Сможет ли развитие киберстрахования в Казахстане обеспечить снижение рисков кибербезопасности: опыт США и Великобритании

На современном этапе цифровизация является стратегическим приоритетом развития всех стран мира. Согласно Digital 2022 global overview report, 62,5% населения мира пользуется интернетом, что больше показателя прошлого года на 4%. Внедрение цифровых и информационно-коммуникационных технологий в экономику позволяет государству, бизнесу и обществу взаимодействовать с максимальной эффективностью при минимальных трансакционных издержках. Цифровизация отраслей экономики, которая является главной целью государственной программы «Цифровой Казахстан», позволяет стране продвигаться от постиндустриальной экономики к информационной. Она начала реализовываться в 2018 году, и на сегодняшний день Казахстан добился значительных успехов в области цифровизации. По итогам 2022 года, Казахстан вошел в рейтинг 30 наиболее оцифрованных государств ООН. В мировом рейтинге Казахстан занимает 51 место в Индексе развития ИКТ, 58 место в Индексе сетевой готовности. Объемы оказанных ИТ-услуг в Казахстане перманентно растут. Так, в 2022 году Казахстан оказал услуги в данной сфере общей стоимостью 946,2 млрд тенге, что в стоимостном выражении на 68% больше, чем в 2021 году. 

При таком значительном росте цифровизации в 2022 году на деятельность в области кибербезопасности было выделено всего 24,5 млрд тенге. Несмотря на то, что это в 1,7 раз превышает показатель прошлого года, затраты Казахстана на обеспечение кибербезопасности составляют всего 2,5% от общего объема ИТ-услуг. На фоне значительного роста цифровизации экономики при относительно низком уровне защиты, в Казахстане высокими темпами растет киберпреступность. Киберпреступления — это преступные действия, совершаемые с использованием компьютерных сетей, цифровых технологий или интернета. Они включают широкий спектр преступлений, которые могут быть направлены на компьютерные системы, данные или людей, использующих электронные устройства.

Таблица 1.

составлено автором на основе данных МВД РК 

Одновременно с взятым курсом на цифровизацию, Казахстан начал вести статистику по киберпреступлениям в 2018 году, когда было зарегистрировано 517 случаев. Однако с каждым годом статистика данного показателя все время росла (см. таблицу 1), а в 2023 году, по данным международной конференции Kaspersky Cyber Security Weekend, Казахстан занял 7 место в мире по количеству киберпреступлений. Таким образом, за последние несколько лет удаленная работа и быстрая цифровизация подчеркнули проблему кибербезопасности. По мере продвижения поиска подходов к предотвращению киберпреступлений, смягчению их последствий и восстановлению, одним из инструментов, который набирает обороты во многих странах мира, является киберстрахование. В связи с этим, для Казахстана становится актуальным вопрос о необходимости привлечении специалистов в области рынка киберстрахования. В данном обзоре будет рассмотрена структура и анализ уже существующих рынков киберстрахования.

Первые полисы киберстрахования появились еще в 1990-х годах, поскольку в этот период предприятия и организации начали все больше зависеть от компьютерных сетей и интернета. Рынок киберстрахования впервые появился и наиболее развит в США, особенно на фоне событий 2002 года, когда в штатах вступил в силу закон об обязательном уведомлении утечки данных и нарушениях безопасности. Xiaoying Xie, Charles Lee, Martin Eling в своей статье (2020) изучают рынок киберстрахования США с 2015 по 2017 г.г. 

Авторы определяют киберриск как риск с высокой степенью воздействия из-за сильной информационной асимметрии, отсутствия данных для оценки данного типа риска и высокой вероятности катастрофических потерь. Тем не менее, авторы определяют киберстрахование как потенциально ведущую отрасль  в сфере страхования имущества от несчастных случаев. Несмотря на то, что рынок киберстрахования в США все еще находится на этапе развития, он является крупнейшим рынком такого рода в мире. 

В последние десять лет отрасль страхования в США работала в условиях снижающегося спроса при избыточных возможностях андеррайтинга. В то же время низкие процентные ставки привели к снижению доходности инвестиций, что вынуждает страховщиков извлекать прибыль из андеррайтинга. Работа авторов, прежде всего, состоит в регрессионном анализе выдвинутых ими гипотез. Циклический характер мировой экономики и высокий уровень конкуренции ограничили рост и прибыльность страховщиков. Сталкиваясь с ограничениями роста, страховщики с большей вероятностью диверсифицируют свои продуктовые линейки, чтобы выйти на новые рынки или виды деятельности, в которых фирма уже обладает необходимыми знаниями. Основываясь на данной теории, авторы выдвинули первую гипотезу, которая заключается в том, что страховщики, которые столкнулись с препятствием для роста бизнеса, с большей вероятностью будут участвовать в киберстраховании. 

Вторая гипотеза авторов основана на теории конкурентных преимуществ. Установленные конкурентные преимущества между отраслями являются основными факторами, определяющими решения о диверсификации и степени оптимальной диверсификации, а также о прибыльности фирмы в этой отрасли. В случае киберрисков взаимозависимые потери и высокая глобальная корреляция являются сдерживающими факторами для участия в киберстраховании. Однако страховщики могут получить конкурентные преимущества за счет решения других проблем киберстрахования, таких как отсутствие данных об убытках и асимметрия информации. Накопленные данные по андеррайтингу и сам опыт андеррайтинга являются потенциальными конкурентными преимуществами для киберстраховщиков, из чего авторы делают вывод о том, что создание конкурентного преимущества является важнейшей предпосылкой для потенциальных киберстраховщиков. Перестраховщики эксцедентного перестрахования играют наиболее важную роль на рынке нестандартного страхования, обеспечивая покрытие крупных, проблемных и уникальных рисков. Поскольку специализированное киберстрахование изначально было обеспечено перестраховщиками эксцедентного перестрахования, они, по мнению авторов, будут иметь более надежные данные об убытках и больший опыт андеррайтинга, чем другие страховщики и перестраховщики. Авторы утверждают, что перестраховщики эксцедентного перестрахования имеют конкурентное преимущество в оценке и анализе киберрисков. Кроме того, такие конкурентные преимущества могут быть переданы посредством внутреннего обмена данными между страховщиками и перестраховщиками. Таким образом, авторами выдвинута вторая гипотеза: перестраховщики эксцедентного перестрахования и их перестрахователи с большей вероятностью будут участвовать в киберстраховании. Кроме того, в работе указана третья гипотеза, которая заключает, что страховщики, которые наиболее диверсифицированы по географическим регионам, с большей вероятностью будут участвовать в киберстраховании. 

Отмечается, что за изучаемый период количество участников рынка киберстрахования увеличилось с 453 до 615. Этот рост обусловлен увеличением числа страховых компаний, которые предлагают коробочное покрытие (packaged insurance; страховой полис, в который включены наиболее распространенные риски, перечень которых определен заранее) кибербезопасности и кражи личных данных, в то время как количество компаний, которые предоставляют отдельное покрытие (stand-alone insurance; страховой полис, который покрывает определенный риск, выдвинутый страхователем) данных рисков, остается неизменным. За указанный период количество перестраховщиков эксцедентного перестрахования увеличилось с 55 до 78, что говорит об увеличении их интереса к киберстрахованию. Среди страховщиков, которые предлагают отдельное покрытие киберрисков, одна треть является перестраховщиками эксцедентного перестрахования и около половины – связанные с ними. Авторы отмечают, что несмотря на то, что за 2017 год доля киберстрахования в общей отрасли страхования составила всего 0,34%, киберстрахование испытало огромный рост за изученный период – сумма премий увеличилась в 2 раза. Они приходят к выводу, что киберстрахование все чаще будет рассматриваться как отдельный страховой продукт. При этом следует отметить, что около 60% полисов киберстрахования оформляется организациями, использующими услуги эксцедентного перестрахования, что подтверждает вторую гипотезу.

Регрессионный анализ показал следующие результаты: преодоление ограничений роста не является преобладающим мотивом для большинства страховщиков внедриться в рынок киберстрахования, но может стимулировать некоторых страховщиков, которые работают в смежных с киберстрахованием сферах. Таким образом, первая гипотеза подтверждена лишь частично. Тем не менее, полностью подтвердились вторая и третья гипотезы. 

Большинство результатов для контрольных переменных соответствуют ожиданиям авторов. Более крупные страховщики с большей вероятностью предложат полис киберстрахования (как коробочное покрытие, так и отдельное). Однако взаимные страховщики с меньшей вероятностью предложат отдельное покрытие, но с большей вероятностью предложат коробочное покрытие. Этот результат подтверждает оба прогноза о взаимосвязи между организационной формой и предложением киберстрахования, поскольку коробочное покрытие удовлетворяет спрос страхователей. Кроме того, результаты анализа показали, что страховщики с более рискованными активами с меньшей вероятностью будут участвовать в рынке киберстрахования. Страховщики с более высоким рейтингом финансовой устойчивости с большей вероятностью предложат коробочное покрытие кибербезопасности. Страховщики с более высоким страховым левериджем (аналог финансового рычага в страховании) с меньшей вероятностью будут предлагать киберстрахование, особенно отдельный полис киберстрахования, что позволяет предположить, что выделение страхования кибербезопасности в качестве отдельной сферы в отрасли может потребовать большей поддержки капитала.

Как новое направление страхования, киберстрахование оказалось прибыльным на отраслевом уровне – максимальный коэффициент убыточности (отношение убытков к полученным премиям) составил 44,7% в 2016 году. Таким образом, на каждый выплаченный клиентам доллар за страховой случай вся отрасль киберстрахования получает примерно 2,2 доллара премии. Однако доходность изменчива, а коэффициент убыточности на уровне отдельной фирмы значительно различается. Средний общий коэффициент убыточности на рынке киберстрахования составил 0%, что говорит о том, что большинству страховщиков еще предстоит столкнуться с киберпретензиями. Размер фирмы, совместная организационная форма и степень диверсификации — все это демонстрирует значительную связь с прибыльностью андеррайтинга. Кроме того, авторы обнаружили, что краткосрочное увеличение коэффициента убыточности более чувствительно к серьезности претензий, чем к частоте претензий, и не обусловлено ростом премий. Выводы авторов подтверждают возможность серьезного ущерба от катастрофических киберсобытий, особенно при отдельном покрытии.

В исследовании (2021) MacColl, Nurse, Sullivan выявляют основные тенденции развития рынка киберстрахования в Великобритании и определяют ключевые факторы сдерживающего развития данной сферы. 

Прежде всего, авторы отмечают, что полисы киберстрахования не имеют каких-либо стандартов, однако общие характеристики включают в себя покрытие рисков, связанных с деятельностью первой и третьей сторон, прерыванием бизнеса, ответственностью перед третьими лицами, потерей данных и/или программного обеспечения, кибервымогательством и расходами на уведомление регулирующих органов. Киберстрахование предназначено для передачи остаточного риска, то есть ситуации, когда все другие, более традиционные методы, не сработали. Исследование, которое провели авторы, показало, что киберстрахование способствует лучшему осмыслению риска среди предприятий. Киберстраховщики могут сформулировать для покупателя конкретный киберриск и помочь разработать стратегии и процессы для его снижения.

Услуги киберстрахования можно разделить на два вида: пост-инцидентные и пред-инцидентные услуги. Услуги после инцидента, которые представляют собой доступ покупателей киберполиса к экспертным знаниям и помощи в период кризисов, стали стимулом для развития рынка киберстрахования. В качестве наиболее распространенной пост-инцидентной услуги киберстрахования, которая снижает потери и влияние инцидента, приводится юридическая поддержка и другие сопутствующие услуги после взлома. Ценность таких услуг особо важна для МСП, так как у них, в отличие от крупных предприятий, меньше возможностей для набора собственных специалистов, которые могли бы как-то содействовать снижению киберрисков. Кроме того, в британских полисах киберстрахования распространены такие пост-инцидентные услуги, как страхование от упущенной выгоды или прибыли, страхование от потери данных, помощь в реагировании на инциденты после нарушения, помощь в криминалистическом анализе нарушений, помощь в управлении репутацией после взлома. 

Важно отметить, что пост-инцидентные услуги служат для минимизации влияния киберрисков страхователя. Таким образом, они представляют собой скорее ответную, чем превентивную меру для повышения киберустойчивости. Для предотвращения возникновения страхового случая на рынке киберстрахования представлен ряд услуг пред-инцидентного характера. Именно эти услуги авторы выделяют как меры по предоставлению кибербезопасности. На современном этапе данные услуги становятся все более популярными, так как они защищают не только страхователей, но и страховщиков за счет повышения стимулов к покупке полиса киберстрахования. Анализ британских страховых компаний выделил следующие основные виды пред-инцидентных услуг: обучение персонала, услуги по оценке киберрисков и уровня уязвимости компании, анализ потенциальных угроз, доступ к виртуальному директору по информационной безопасности (CISO), решение по управлению паролями. При этом существуют вопросы, связанные с эффективностью данного вида услуг. Исследование авторов показали, что из всех пользователей услугами рынка киберстрахования, только 28% приобрели пред-инцидентные услуги, потребности только 48% из их числа оказались удовлетворены. Авторы отмечают, что положительный эффект киберстрахования на данный момент еще не реализован полностью. Несмотря на достаточно большое количество успешных кейсов, когда речь заходит о стимулировании кибербезопасности, киберстрахование все еще находится на этапе перехода от теории к практике. На своем нынешнем этапе киберстрахование больше представляет собой средство обеспечения киберустойчивости, а не инструмент снижения киберрисков. То есть, пост-инцидентные услуги превалируют над пред-инцидентными, о чем ясно говорит недавно представленная статистика. Авторы работы провели анализ страховой отрасли, на основе которого выявили ключевые факторы, препятствующие полной реализации потенциала рынка киберстрахования. Они включат в себя следующие аспекты:

1. Динамика рынка киберстрахования. Киберстрахование является одним из самых новых видов страхования, оно все еще находится в процессе формирования. В результате «никто не знает, как сделать правильно, многое еще не прояснено». Происходят неточности и ошибки в области оценки киберрисков, отрасль испытывает сложности с привлечением специалистов. Рынок киберстрахования отличается низкими барьерами входа, что влечет за собой высокий уровень конкуренции. И хотя конкуренция может стимулировать инновации и снижать затраты потребителей, но для рынка киберстрахования это может иметь и отрицательный эффект: в погоне за клиентами, некоторые страховщики могут снижать требования и стандарты оценки киберрисков с целью «уменьшить трения в сделке».

2. Определение минимальных стандартов. В отличие от более зрелых видов страхования, киберстрахование не имеет стандартизированных требований, что позволяет страхователям просто выбрать того страховщика, который задает наименьшее количество вопросов и предъявляет менее строгие требования к безопасности. 

3. Сбор и моделирование данных о киберрисках. Киберриски трудно поддаются количественной оценке, что, в свою очередь, ограничивает возможности страховщиков точно оценить профиль риска организации или методы обеспечения безопасности. На современном этапе имеется ограниченный объем информации о киберпреступлениях, что значительно затрудняет моделирование и оценку рисков. Это является результатом как новизны отрасли, так и отсутствием сообщения между киберстраховщиками для обмена опытом. Потенциально более серьезная проблема заключается в том, что даже если страховщику будет доступен большой объем информации, она может быть ненадежной из-за нематериального, динамического и системного характера киберриска. 

4. Опасения по поводу финансовой устойчивости рынка киберстрахования. Системность киберриска породила опасения о том, что какой-либо глобальный инцидент может сделать страховщиков и перестраховщиков неплатежеспособными. Отчасти это может быть следствием ситуации, когда страховщики стараются привлечь клиентов за счет снижения премий и стандартов оценки риска. Кроме того, на современном этапе причиной убытков киберстрахования являются так называемые программы-вымогатели, которые представляют собой риск с высокой степенью воздействия и высокой вероятностью. 

5. Низкий охват рынком киберстрахования целевой аудитории. Неспособность организаций осознать, насколько они уязвимы к киберпреступлениям, приводит к выводу о неэффективности полиса киберстрахования с точки зрения затрат. С одной стороны, осведомленность о кибербезопасности растет. Так, по итогам 2020 года 80% опрошенных предприятий Великобритании заявили о том, что считают кибербезопасность своим приоритетом, в то время как в 2016 году таких предприятий было на 11% меньше. Однако неосязаемый характер киберриска затрудняет его возможные финансовые последствия его возникновения и осложняет принятие ценности киберстрахования. Некоторые потенциальные страхователи считают, что они уже защищены соответствующими полисами в отношении имущества и ответственности, а некоторые – что киберстрахование не соответствует их потребностям. Отсюда вытекает еще одна причина – отсутствие доверия к киберстрахованию; уверенность в том, что оно не окупится, и что это неэффективный способ управления рисками. Кроме того, в качестве еще одной причины низкого охвата, также можно выделить высокую стоимость отдельных полисов киберстрахования по сравнению с другими страховыми полисами. 

6. Стимулирование негативного поведения. Такое явление, как моральный риск, представляет собой ситуацию, когда организации начинают меньше инвестировать в предотвращение рисков, если считают, что полис страхования разрешит инцидент и/или покроет его возникновение. С точки зрения бизнеса эмпирические данные, собранные авторами статьи, подчеркивают, что феномен морального риска не возникает в масштабах киберстрахования как минимум потому, что полис киберстрахования не покрывает все возникающие киберриски. Например, киберстрахование не покрывает долгосрочные репутационные издержки, которые могут возникнуть в результате утечки данных. Кроме того, не существует такой суммы выплат, которая могла бы покрыть серьезную потерю репутации. Однако киберстраховщики могут непреднамеренно способствовать поведению киберпреступников, способствуя росту целевых операций программ-вымогателей.

Для преодоления всех проблем, которые стоят перед отраслью, авторы статьи определяют ряд мероприятий для страховой отрасли и политиков. Решить проблему ограниченности рынка киберстрахования, согласно авторам, возможно только при содействии Правительства. В конечном счете, для достижения успеха все усилия должны дополнять друг друга и координироваться. Меры по увеличению эффективности рынка киберстрахования могут включать в себя новые подходы по определению минимума стандарта безопасности, обмен данными и борьба с программами-вымогателями. Правильно функционирующая и более коллегиальная страховая отрасль может помочь правоохранительным органам и национальным центрам кибербезопасности выявлять угрозы, действующие в конкретной отрасли или секторе. 

Таким образом, можно отметить, что даже в наиболее развитых экономиках рынок киберстрахования недостаточно прогрессивен и занимает очень небольшую долю в отрасли страхования. Исходя из этого, а также из ограничений, которые привели в своих исследованиях авторы, можно сделать вывод о нецелесообразности внедрения рынка киберстрахования в экономику Казахстана на современном этапе. Появление данного рынка не принесет ожидаемого от него эффекта. Стоит отметить, что анализ рынков киберстрахования был приведен на основе развитых экономик. В случае с Казахстаном, являющейся развивающейся экономикой, сдерживающие факторы развития рынка киберстрахования будут действовать в большей степени. Казахстан, активно внедряющий цифровые технологии и добившийся существенных результатов в этой области, безусловно нуждается в новых, современных мерах по снижению и предотвращению киберрисков, к которым относится киберстрахование. Однако, для нормально функционирующего рынка киберстрахования необходимо провести ряд мероприятий, которые включают в себя подготовку квалифицированных казахстанских кадров в области ИТ-технологий и оценки киберрисков, разработку новых систем безопасности и повышение осведомленности населения о мошеннических схемах киберпреступников. Страховым компаниям Казахстана необходим обмен данными между страховыми организациями стран, внедривших киберстрахование, для сбора базы информации для дальнейшего ведения деятельности.