Кіберризики та геополітика — Нові можливості для страхування

У цій статті були використані матеріали Allianz Risk Barometer 2025 та подкасту Девіда Беньона (David Benyon), де він розмовляє зі сером Срджаном Тодоровичем (Srdjan Todorovic), керівником відділу політичного насильства та рішень в умовах ворожого середовища в Allianz Commercial. Ця тема важлива як для страховиків, брокерів, так і для клієнтів.

Геополітика стала наскрізною темою звіту, охоплюючи ризики війни, тероризму, кібератак, перебоїв у бізнесі, ризиків ланцюгів постачання та урядових тарифів. У топ-10 ризиків є спільна тема — політичний клімат. Наприклад:

• Кібер: Найбільше турбує критична інфраструктура.
• Клімат: Зміни клімату викликають протести та зміну політики.
• Законодавство: Згадайте пенсійну реформу у Франції — вона вплинула на ризики політичного насильства.

Наприклад, World Economic Forum і Asset Management and Investors Council (AMIC)* теж називають геополітику топ-загрозою.

Найцікавіше — кібератаки на критичну інфраструктуру, також тісно пов'язані з геополітикою. 

57% респондентів назвали це одним із трьох головних ризиків. Це зросло з 53% у 2024 році. У 2022-2023 роках це навіть не входило до топу, що показує, як геополітичне загострення впливає на ризики. Раніше ми побоювалися кібератак з боку ІДІЛ, але тепер основна загроза — державні актори. Звичайні терористичні організації не мають ресурсів для масштабних атак на інфраструктуру. Чому? Успішна атака на критичну інфраструктуру вимагає значних ресурсів:

• Технологічних: Захист інфраструктури включає складні ІТ-системи.
• Фінансових: Необхідно інвестувати у висококваліфіковані кадри та тривалі операції.
• Операційних: Крім кодування, потрібні фізичні дії та координація.

Брокерам та клієнтам потрібно переглядати свої договори страхування. Справа в тому, що стандартні страхові поліси часто не включають захист від кібератак на фізичні об’єкти. Більшість полісів, які охоплюють політичне насильство та тероризм (Political Violence and Terrorism, PVT), не включають кібератаки на інфраструктуру. Це залишається «сірою зоною», яка потребує додаткового врегулювання. Такі атаки часто не підпадають під стандартні поліси, тому компаніям потрібно уточнювати умови страхування та розглядати спеціалізовані полісні рішення.

Які рекомендації для страхових компаній щодо покриття кіберризиків, з урахуванням актуальних загроз та тенденцій?

Більшість стандартних полісів (включаючи LMA 3030**) не охоплюють кібератаки на фізичну інфраструктуру.

Рішення:

• Додати до полісів покриття «Cyber-Physical Damage» — страхування фізичних збитків, спричинених кібератаками.
• Розробити ендорсмент до PVT-полісів, який включає кібератаки як форму саботажу або тероризму.
• Запровадити спеціальні «All-Risk Policies» для критичної інфраструктури.

Як зазначив Срджан Тодорович, саботаж стає окремим ризиком, і компаніям потрібно переглядати свої поліси. Якщо саботаж не включено до стандартного страхування, збитки можуть залишитися непокритими.

Бізнеси часто недооцінюють ризик кібератак на фізичну інфраструктуру. Які рішення можно предложить?

• Запровадити страхування з умовами «pre-loss» — знижки для клієнтів, які впроваджують заходи кібербезпеки.
• Надавати послуги з оцінки кіберризиків, аналізуючи:
  • Захист ІТ-інфраструктури.
  • Рівень готовності до кібератак.
  • Наявність плану реагування на інциденти.

Розглянемо докладніше ці питання.

Страхування з умовами "pre-loss" означає, що страхова компанія надає клієнтам послуги та заходи для зменшення ймовірності збитків до настання страхового випадку.

Основні особливості "pre-loss" страхування:

1. Оцінка ризиків:

   • Страховик аналізує слабкі місця клієнта, наприклад, у сфері кібербезпеки, фізичної охорони чи ланцюгів постачання.
   • Проводиться аудит систем захисту, якості управління ризиками, планів безперервності бізнесу.

2. Запобіжні заходи:

   • Рекомендації щодо покращення захисту: встановлення кібербар’єрів, фізичних систем безпеки, резервування даних тощо.
   • Впровадження систем моніторингу, щоб виявляти загрози на ранніх стадіях.

3. Фінансові стимули:

   • Клієнти, які впроваджують заходи з управління ризиками, можуть отримати нижчі страхові премії або кращі умови покриття.

4. Підготовка до інцидентів:

   • Страховик може проводити навчання персоналу, моделювання ризикових ситуацій (наприклад, кібератаки), а також допомагати у розробці планів реагування.

Приклад. Компанія, яка страхує свої ІТ-ресурси, може отримати знижку на поліс, якщо впровадить багаторівневу систему захисту, регулярно оновлюватиме програмне забезпечення та створить резервні копії даних. Такий підхід дозволяє страховим компаніям зменшити ймовірність збитків, а клієнтам — захистити бізнес і заощадити на страховці.

Короткі рекомендації для клієнтів, як оптимізувати ризики та отримати вигоду від страхування з умовами "pre-loss".

1. Оцінка ризиків (Risk Assessment)

• Проведіть аудит основних активів компанії: ІТ-систем, виробничих потужностей, ланцюгів постачання.
• Визначте найбільш вразливі точки, які можуть призвести до збитків.
• Залучіть страхового консультанта для аналізу специфічних ризиків вашої галузі.

Приклад: Перевірка кіберзахисту: наявність антивірусного ПЗ, оновлення систем, захист від фішингу.

2. Запобіжні заходи (Risk Mitigation)

• Впровадьте системи моніторингу та захисту: брандмауери, резервне копіювання, відеоспостереження.
• Розробіть план дій у надзвичайних ситуаціях (BCP – Business Continuity Plan).
• Організуйте навчання персоналу щодо безпеки, зокрема протидії кібератакам.

Приклад: Установка системи резервного копіювання даних у хмарному середовищі.

3. Страхові умови (Policy Optimization)

• Обговоріть із страховиком умови "pre-loss" і можливість зниження премій після впровадження заходів безпеки.
• Запитайте про ендорсмент на кіберзагрози, якщо бізнес залежить від цифрових технологій.
• Переконайтеся, що поліс охоплює бізнес-перерви (BI), навіть якщо інцидент не спричинив фізичних пошкоджень.

Приклад: Розширення полісу для покриття витрат на відновлення даних після кібератаки.

4. Підготовка до інцидентів (Incident Preparedness)

• Розробіть план реагування (Incident Response Plan).
• Заздалегідь узгодьте з страховиком процедуру подання претензій у разі збитків.
• Перевіряйте системи захисту щоквартально.

Приклад: Регулярне тестування системи кіберзахисту на стійкість до атак (penetration testing).

5. Фінансові стимули (Premium Reduction & Benefits)

• Після впровадження заходів зменшення ризиків зверніться до страховика за переглядом умов полісу.
• Отримайте знижку на страхову премію або підвищення лімітів покриття.
• Попросіть включити в поліс додаткові опції, наприклад, відшкодування витрат на відновлення бізнесу.

Приклад: Зниження страхової премії на 15–20% після встановлення системи відеоспостереження та контролю доступу.

Подальшим розвитком страхування у цій галузі є розробка нових страхових продуктів:

• Створити гібридні поліси, що поєднують:
  • Захист від кібератак.
  • Покриття фізичних збитків.
  • Захист від бізнес-перерв (Business Interruption).
• Запропонувати «Cyber War Endorsement» — доповнення до полісу, що покриває ризики кібервійни.

Приклад: Спеціальні програми для енергетичних компаній, транспортних вузлів, фінансових установ.

Страхові компанії працюють у різних «силах», що ускладнює координацію. Рішення:

• Запровадити пулінг ризиків, коли кілька страховиків об’єднують ресурси для покриття великих збитків.
• Працювати з перестраховиками, щоб збільшити доступні ліміти.
• Розвивати платформи для обміну даними про загрози між страховими компаніями.

Наприклад Lloyd's активно розвиває кіберпули для покриття великих ризиків.

Що це дає страховим компаніям?

1. Конкурентну перевагу: Страховики, які пропонують сучасні кіберполіси, будуть більш привабливими для клієнтів.
2. Зниження ризиків: Краща оцінка загроз дозволяє уникнути великих виплат.

Розширення ринку: Кіберризики зачіпають усі галузі — від виробництва до фінансів.

Ці рекомендації допоможуть страховику не лише захистити своїх клієнтів, а й стати лідером у сфері кіберстрахування.

-------

Примітки:

*AMIC - це Asset Management and Investors Council, рада, яка представляє інтереси компаній з управління активами та інвесторів. Це організація, створена при International Capital Market Association (ICMA), яка займається питаннями регулювання, ризиків та інвестицій на фінансових ринках. AMIC виступає як джерело аналітики щодо ринкових ризиків, включаючи геополітичні та кіберзагрози.

**LMA 3030 - це стандартний страховий поліс, розроблений Lloyd's Market Association (LMA), який надає покриття від фізичних втрат або пошкоджень, спричинених актами тероризму та саботажу. Основні характеристики LMA 3030:

1. Фізичне пошкодження: Поліс покриває матеріальні збитки майну, завдані терористичними актами або саботажем.

2. Саботаж як окрема категорія:       

o Хоча саботаж раніше розглядався як частина тероризму, зараз він визначається окремо.       

o Саботаж — це навмисна дія, спрямована на пошкодження або знищення об'єктів, яка може бути політично, економічно або соціально мотивованою, але не обов'язково пов'язаною з тероризмом.

3. Обмеження:       

o LMA 3030 зазвичай не покриває кіберризики, якщо вони не призводять до фізичних пошкоджень.       

o Поліс може не включати ризики, пов'язані з війною, якщо це не передбачено спеціальною угодою.

4. Застосування: Поліс часто використовують компанії, що працюють у регіонах із підвищеними ризиками, таких як Близький Схід, Африка, Азія.

Для отримання детального тексту (вордингу) LMA 3030 ви можете звернутися до офіційного сайту Lloyd's Market Association, або безпосередньо до свого страхового брокера чи компанії. Зазвичай, доступ до повного тексту надається зареєстрованим членам або за запитом.

Важливо розуміти, що точний зміст та умови полісу можуть змінюватися залежно від юрисдикції та конкретних потреб страхувальника. Тому рекомендується консультуватися з фахівцем у галузі страхування для отримання інформації, адаптованої до ваших конкретних обставин.