Прошло 10 дней с начала коллапса, причиной которого послужил сбой в обновлении CrowdStrike. Можно попробовать подвести некоторые итоги и посчитать, во сколько обошелся миру этот инцидент.
Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike:
От инцидента пострадало 25% компаний из Fortune 500, хотя CrowdStrike заявляла о том, что в ее клиентах числится не менее половины Fortune 500.
Самые пострадавшие отрасли — авиация, здравоохранение и банки. При этом по мнению Parametrix среди авиакомпаний пострадало 100% (но это из списка Fortune 500, а их там всего шесть).
Ожидаемые прямые финансовые потери составляют 5,4 миллиарда долларов, но только для компаний из списка Fortune 500, исключая Microsoft.
Наибольшие потери из всех индустрий — в здравоохранении. За ним следуют банки и авиация. Меньше всего пострадало производство и ИТ-отрасль.
От 0,54 до 1,08 миллиардов долларов потерь попадает под действие страховок, то есть от 10% до 20% от общего объема.
Средний размер потерь на пострадавшую компанию составил 44 миллиона долларов.
Очевидно, что это только верхушка айсберга, так как за первые 10 дней достаточно сложно оценить все возможные потери, которые включают в себя потери из-за простоев, рост операционных расходов, стоимость восстановления, снижение покупательской способности, потенциальные иски, снижение продуктивности и т.п.
«Однако определение окончательных убытков для отрасли, вероятно, будет длительным процессом, так как «язык» полисов киберстрахования пока не стандартизирован.» Рейтинговое агентство Moody’s
Дело в том, что как я отмечал в прошлой заметке, «системный сбой», который характеризует произошедший коллапс, может не покрываться страховкой, которая могла быть сфокусирована на злонамеренных действиях третьих лиц (кибератаках). И хотя страхование киберрисков в США достаточно развито, но оно все-таки плохо стандартизовано. Поэтому у каждой страховой компании свой страховой продукт, предлагаемый клиентам. С другой стороны, если страховка покрывала потери именно в результате системного сбоя, то в этом случае можно будет говорить о возмещении потерь от нарушения непрерывности бизнеса.
Но надо признать, что многие полисы киберстрахования специально исключают потери, как результат прерывания бизнеса.
Размер страховых выплат по данным Parametrix оценивается в 0,54 — 1,08 миллиарда долларов. Страховая компания CyberCube оценивает страховые выплаты в 400 миллионов — 1,5 миллиарда; что составляет по ее оценкам 3-10% от суммы финансовых потерь. Получается, что сумма ущерба по версии CyberCube приближается к 15 миллиардам.
Интересно, что пока разговоры о потерях идут только со стороны страховых компаний (перестраховочные компании пока молчат, ожидая оценок страховщиков), которым и расплачиваться за все произошедшее (по крайней мере в США).
Многие эксперты отмечают, что оценка Parametrix существенно занижена, так как не учитывает длительность и природу иных потерь, например, замену билетов на отмененные или задержанные авиарейсы, возврат средств за билеты, удар по репутации, штрафы и т.п. Например, 146 миллионов долларов, которые каждая из шести авиакомпаний Fortune 500 потеряла, выглядят очень малой суммой.
Согласно исследованию J. Gold Associates восстановление каждого пострадавшего ПК обходится компании в 82,5 доллара, если это делается собственным сотрудником, и втрое больше, если внешней компанией.
Получается, что, если учитывать данные Microsoft о 8,5 миллионах вышедших из строя компьютеров, только на восстановление будет потрачено не менее 700 миллионов долларов.
Оценок для компаний не из Fortune 500 и за пределами США я пока не видел, но напомню, что всего CrowdStrike заявляет о 29000 клиентов по всему миру. Если, следуя пропорции Parametrix, пострадала каждая 4-я компания, то совокупный объем потерь может составит несколько десятков миллиардов долларов, что делает данный инцидент самым дорогим в истории. Но я бы пока поостерегся делать какие-то оценки, не видя результатов слушаний в Конгрессе, расследования со стороны регуляторов, исков со стороны юридических фирм, которые сейчас готовятся как со стороны пострадавших клиентов, так и со стороны акционеров.
Курс акций CrowdStrike упал на 20% и акционеры потеряли не менее 15 миллиардов долларов. Это же тоже потери (и не столько CrowdStrike).
В разосланном агентством Moody’s отчете говорится:
«Мы ожидаем, что андеррайтеры оценят масштаб и характер события [с CrowdStrike] и скорректируют свои услуги андеррайтинга, сосредоточив внимание на покрытии системных сбоев. Хотя страховщики улучшили свои возможности по анализу потенциальных застрахованных убытков, связанных с отдельными утечками данных, потерями от программ-вымогателей и перерывами в работе бизнеса, анализ широкомасштабных сбоев по-прежнему остается сложной задачей. Кибермоделирование продвинулось вперед, но риски постоянно меняются, что создает неопределенность в отношении частоты и вероятности киберкатастроф. Сбой CrowdStrike побудит к дальнейшему изучению агрегирования рисков и методов моделирования, а также подстегнет спрос на страхование киберрисков«.
Я соглашусь с оценкой Moody’s, что данный сбой заставит многих страховщиков пересмотреть свои подходы к оценке событий с катастрофическими последствиями, а у нас страховые смогут не совершать ошибок, на которые «наступили» иностранцы и еще наступят, так как, возможно, они еще понесут убытки из-за нечетких формулировок к своих полисах и сослаться на форс-мажор, как это в свое время сделала страховая компания Zurich, отказавшись в 2018-м году выплачивать 100 миллионов долларов компании Mondelez (владеет брендами Orio, Cadbury, Toblerone и т.п.), посчитав, что атака шифровальщика NotPetya была проявлением кибервойны.
О возможных убытках для страховщиков киберрисков говорил и Уоррен Баффет на ежегодном собрании акционеров инвестиционной компании Berkshire Hathaway. По мнению Баффета в этом бизнесе слишком много неопределенностей и рисков, что создает большие сложности для андеррайтинга и не позволяет компании одного из богатейших людей мира активно заниматься этим видом бизнеса, несмотря на то, что Berkshire Hathaway является одной из крупнейших страховых и перестраховочных компаний в мире (входит в десятку).
По словам Аджита Джайна, преемника Баффета, на годовом собрании это приносило страховщикам прибыль, по крайней мере, на сегодняшний день. Он назвал текущую прибыльность «довольно высокой» — не менее 20% общей премии попадает в карманы страховщиков. Но послание Berkshire Hathaway страховым агентам носило предостерегающий характер.
Основная причина заключается в сложности оценки того, как убытки от единичного и, казалось бы, незначительного происшествия перерастают в совокупность потенциальных катастрофических потерь от «кибер»-события.
Хотя Баффет и предупреждал всех о возможных рисках, его компания является сегодня шестой в мире по объему выданных полисов киберстрахования. Но, как мы видим, предостережение, данное в мае, реализовалось всего спустя полтора месяца и страховщики теперь начнут более осмотрительно готовить полисы страхования.
Страховая компания Fitch Rating считает, что инцидент с CrowdStrike, не стал еще той косточкой домино, которая, качнувшись, потянула за собой весь рынок страхования и колоссальные убытки для экономики, став агрегированным событием, о котором говорили Баффет и Джайн. При этом Fitch оценивает застрахованные потери от коллапса 19-го июля в 10 миллиардов долларов, что больше оценок Parametrix и CyberCube на порядок, но все-таки еще не является катастрофическим; исключая может быть некоторых страховщиков, неправильно оценивших свои риски и риски клиентов.
Если попробовать подытожить все оценки, то оптимистичной можно назвать оценку Parametrix в 5,4 миллиарда долларов потерь. Оценка Fitch в несколько десятков миллиардов относится скорее к верхней границе, а цифры CyberCube (15 миллиардов) являются скорее неким средним значением, на которое я бы и ориентировался на сегодняшний день!
Многие эксперты сравнивают кейс CrowdStrike с инцидентом 2017-го года с вредоносом NotPetya, масштаб ущерба от которого оценивается в 10 миллиардов долларов. При этом эксперты считают, что в отличие от истории семилетней давности, сейчас воздействие на бизнес было существенно большим, чем тогда.
Заметка Какова цена инцидента с CrowdStrike или причем тут андеррайтинг и Уоррен Баффет? была впервые опубликована на Бизнес без опасности.
Сообщения блогов группы “Личные блоги” (www.securitylab.ru)