Средний размер потерь на пострадавшую компанию составил 44 миллиона долларов.

Очевидно, что это только верхушка айсберга, так как за первые 10 дней достаточно сложно оценить все возможные потери, которые включают в себя потери из-за простоев, рост операционных расходов, стоимость восстановления, снижение покупательской способности, потенциальные иски, снижение продуктивности и т.п.

«Однако определение окончательных убытков для отрасли, вероятно, будет длительным процессом, так как «язык» полисов киберстрахования пока не стандартизирован.» Рейтинговое агентство Moody’s

Дело в том, что как я отмечал в прошлой заметке, «системный сбой», который характеризует произошедший коллапс, может не покрываться страховкой, которая могла быть сфокусирована на злонамеренных действиях третьих лиц (кибератаках). И хотя страхование киберрисков в США достаточно развито, но оно все-таки плохо стандартизовано. Поэтому у каждой страховой компании свой страховой продукт, предлагаемый клиентам. С другой стороны, если страховка покрывала потери именно в результате системного сбоя, то в этом случае можно будет говорить о возмещении потерь от нарушения непрерывности бизнеса.

Но надо признать, что многие полисы киберстрахования специально исключают потери, как результат прерывания бизнеса.

Размер страховых выплат по данным Parametrix оценивается в 0,54 — 1,08 миллиарда долларов. Страховая компания CyberCube оценивает страховые выплаты в 400 миллионов — 1,5 миллиарда; что составляет по ее оценкам 3-10% от суммы финансовых потерь. Получается, что сумма ущерба по версии CyberCube приближается к 15 миллиардам.

Интересно, что пока разговоры о потерях идут только со стороны страховых компаний (перестраховочные компании пока молчат, ожидая оценок страховщиков), которым и расплачиваться за все произошедшее (по крайней мере в США).

Многие эксперты отмечают, что оценка Parametrix существенно занижена, так как не учитывает длительность и природу иных потерь, например, замену билетов на отмененные или задержанные авиарейсы, возврат средств за билеты, удар по репутации, штрафы и т.п. Например, 146 миллионов долларов, которые каждая из шести авиакомпаний Fortune 500 потеряла, выглядят очень малой суммой.

Согласно исследованию J. Gold Associates восстановление каждого пострадавшего ПК обходится компании в 82,5 доллара, если это делается собственным сотрудником, и втрое больше, если внешней компанией.

Получается, что, если учитывать данные Microsoft о 8,5 миллионах вышедших из строя компьютеров, только на восстановление будет потрачено не менее 700 миллионов долларов.

Оценок для компаний не из Fortune 500 и за пределами США я пока не видел, но напомню, что всего CrowdStrike заявляет о 29000 клиентов по всему миру. Если, следуя пропорции Parametrix, пострадала каждая 4-я компания, то совокупный объем потерь может составит несколько десятков миллиардов долларов, что делает данный инцидент самым дорогим в истории. Но я бы пока поостерегся делать какие-то оценки, не видя результатов слушаний в Конгрессе, расследования со стороны регуляторов, исков со стороны юридических фирм, которые сейчас готовятся как со стороны пострадавших клиентов, так и со стороны акционеров.

Курс акций CrowdStrike упал на 20% и акционеры потеряли не менее 15 миллиардов долларов. Это же тоже потери (и не столько CrowdStrike).

В разосланном агентством Moody’s отчете говорится:

«Мы ожидаем, что андеррайтеры оценят масштаб и характер события [с CrowdStrike] и скорректируют свои услуги андеррайтинга, сосредоточив внимание на покрытии системных сбоев. Хотя страховщики улучшили свои возможности по анализу потенциальных застрахованных убытков, связанных с отдельными утечками данных, потерями от программ-вымогателей и перерывами в работе бизнеса, анализ широкомасштабных сбоев по-прежнему остается сложной задачей. Кибермоделирование продвинулось вперед, но риски постоянно меняются, что создает неопределенность в отношении частоты и вероятности киберкатастроф. Сбой CrowdStrike побудит к дальнейшему изучению агрегирования рисков и методов моделирования, а также подстегнет спрос на страхование киберрисков«.

Я соглашусь с оценкой Moody’s, что данный сбой заставит многих страховщиков пересмотреть свои подходы к оценке событий с катастрофическими последствиями, а у нас страховые смогут не совершать ошибок, на которые «наступили» иностранцы и еще наступят, так как, возможно, они еще понесут убытки из-за нечетких формулировок к своих полисах и сослаться на форс-мажор, как это в свое время сделала страховая компания Zurich, отказавшись в 2018-м году выплачивать 100 миллионов долларов компании Mondelez (владеет брендами Orio, Cadbury, Toblerone и т.п.), посчитав, что атака шифровальщика NotPetya была проявлением кибервойны.

О возможных убытках для страховщиков киберрисков говорил и Уоррен Баффет на ежегодном собрании акционеров инвестиционной компании Berkshire Hathaway. По мнению Баффета в этом бизнесе слишком много неопределенностей и рисков, что создает большие сложности для андеррайтинга и не позволяет компании одного из богатейших людей мира активно заниматься этим видом бизнеса, несмотря на то, что Berkshire Hathaway является одной из крупнейших страховых и перестраховочных компаний в мире (входит в десятку).

По словам Аджита Джайна, преемника Баффета, на годовом собрании это приносило страховщикам прибыль, по крайней мере, на сегодняшний день. Он назвал текущую прибыльность «довольно высокой» — не менее 20% общей премии попадает в карманы страховщиков. Но послание Berkshire Hathaway страховым агентам носило предостерегающий характер.

Киберстрахование стало очень модным продуктом
Аджит Джайн, глава страхового бизнеса и вице-президент Berkshire Hathaway
Потенциал агрегирования киберрисков может быть огромным и нас пугает отсутствие возможности управлять ими в случае наступления худшего сценария развития событий.

 

Основная причина заключается в сложности оценки того, как убытки от единичного и, казалось бы, незначительного происшествия перерастают в совокупность потенциальных катастрофических потерь от «кибер»-события.

Уоррен Баффет, глава Berkshire Hathaway
Нет места, где подобная дилемма возникает больше, чем в киберпространстве. Вы можете получить совокупность рисков, о которых вы даже не мечтали, и, возможно, хуже, чем какое-нибудь землетрясение, которое произойдет где-то.

Хотя Баффет и предупреждал всех о возможных рисках, его компания является сегодня шестой в мире по объему выданных полисов киберстрахования. Но, как мы видим, предостережение, данное в мае, реализовалось всего спустя полтора месяца и страховщики теперь начнут более осмотрительно готовить полисы страхования.

Страховая компания Fitch Rating считает, что инцидент с CrowdStrike, не стал еще той косточкой домино, которая, качнувшись, потянула за собой весь рынок страхования и колоссальные убытки для экономики, став агрегированным событием, о котором говорили Баффет и Джайн. При этом Fitch оценивает застрахованные потери от коллапса 19-го июля в 10 миллиардов долларов, что больше оценок Parametrix и CyberCube на порядок, но все-таки еще не является катастрофическим; исключая может быть некоторых страховщиков, неправильно оценивших свои риски и риски клиентов.

Жозефина Вольфф, профессор в области политики кибербезопасности, Школа Флетчера Университета Тафт
Еще довольно рано оценивать объем претензий, которые страховщики получат из-за CrowdStrike, но я чувствую, что будет много исков о прерывании бизнеса во всех секторах промышленности, просто исходя из последствий, которые мы видели и о которых писали новости. И это будет очень плохая ситуация для страховщиков.

Если попробовать подытожить все оценки, то оптимистичной можно назвать оценку Parametrix в 5,4 миллиарда долларов потерь. Оценка Fitch в несколько десятков миллиардов относится скорее к верхней границе, а цифры CyberCube (15 миллиардов) являются скорее неким средним значением, на которое я бы и ориентировался на сегодняшний день!

Многие эксперты сравнивают кейс CrowdStrike с инцидентом 2017-го года с вредоносом NotPetya, масштаб ущерба от которого оценивается в 10 миллиардов долларов. При этом эксперты считают, что в отличие от истории семилетней давности, сейчас воздействие на бизнес было существенно большим, чем тогда.

Заметка Какова цена инцидента с CrowdStrike или причем тут андеррайтинг и Уоррен Баффет? была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь