Учитывая меняющуюся природу риска, а также рост числа кибер-инцидентов, риск перерыва в производстве занимает верхнюю строчку среди важнейших рисков в мире, по данным опроса 1911 экспертов по рискам из 80 стран. Риск кибер-ураганов, а также ужесточение правил обращения с данными определяют ситуацию с кибер-рисками на ближайший год. Кризисное реагирование становится особенно важным для нивелирования негативных последствий инцидента. Рекордный уровень убытков, связанных с природными катаклизмами, привел к тому, что в верхнюю десятку рейтинга впервые попали климатические изменения. Компании обеспокоены растущими рисками, связанными с развитием новых технологий.
Таковы ключевые выводы Барометра рисков Allianz, ежегодно публикуемого Allianz Global Corporate & Specialty (AGCS). Отчет основан на мнении 1911 экспертов по риск-менеджменту из 80 стран.
Перерыв в производстве вот уже шестой год подряд занимает верхнюю строчку среди важнейших рисков в мире (42% ответов), а кибер-инциденты являются вторым по важности риском для компаний (40%), продолжая движение вверх в рейтинге. В основе обоих рисков лежит взаимосвязанность многих отраслей экономики, что может поставить под угрозу дальнейшее развитие, а иногда и само существование компаний любого масштаба и любой отрасли.
Рекордный размер убытков от стихийных бедствий обеспечил возврат этого риска в тройку крупнейших на 2018 год (3-е место, 30% ответов). Компании обеспокоены тем, что ситуация прошлого года может предвещать еще больший рост интенсивности и частоты данных убытков, вследствие чего в верхнюю десятку рейтинга впервые попали климатические изменения (10-е место, 10% ответов).
По мере того как компании все чаще задействуют в своей работе такие инновации, как искусственный интеллект или автономную мобильность, новые технологии в качестве фактора риска все выше поднимаются в рейтинге (7-е место, 15% ответов). В то же время опрос показывает, что компании стали меньше, чем 12 месяцев назад, беспокоиться по поводу изменений рыночной ситуации (4-е место, 22% ответов).
«Впервые по итогам опросов компаний для Барометра рисков Allianz воздействие кибер-инцидентов признано самым пугающим фактором, способным спровоцировать перерыв в производстве, – говорит генеральный директор AGCS Крис Фишер Хирс. – События 2017 года, такие как атаки программы-вымогателя WannaCry, а также сбои в работе систем привели к тому, что на сегодняшний день кибер-инциденты – основная причина перерывов в производстве для компаний, основными активами которых являются данные, сервисные платформы, а также их клиенты и поставщики. Однако прошедший год также продемонстрировал, что влияние природных катаклизмов тоже не стоит недооценивать. Риск-менеджеры сегодня сталкиваются со сложной и волатильной средой, объединяющей традиционные бизнес-риски с угрозами, порождаемыми развитием новых технологий».
Риск перерывов в производстве растет
Перерыв в производстве вот уже шестой год подряд занимает верхнюю строчку среди важнейших рисков в 13 странах, а также в Европе, Азиатско-Тихоокеанском регионе, на Ближнем и Среднем Востоке. Этому риску могут быть подвержены любые компании вне зависимости от объемов бизнеса. Компании сталкиваются с растущим числом сценариев – от традиционных воздействий, таких как влияние физического ущерба, причиненного объектам и цепочкам поставок стихийными бедствиями и пожарами, до новых факторов, проистекающих из дигитализации и взаимосвязанности, которые обычно влекут за собой не физический ущерб, а большой финансовый убыток. Сбои в работе IT-систем, терроризм, инциденты, связанные с некачественной продукцией, неожиданными регуляторными изменениями могут привести бизнес к краткосрочному или продолжительному перерыву в деятельности, оказывающему существенное влияние на выручку компании.
По данным опроса экспертов, кибер-инциденты впервые названы в числе наиболее пугающих факторов, способствующих перерыву в производстве, в то время как сам перерыв в производстве стал, по их мнению, самой значимой причиной убытков после кибер-инцидентов. Согласно данным Cyence Risk Analytics, в случае недоступности облачного сервиса у поставщика облачных услуг, длящегося более 12 часов, убытки могут составить $850 млн. в Северной Америке и $700 в Европе, исходя из того, что от недоступности пострадает 50 тыс. компаний трех разных отраслей (финансы, здравоохранение и розничная торговля) в каждом регионе.
В соответствии с Барометром рисков Allianz, риск перерыва в производстве занимает второе место по своей недооцененности.
«Компании часто недооценивают сложность «возвращения к нормальному режиму работы». Им следует постоянно корректировать свои планы реагирования на чрезвычайные ситуации, чтобы они отражали новую реальность перерывов в производстве, включающую угрозу кибер-инцидентов», – говорит Фолкер Мюнч, руководитель направления глобальной практики имущественного страхования AGCS.
Эволюция кибер-рисков продолжается
Кибер-инциденты продолжают движение вверх в рейтинге и сейчас являются вторым по важности риском для компаний (40%). Пять лет назад они находились лишь на 15-м месте. Такие угрозы, как нарушение данных, хакерские атаки или же перерыв в производстве вследствие кибер-инцидента подтверждают, что это главный риск для бизнеса в 11 исследуемых странах, а также на Американском континенте, и второй по значимости риск в Европе и Азиатско-Тихоокеанском регионе. Он также является самым недооцененным риском в долгосрочной перспективе.
Недавние инциденты, связанные с появлением программ-вымогателей WannaCry и Petya, привели к значительным убыткам большого числа компаний. Другая программа-вымогатель Mirai и масштабная распределенная атака типа «отказ в обслуживании» (DDoS) на ключевые интернет-платформы и сервисы в Европе и Северной Америке в конце 2016 года вписываются в набирающую силу тенденцию – появлению «кибер-ураганов». Хакеры могут повлиять на функционирование большого количества компаний, выбрав в качестве цели, например, общие элементы интернет-инфраструктуры, от которых они зависят. Эта тенденция, скорее всего, сохранится в 2018 году.
Меры по защите данных снова вернулись в центр внимания после масштабных нарушений в США. Вступление в силу Общего регламента по защите данных (GDPR) по всей Европе в мае 2018 года сделает проверки еще более тщательными.
«Действующие в США законы уже достаточно жесткие, и регулирование в области личных данных постоянно эволюционирует, но теперь и в Европе фирмам приходится готовиться к более жестким требованиям по ответственности и уведомлению. У многих компаний открываются глаза на наличие у них потенциальных уязвимостей, и осознание того, что проблемы с личными данными вызывают серьезные расходы, придет достаточно быстро после вступления GDPR в силу, – говорит Эми Донаван, глава Глобального департамента страхования кибер-рисков AGCS. – Опыт показывает, что реакция компании на нарушение непосредственно влияет на вызванные им расходы. Это станет еще более справедливым, когда начнет действовать GDPR».
Компаниям разных размеров, относящихся к разным отраслям, необходимо уделять внимание разным угрозам. «Атака программы-вымогателя может полностью вывести из строя мелкую компанию, в то время как более крупные компании являются мишенью для более широкого спектра угроз, таких как DDoS-атаки, способные одерживать верх над системами», - говорит Донаван.
Данные Барометра рисков Allianz показывают, что обеспокоенность кибер-угрозами среди компаний сегмента малого и среднего бизнеса растет. В частности, для небольших компаний этот риск переместился с шестого на второе место, а для средних компаний – с третьего на первое место рейтинга. Наиболее высокие места в рейтинге угроз кибер-инциденты занимают среди компаний сегмента Развлечения и Медиа, компаний, оказывающих финансовые услуги, а также компаний, относящихся к сегменту технологий и телекоммуникаций.
Риски, связанные с природными катаклизмами и новыми технологиями, растут
Рекордный размер застрахованных убытков от стихийных бедствий, составивший в 2017 году $135 млрд, в связи с ураганами «Харви», «Ирма» и «Мария» в США и на Карибах, обеспечил возврат этого риска в тройку крупнейших на 2018 год (3-е место, 30% ответов).
«Влияние природных катаклизмов выходит далеко за рамки физического ущерба. По мере того как отрасли становятся более компактными и теснее взаимосвязанными глобально, стихийные бедствия могут оказать влияние на значительное число компаний из различных сегментов, которые, на первый взгляд, не были подвержены влиянию катастрофы», – говорит Али Шахкарами, директор Департамента исследований катастрофических рисков AGCS.
Респонденты опасаются, что 2017 год может быть предвестником того, что интенсивность стихийных бедствий будет расти под влиянием изменений климата. В верхней десятке 2018 года появился новый риск – «Изменения климата / Повышение изменчивости погоды» (10-е место), связанный, в том числе, с тенденцией по урбанизации прибрежных регионов.
Новые технологии в качестве фактора риска (7-е место, 15% ответов) сделали один из самых мощных скачков вверх по сравнению с прошлогодним рейтингом. Они также являются вторым крупнейшим долгосрочным риском, уступая лишь кибер-инцидентам, с которыми тесно взаимосвязаны. Уязвимость автоматизированных, автономных и самообучающихся машин к отказу или к действиям кибер-злоумышленников будет в будущем расти, что может привести к значимым нарушениям критической инфраструктуры.
«Несмотря на то что в будущем число незначительных убытков, связанных с автоматизацией и ослаблением мониторинга, может сократиться, на смену им могут прийти гораздо более значительные убытки», – говорит Михаэль Брух, Глава Управления возникающих тенденций AGCS. – Компаниям следует быть готовым к новым сценариям несения ответственности, появление которых вызвано описанным выше переходом ответственности от человека к машине или к производителю программного обеспечения. Это сделает возложение ответственности и предоставление страхового покрытия для такой ответственности более сложным делом».