Кібер: Втрата репутації, тема, яку варто обговорити.
Автор: Том Гаверс та Джо Скарлато
Цього тижня я мав честь виступити на конференції Advisen Cyber Risk Insights Conference у Сан-Франциско. Це була дуже добре організована конференція, і я вітаю команду Advisen за чудову роботу. На панелі, з якою я мав задоволення виступити поруч, обговорювались різні теми, що стосуються максимізації позовних вимог, переривання бізнесу, політики S&P проти власності власників та інші гарячі кнопки. Одне з особливо цікавих питань, яке було підняте, – це розгляд питання про втрату репутації у світі кіберпретензій. Наша група швидко вирішила це питання, зважаючи на обмеження в часі, але я хотів витратити час, щоб висловити свою точку зору, сподіваючись допомогти сектору кібер-ризиків, коли стикається з цим питанням при поновленні або на початку подання претензії. Я попросив Тома Хаверса з Лондонського бюро HSNO допомогти мені передати наші думки.
Втрата репутації є реальним фактором ризику, з яким стикається покупець страхування під час придбання страхового покриття. Це також унікальна проблема для перевізника, існує певна складність у розробці відповідної мови політики, яка стосується втрати репутації, оскільки вона стосується охоплення елементів часу або переривання бізнесу. Ми стверджуємо, що дискусія, яку повинен вести ринок, нічим не відрізняється від дискусій, присвячених охопленню збитків, що відбулися після урагану “Катріна”. Різниця тут полягає в тому, що вимірюваний вплив є концентричним для однієї компанії чи галузі та не легко відокремлений.
Ми вважаємо, що існують різні ключові фактори, які необхідно враховувати, щоб спробувати відокремити втрату репутації, яку зазнав страхувальник після кібератари. У деяких випадках це може бути легко, в інших – майже неможливо.
Репутаційні втрати можуть бути вимірюваним фактором, коли відбувається пряме і остаточне зменшення доходів, пов’язаних з кібератакою. Хорошим прикладом цього може бути роздрібний магазин, який зазнає порушення даних, що призводить до компрометації даних клієнтів (наприклад, даних кредитної картки). Незважаючи на всі зусилля страхувальника забезпечити своєчасне інформування своїх клієнтів (і, можливо, надання їм компенсації, де це доречно), існує прямий “ репутаційний ” ефект збитку, доки клієнти не зможуть відчути впевненість у захисті своїх даних або принаймні до інциденту забувається. Заходи, необхідні для мінімізації цього періоду ефекту, є дорогими і можуть включати залучення сторонніх експертів у управління кризисними ситуаціями, кредитний моніторинг, зв’язки з громадськістю, маркетинг та інші прямі пом’якшувальні дії. Зрештою, саме впевненість споживачів дозволить продажам повернутися до нормального рівня. Цей тип втрати репутації є вимірним і може бути розрахований з використанням даних про торгівлю до подій та після подій (наскільки такі дані доступні). Довіра та можливість інтерпретувати наявні торгові дані є ключовим фактором розуміння економічного впливу.
Перевізники повинні (ми розуміємо, багато хто вже) розглядати, які типи наборів даних необхідні для отримання під час порушення, та розробляти методи збору цієї інформації від страхувальників, очікуючи такої події. Це може бути вимогою до андеррайтингу та детально розказано покупцеві як умова покриття.
У міру дозрівання ринку кіберстрахування ми побачимо претензії щодо втрати репутації там, де немає прямого та остаточного впливу на торгівлю, а є наслідком проблеми безперервності бізнесу. Такі типи претензій потрібно буде ретельно проаналізувати, але, маючи хороші торгові дані та належний збір інформації, ми все одно можемо моделювати пов’язаний економічний вплив таких подій. Такий підхід ніколи не може дати „ідеального” результату, але завдяки спільному підходу із страхувальником слід передбачити змоделювання та узгодження пов’язаного економічного впливу.
Однією з галузей, на яку, на нашу думку, можуть вплинути такі втрати, є індустрія гостинності. Хакерські системи бронювання можуть мати величезний вплив на дохід від цього прямого джерела, але часто існують інші методи бронювання, які можуть охопити ці продажі. Наприклад, якби велика мережа готелів зламала свою систему онлайн-бронювання та не працювала, скажімо, протягом 3 днів, прямі втрати продажів від системи онлайн-бронювання були б значними. Однак особи, які є постійними клієнтами або є лояльними до бренду, все одно спробують забронювати майно цієї мережі готелів (наприклад, через веб-сайт третьої сторони, туристичні агенти або через бронювання). Хоча це, ймовірно, може призвести до додаткових витрат на збут та / або потенційно до втрати збут, загальну економічну втрату можна істотно пом’якшити. Незважаючи на потенційну втрату репутації з боку реалізованої клієнтської бази, в цьому випадку не очікується, що це сильно вплине на страхувальника. Однак що, якщо ми розглянемо кібератаку на подібну велику мережу готелів, яка впливає на централізовану ІТ-інфраструктуру, яка управляє як бронюванням, так і корпоративними системами? Різні способи бронювання можуть бути в змозі охопити більшість звичайних продажів з мінімальними втратами, але в той же час гості стоять у черзі більше години, поки вони чекають, поки їх вручну заселять у свої кімнати. Twitter і LinkedIn виливаються із скаргами розгніваних гостей, і тепер ми маємо серйозний вплив на репутацію. Як можна виміряти такий вплив, поряд або окремо від впливу збитої системи бронювання? Повторюючи вищевикладене, маючи добрі дані та спільний підхід із страхувальником, пов’язаний економічний вплив слід змоделювати та узгодити. Ключем є і завжди будуть дані, доступні для аналізу.
У HSNO ми пишаємось тим, що є «фірмою криміналістики», яку вибирають для багатьох наших клієнтів у секторі кіберстрахування.
Спочатку ця публікація була опублікована за адресою https://www.linkedin.com/pulse/your-reputation-on-line-joe-scarlato/.
Joe Scarlato люб’язно дозволив нам перекласти і опублікувати цю статтю.
Temy.co - Software Development Partner 