《2020放眼云端:美国网络保险业巨灾损失研究 -GUY CARPENTER & CyberCube(英文版)(28页).pdf》由会员分享,可在线阅读,更多相关《2020放眼云端:美国网络保险业巨灾损失研究 -GUY CARPENTER & CyberCube(英文版)(28页).pdf(28页珍藏版)》请在三个皮匠报告上搜索。
1、数字经济不可阻挡的蔓延正在从根本上改变风险的性质,给(再)保险业带来了独特的机遇和挑战。该行业如何应对技术变革的快速步伐,对其长期相关性和增长至关重要。网络风险不断演变的本质使得确定量化具有挑战性,但对于(再保险)保险公司来说,了解严重事件的影响以告知策略和风险容忍度是至关重要的。深入了解网络灾难事件的特征以及它们对当今独立的网络保险市场可能产生的金融影响是至关重要的。随着(再)保险业寻求减少保护缺口并推动网络产品的采用,其结果是未来的增长将有助于发展一个强健的市场,更好地准备吸收大规模损失的潜力。考虑到这一前提,CyberCube Analytics和Guy Carpenter合作,致力于帮
2、助(再)保险公司量化网络风险。CyberCube Analytics为网络风险聚合建模和保险承保提供软件即服务分析平台。这是通过汇集数据资源和分析能力来实现的,目的是从一系列网络灾难场景中培养对美国网络行业潜在损失的看法。本研究旨在探讨美国网络保险市场中灾难性保险损失的主要驱动因素,以及如何将这些结果纳入投资组合构建、风险保留和转移策略以及资本配置中。我们关注了导致最高损失价值的五种情况。对于每一个攻击,我们都考虑了损失的大小、执行攻击的单点故障(SPOF)以及这些发现对保险市场的影响。五种主要的促成灾难情景是:l 一家领先的云服务提供商长期宕机(143亿美元的损失)l
3、 一家领先的云服务提供商的大规模云勒索软件(115亿美元的损失)l 主要操作系统供应商的大量数据丢失(238亿美元的损失)l 来自主要电子邮件服务提供商的广泛盗窃(191亿美元的损失)l 云服务提供商大规模数据丢失(2200亿美元损失)保险公司和他们承保的组织需要了解这些重大的灾难性情况,并了解应对方案的必要性和潜在的经济损失。牢记这一点,保险业必须投资于有效地评估和管理聚合,教育商业界推动产品的采用,并量化网络风险以促进购买适当的保险限额。以下是我们为(再保险)保险公司和其他利益相关者强调的5个关键考虑事项,以帮助保护盈利能力和检查现有美国网络独立保险业的
4、资本充足率:美国行业100年一遇的回报期每年产生的网络灾难保险损失总额为146亿美元(这可能包括同一年内发生的一次或多次事件)。内部和云服务提供商都面临来自恶意第三方的外部威胁。以云服务提供商为例,计算出的勒索软件发生的概率是其他宕机概率的四倍。排名前五的情景类大约占了美国航空公司年平均损失总额的75%。最昂贵的网络灾难场景是一个领先的操作系统供应商的大范围数据丢失,可能产生高达238亿美元的保险损失。最有可能发生的网络灾难损失是来自主要电子邮件服务提供商的广泛数据盗窃。据估计,到2020年,全球网络保险市场规模将增长到80 - 90亿美元,是2017年的两倍多。随着许多传统保险业务的增长陷入
5、停滞,网络保险越来越被视为商业财产和意外险(再保险)保险公司具有巨大的增长潜力。尽管有这种增长潜力,但随着网络保险的持续发展和演变,仍有一些逆风需要克服。由于新进入者寻求利用增长潜力,竞争日益加剧,这给费率带来了压力,也扩大了可覆盖范围。随着保险覆盖范围的成熟,以及(再)保险公司对如何将网络安全指标转化为损失指标有了更深的理解,(再)保险公司用于量化和适当定价网络风险的暴露数据是一个移动目标。从历史上看,网络保险公司已经看到一系列一次性数据泄露损失,其中一些2018年万豪数据泄露,例如,违约成本估计超过20亿美元并没有完全被工业性能损失,自保险限制购买远远低于预期的最终经济损失。网络攻击造成的
6、最大多保险损失是2017年的NotPetya事件,据财产索赔服务公司(PCS)估计,损失超过30亿美元。然而,由于受影响企业的保额不足和产品渗透率低,大部分损失可能会落在非肯定保险市场。分析了全球数百万家公司的企业数据,包括:l 组织足迹:根据企业内部和外部因素进行评估,支持对关键技术依赖和恶意参与者可用的“攻击面”的全面视图。l 组织吸引力:测量一系列资产和特征,这些资产和特征可以为任何一类威胁行动者瞄准企业提供动机。l 网络漏洞:源自内部和外部遥测分析。这一整体观点使我们能够衡量网络攻击的相对成功率。l 网络安全态势:根据提供现有安全质量洞察
7、力的一系列指标进行衡量一些关键的技术依赖再次出现,并表现为跨多个地区同时对多个公司进行广泛网络攻击的潜在载体。我们称之为单点故障(SPOFs)。可能导致损失最惨重的主要企业包括:操作系统提供商、电子邮件服务提供商、云服务提供商和关键的公用事业提供商。许多网络保险商认为云是引发系统性网络攻击的一个主要因素。对云的业务应用肯定在急剧增加。LogicMonitor 2018年的一项调查显示,到2020年,83%的公司将使用云计算。保险业对云服务的影响了解较少。云不是一种服务,而是几种不同类型的服务存储、计算能力、备份服务等等对这些服务的依赖程度各不相同。然而,我们的研究发现,主要的云服务提供商只是SPOF中产生巨灾损失的一类。应该考虑的其他SPOFs包括操作系统提供商、电子邮件服务器和关键基础设施提供商,因为这些也可以作为聚合点,因此在网络安全出现故障时,会造成系统性损失。我们坚信,对网络灾难风险采取稳健、建模和前瞻性的观点,有助于网络保险市场的可持续发展。最终,可持续增长将使保险公司更好地填补企业的保护缺口,并作为强大的网络安全框架的一部分形成持久的合作伙伴关系。