Новости ДедалИнфо
Может ли у NotPetya расти хвост?
Риск киберкатастрофы было трудно понять и проанализировать. Новые поставщики емкости [перестрахования], чувствуя себя слепыми, когда дело доходит до катастрофы в киберпространстве, неохотно выделяли средства сектору. Они могли бы быть заинтересованы в подписании контрактов по кибер, но не до тех пор, пока их позиции подвержены риску киберкатастрофы.
Это особенно верно для фондов ценных бумаг, связанных со страхованием (Insurance-linked Securies, ILS). Для них часть проблемы входа в кибер (пере)страхование заключалась в понимании того, как может выглядеть киберкатастрофа, учитывая, что не было большой истории для оценки. Было мнение, что киберкатастрофы будут иметь длинные хвосты, особенно из-за претензий профессиональных линий, на урегулирование которых могли уйти годы. Это, в дополнение к общему риску взаимосвязанных убытков, поражающих баланс в одно и то же время, затрудняло для поставщиков емкости [перестрахования] выделение средств на киберпространство, что, в свою очередь, сдерживало рост сектора.
Первоначально казалось, что NotPetya будет довольно безобидной киберкатастрофой, заставив рынок усомниться в преобладающей мудрости о долгосрочных рисках от профессиональных линий (таких как D&O). Однако событие эволюционировало, что дает больше возможностей для обучения на примере первой глобальной киберкатастрофы, обозначенной департаментом урегулирования при имущественном страховании (Property Claim Services, PCS).
Урок 1: сложно предсказать взрывоопасные киберкатастрофы
Тщательный анализ обычно был бы решением этой проблемы, но сектору кибер (пере)страхования не хватает пищи для такого рода усилий. Команда PCS рассмотрела экономические потери от крупных кибер событий за последние 20 лет, причем дюжина из них достигла не менее 500 миллионов долларов США. Хотя каждое крупное событие несет уроки для носителей риска, быстро меняющиеся обстоятельства, усугубляемые временем, могут свести на нет преимущества обучения на основе прошлого и затруднить размещение капитала.
Только две из вышеупомянутых киберкатастроф привели к прямым значимым потерям для мировой страховой отрасли: WannaCry и NotPetya. WannaCry нанес значительный экономический ущерб, но его влияние на страховую отрасль составило всего 50–60 миллионов долларов США. Конечно, NotPetya привел к застрахованным убыткам на сумму более 3 миллиардов долларов США, и это событие все еще развивается. Другая, LockerGoga, казалось, была готова вызвать нетривиальные застрахованные убытки по всей отрасли. Однако после утвердительного киберубытка Norsk Hydro, похоже, что динамика немного замедлилась, и пять других отслеживаемых компаний, по-видимому, имели экономические риски, но незначительные в плане страховых последствий. (Мы продолжаем следить за LockerGoga на предмет развития страховой отрасли.)
Урок 2: это гораздо больше, чем просто хвост CyberCAT
Итак, чем WannaCry и NotPetya отличаются друг от друга? Некоторые полагают, что экономический эффект WannaCry на самом деле был больше, чем у NotPetya, несмотря на дисбаланс в последствиях для страховой отрасли.
NotPetya, по-видимому, повлиял на более крупные компании таким образом, что это привело к более тесному взаимодействию со страховой отраслью, учитывая последствия перерыва в работе, которые были актуальны для программ страхования имущества. Это была не единственная причина гораздо более крупных убытков, о которых сообщалось для NotPetya. Два крупных убытка от рисков составили более 80 процентов застрахованных убытков от события в размере более 3 миллиардов долларов США. Без них общий застрахованный убыток — не говоря уже об экономических убытках — был бы гораздо скромнее, а воздействие на мировую страховую отрасль было бы сопоставимо с воздействием особенно сильного града в одном штате.
Нехватка прецедентов заставила мировую (пере)страховую отрасль особенно тщательно изучить NotPetya, прочесывая ее в поисках всех возможных идей, которые можно было бы использовать для анализа и прогнозирования. До этого события мировая (пере)страховая отрасль была сосредоточена на том, какое влияние кибератака может оказать на рынок профессиональных линий, но имущественные потери от NotPetya сместили фокус нашего сообщества. Однако стоит пересмотреть потенциальные проблемы, связанные с претензиями по профессиональным линиям из-за киберсобытия. Похоже, что эта проблема скоро станет актуальной для рынка.
В прошлые годы участники рынка на обочине киберсектора беспокоились, что претензия директоров и должностных лиц (D&O) представляет собой кошмарный сценарий. Претензии D&O могут тянуться годами, и даже успешное рассмотрение претензий может быть дорогостоящим и обременительным делом. Теперь подумайте, что это означает для претензии D&O, возникшей в результате кибератаки. Все проблемы, которые существуют для претензий по профессиональным линиям в хороший день, возникают в случае «тихого кибер» случая — такого рода причины, которые, возможно, не были предусмотрены первоначальным покрытием. Это тот тип трудностей, который удерживал некоторых страховщиков и перестраховщиков от выхода на рынок — особенно на рынки с обеспечением, которые беспокоятся о риске денежных задержек во время затянувшегося процесса обработки претензий.
В течение первых двух лет своего развития NotPetya оставался в основном имущественным событием. Примерно 85 процентов застрахованных убытков от события составляло неутвержденное [не покрытое полисом- прим. Г.И.А] имущество. Хотя по ходу дела возникали некоторые вопросы и опасения, NotPetya стал довольно стабильным быстрее, чем кто-либо ожидал от киберкатастрофы. Это не значит, что потери в отрасли приближались к окончательному результату; в катастрофических событиях всегда возникают споры. Но процесс был довольно гладким.
Теперь это может измениться.
Урок 3: D&O наконец-то вступает в силу?
Согласно календарю полиса D&O, коллективный иск акционеров возник из-за воздействия NotPetya на дочернюю компанию FedEx TNT Express. PCS Global Cyber™ неофициально наблюдала за событиями и отразила экономическое воздействие в своих бюллетенях, которые мы предоставляем нашим подписчикам. Потенциальное воздействие на оценку застрахованных убытков отрасли не является тривиальным, как и продолжительность развития самого события.
Анекдотический сбор экономических потерь от событий, обозначенных PCS как киберкатастрофы, дает некоторое представление о том, что здесь происходит. Мы обнаружили, что экономическое воздействие атаки NotPetya на FedEx составило около 1 млрд долларов США, по сравнению с первоначально раскрытыми 300 млн долларов США. Является ли это общим риском от событий, обсуждаемых согласно календарю полисов D&O, еще предстоит выяснить по мере развития дела. Но выявленное экономическое воздействие на данный момент дает отправную точку для анализа. Если бы это экономическое воздействие стало застрахованным убытком, это привело бы к увеличению более чем на 30 процентов общего застрахованного убытка отрасли от NotPetya. Кроме того, это дало бы еще одно измерение для анализа, поскольку андеррайтеры кибер перестрахования смогли бы сегментировать утвердительные киберубытки, неутвержденные киберубытки для имущества и неутвержденные киберубытки от профессиональных линий.
Сегментация по классам бизнеса также могла бы превратить практические уроки NotPetya в краткосрочную гибкость передачи риска. Цеденты и перестраховщики могли бы использовать более детализированные триггеры, чтобы сократить хвост и сосредоточиться на конкретных рисках, которые они хотят обменять, вместо того, чтобы использовать подход «все или ничего» к хвосту. Например, инструмент мог бы включать утвердительные киберубытки и неутвержденные киберубытки, исключая иски D&O и E&O. В NotPetya для возникновения иска D&O потребовалось два года, в то время как имущественные и утвердительные киберубытки были довольно стабильными к тому времени.
Киберкатастрофы остаются новым и малоизученным направлением бизнеса, но уроки приходят каждый день. Конечно, единственный настоящий источник опыта — это участие в рынке. А там, где есть изначальный риск, который нужно покрыть, есть возможность для прибыльного роста.