Искаженные данные и плохое взаимодействие тормозят развитие киберстрахования

Искаженные данные и плохое взаимодействие тормозят развитие киберстрахования

Только 29% американских компаний имеют полис киберстрахования. Компания Deloitte объясняет шаги, которые следует предпринять страховым компаниям для усовершенствования моделей риска, взаимодействия и политики продаж.

Согласно отчету, который компания Deloitte выпустила на этой неделе, уровень продажи полисов киберстрахования страдает от нехватки общих данных об инцидентах в сфере безопасности, стандартов и недостаточного внимания к снижению рисков для страховщиков или клиентов.

Размер современного рынка киберстрахования колеблется от $1,5 млрд до $3 млрд.

Многим компаниям еще предстоит приобрести полис киберстрахования: менее 1/3 американских компаний (29%) уже сделали это (по состоянию на октябрь 2016 год). Эти данные получены в результате опроса, проведенного Советом Страховых Агентов и Брокеров. Согласно отчету компании Deloitte , из тех компаний или организаций, которые все же приобрели полис киберстрахования, многие застрахованы недостаточно.

«В результате сентябрьского исследования CIAB было обнаружено, что только 40% из списка крупнейших компаний Fortune 500 имели киберстраховку, в то время, как те, которые обладали ею, все же не были застрахованы в полной мере», — говорится в докладе.

Может это и звучит как тактика запугивания, с целью побудить клиентов покупать или расширять полисы киберстрахования, но это вовсе не так. Отчет компании Deloitte больше сфокусирован на том, что могут сделать страховые компании для того, чтобы улучшить полисы, стандартизировать используемые термины, обучить клиентов и агентов / брокеров, продающих полисы.

Часть проблемы проистекает из того, что именно представляет собой страховой полис. Хотя на выбор предложено много отдельных киберстраховых полисов, некоторые клиенты приобретают киберпокрытие в рамках страхования бизнеса. Полисы общей ответственности также иногда включают в себя ограниченную киберзащиту. Киберпокрытие может включаться и в полис страхования на случай коммерческого срыва.

«Терминология остается одной из серьезных проблем», — говорит Фридман. «Наблюдается отсутствие единых стандартов в самой формулировке».

В рамках отдельных полисов киберстрахования, например, три страховых компании будут предлагать три совершенно разных условия страховой компенсации. Различия будут наблюдаться и в терминологии, и в видах страхового покрытия.

Компания Deloitte также указывает на то, что несмотря на более, чем 20 лет нарушений, взломов и атак с использованием вредоносных программ, в компаниях наблюдается отсутствие необходимого обеспечения безопасности данных, что, в конечном итоге, подрывает любые гарантии. Проблема заключается в том, что большинство компаний юридически не обязаны раскрывать нарушения, если они не связаны с данными клиентов. Это приводит к погрешностям в отчетности, что, в свою очередь, влияет и на формулировку страхового полиса, и на его стоимость.

Фридман также связывает искажение данных с регуляторными правилами, которые влияют на компании, работающие в сфере здравоохранений и финансовых услуг, чаще, чем на другие вертикальные отрасли промышленности. Таким образом, в то время как наблюдается большой объем данных о проблемах безопасности в этих двух отраслях, имеющаяся информация не отражает того, что происходит в совокупности во всех отраслях промышленности.

До тех пор, как это состояние сохраняется, модели риска страховых компаний не будут ничем отличаться от искаженных данных.

Компания Deloitte рекомендует страховщикам реализовать различные модели рисков, основанные на конкретной информации, которые отличаются от прогнозирующих моделей.

В отчете также отмечено, что страховщики не слишком проворны в отслеживании постоянно меняющегося характера угроз. Новые угрозы, или «риски» на языке страхования, включают в себя целую гамму инцидентов, начиная от вымогателей и заканчивая Интернетом Вещей. Даже целые государства становятся инициаторами кибератак.

«Поскольку базовые риски постоянно меняются, страховщики только успевают адаптироваться к одному типу атаки, как сталкиваются с новой угрозой. Это делает непрерывное управление рисками чрезвычайно затруднительным», — говорит представитель компании Deloitte. «Ключ к решению проблемы может заключаться в том, чтобы стать полноценным менеджером по управлению рисками компании».

Фридман говорит, что клиентам достаточно трудно выяснить точно, что именно им нужно, при приобретении полиса киберстрахования, и еще труднее понять, что именно они покупают. «Большинство клиентов очень сильно зависят от брокеров, а в некоторых случаях брокеры не слишком хорошо информированы об изменении характера риска», — говорит он, добавляя, что здесь особо важным может оказаться взаимодействие и обучение.

Фридман призывает страховщиков обращать больше внимания на то, что клиент делает для защиты своих киберактивов и ресурсов, а также как реагирует и справляется с киберинцидентами. «Страховщики могут оказать в этом помощь, предложить снижение рисков и поддержку», — говорит он.

Страховые компании – не просто продавцы страховых полисов, они также, в свою очередь, являются и потребителями. Многие из них обладают сложными сетями обеспечения безопасности и работают с национальными организациями для обмена информацией об угрозах.

«Они очень редко используют то, что делают для себя с тем, в процессе продажи страховых полисов», — говорит Фридман. «Им стоило бы принимать это во внимание в процессе оценки риска, а также для оказания помощи своим клиентам».

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации