Киберстрахование

Страхование рисков в сфере информационных технологий

Киберстрахование — это специализированный страховой продукт, предназначенный для защиты бизнеса от рисков, связанных с Интернетом , и в более общем плане от рисков, связанных с инфраструктурой и деятельностью информационных технологий . Риски такого рода обычно исключаются из традиционных коммерческих полисов общей ответственности или, по крайней мере, не определяются конкретно в традиционных страховых продуктах. Покрытие, предоставляемое полисами киберстрахования, может включать покрытие первой и третьей стороны от убытков, таких как уничтожение данных, вымогательство, кража, взлом и атаки типа «отказ в обслуживании» ; покрытие ответственности, возмещающее компаниям убытки, причиненные другим лицам, например, ошибками и упущениями, неспособностью защитить данные или клеветой; и другие преимущества, включая регулярный аудит безопасности , расходы на связи с общественностью и расследования после инцидента, а также фонды вознаграждения за преступления.

Преимущества

Поскольку рынок киберстрахования во многих странах относительно невелик по сравнению с другими страховыми продуктами, его общее влияние на возникающие киберугрозы трудно поддается количественной оценке. ^[1] Поскольку влияние киберугроз на людей и бизнес также относительно широко по сравнению со сферой защиты, предоставляемой страховыми продуктами, страховые компании продолжают развивать свои услуги.

По мере того, как страховщики выплачивают убытки от кибер-угроз, а кибер-угрозы развиваются и меняются, страховые продукты все чаще приобретаются вместе с существующими услугами по обеспечению безопасности ИТ. Действительно, критерии андеррайтинга для страховщиков, предлагающих продукты кибер-страхования, также находятся на ранней стадии разработки, и андеррайтеры активно сотрудничают с компаниями по обеспечению безопасности ИТ для разработки своих продуктов.

Помимо непосредственного повышения безопасности, киберстрахование чрезвычайно выгодно в случае крупномасштабного нарушения безопасности. Страхование обеспечивает плавный механизм финансирования для восстановления после крупных потерь, помогая предприятиям вернуться к нормальной жизни и снижая потребность в государственной помощи. ^[2]

В качестве побочного эффекта многие полисы киберстрахования требуют, чтобы субъекты, пытающиеся приобрести полисы киберстрахования, участвовали в аудите ИТ-безопасности до того, как страховщик свяжет полис. Это поможет компаниям определить свои текущие уязвимости и позволит страховщику оценить риск, который они берут на себя, предлагая полис субъекту. Завершив аудит ИТ-безопасности, субъект, приобретающий полис, в некоторых случаях должен будет внести необходимые улучшения в уязвимости своей ИТ-безопасности до того, как может быть приобретен полис киберстрахования. Это, в свою очередь, поможет снизить риск киберпреступности против компании, приобретающей киберстрахование. ^[3]

Наконец, страхование позволяет справедливо распределять риски кибербезопасности, соизмеряя стоимость страховых премий с размером ожидаемых потерь от таких рисков. Это позволяет избежать потенциально опасных концентраций риска, а также предотвратить безбилетный проезд.

Недостатки

Информационные технологии являются неотъемлемой частью практически всех современных предприятий, потребность в отдельном продукте возникла только из-за преднамеренного анализа, который исключил кражу и ущерб, связанные с современными технологиями, из существующих линеек продуктов.

Брюс Шнайер ^[4] предположил, что существующие практики страхования, как правило, следуют либо модели «Наводнение или пожар» ^[5], однако киберсобытия, по-видимому, не моделируются ни одним из этих типов событий, это привело к ситуации, когда сфера киберстрахования еще больше ограничивается, чтобы снизить риск для страховщиков. Усугубляет это скудность данных, касающихся фактического ущерба, коррелирующего с типом события, отсутствие стандартов, связанных с классификацией событий, и отсутствие доказательств, связанных с эффективностью «лучших отраслевых практик». ^[6]

Страхование опирается на надежные актуарные данные на фоне в значительной степени статического риска. Учитывая, что в настоящее время их не существует, маловероятно, что покупатели этих продуктов получат желаемые ими результаты стоимости. Такой взгляд на рынок отражается в текущем состоянии рынка, где стандартные исключения приводят к ситуации, когда «страховщик может утверждать, что они применяются практически к любому нарушению данных». ^[7]

По словам Жозефины Вольф, киберстрахование оказалось «неэффективным в ограничении потерь от кибербезопасности, поскольку оно нормализует выплату онлайн-выкупов, в то время как цель кибербезопасности заключается в обратном — дестимулировать такие платежи, чтобы сделать программы-вымогатели менее прибыльными». ^[8]

История

Согласно исследованию Джозефины Вольф в области истории киберстрахования, его истоки восходят к съезду Международного общества управления страхованием рисков в апреле 1997 года, на котором Стивен Хаазе представил запуск первого продукта киберстрахования, включая покрытие первой и третьей стороны. ^{[9] [10] [11]} Хаазе впервые придумал концепцию киберстрахования несколькими годами ранее и время от времени обсуждал ее с различными коллегами по отрасли, но это событие 1997 года стало прорывным моментом, когда был фактически запущен первый полис киберстрахования и платформа андеррайтинга. Результатом мероприятия стало создание первого полиса, разработанного для фокусирования на рисках интернет-торговли, которым стал полис ответственности за безопасность в Интернете (ISL), разработанный Хаазе и андеррайтингованный AIG. ^[12] Примерно в это же время, в 1999 году, Дэвид Уолш основал CFC Underwriting в Соединенном Королевстве, компанию, которая рассматривает кибербезопасность как одно из своих основных направлений. ^{[13] [14]} Крис Коттерелл основал Safeonline примерно в то же время, который вскоре стал еще одним значимым игроком в сфере киберстрахования. ^{[15] [16]} Ранняя встреча Хаазе и 20 коллег по отрасли на Гавайях теперь обычно называется «Прорыв на пляже» и считается поворотным моментом, когда киберстрахование впервые было признано и отмечено. ^{[17] [18]}

Ранние работы 1990-х годов были сосредоточены на общих достоинствах киберстрахования. В конце 1990-х годов, когда бизнес-перспектива информационной безопасности стала более заметной, были сформулированы видения киберстрахования как инструмента управления рисками . Хотя его корни в 1980-х годах выглядели многообещающе, потрепанный такими событиями, как Y2K и атаки 11 сентября , рынок киберстрахования не смог процветать и остался в нише для необычных требований. Покрытие жестко ограничено, и клиентами являются МСБ (малые и средние предприятия), которым нужна страховка для участия в тендерах, или общественные банки, слишком маленькие, чтобы хеджировать риски своих операций онлайн-банкинга .

Если не первый, то, по крайней мере, один из первых полисов киберответственности, как мы их теперь называем, был разработан для рынка Lloyd's of London в 2000 году. Полис был разработан Кейтом Дэниелсом и Робом Хамесфаром, тогда юристами юридической фирмы Blatt, Hammesfahr & Eaton в Чикаго, штат Иллинойс. Тесное сотрудничество с Яном Хакером, тогда андеррайтером Lloyd's, и Тедом Дулиттлом и Кинси Карпентером, тогда брокерами Kinsey Carpenter, страхового брокера из Сан-Франциско, штат Калифорния, обеспечило покрытие третьей стороны вместе с покрытием перерыва в бизнесе. В те ранние дни считалось, что большой риск для компании будет заключаться в небрежном распространении вируса, который может заразить системы других компаний, которые затем подадут иск против первоначальной компании, а также в прерывании бизнеса. Полис был одним из первых, также включавших покрытие первой и третьей стороны в одной и той же форме. Хотя такие ошибки и упущения, вероятно, случались, иски против организаций на этой основе оказались редкими. Основное внимание в формах, которые были разработаны с 2000 года, уделялось перерывам в работе, уплате штрафов и пеней, расходам на мониторинг кредитоспособности, расходам на связи с общественностью и расходам на восстановление или перестройку личных данных, и они продолжают расширяться и развиваться сегодня. Кроме того, полисы технологических ошибок и упущений теперь продаются со сторонним покрытием организациям, таким как программисты и установщики технологий, которые могут быть привлечены к ответственности, если их совет или продукт не будут удовлетворительными для их клиентов. Другими ранними участниками киберрынка были American International Group (AIG) и Chubb. Сегодня на киберрынке конкурируют более 80 компаний.

Даже консервативный прогноз 2002 года, который предсказывал мировой рынок киберстрахования стоимостью 2,5 млрд долларов в 2005 году, оказался в пять раз выше размера рынка в 2008 году. ^[19] В целом, в относительном выражении, рынок киберстрахования сократился по мере роста интернет-экономики.

Недавняя история показывает, что покупка киберстрахования увеличилась из-за роста интернет-атак, таких как атаки с использованием программ-вымогателей. Счетная палата США: «Клиенты страховых компаний выбирают киберстрахование — с 26% в 2016 году до 47% в 2020 году. В то же время страховые компании США увидели, что расходы на кибератаки почти удвоились в период с 2016 по 2019 год. В результате страховые премии также значительно выросли». ^[20]

На практике несколько препятствий помешали рынку киберстрахования достичь зрелости; отсутствие надежных актуарных данных для расчета страховых премий, недостаточная осведомленность среди лиц, принимающих решения, что способствовало слишком низкому спросу, а также юридические и процессуальные препятствия были выявлены в первом поколении литературы по киберстрахованию примерно до 2005 года. ^[21] Последний аспект может вызвать разочарование при требовании компенсации за ущерб. Кроме того, организации, рассматривающие киберстрахование, должны пройти ряд часто инвазивных процедур оценки безопасности, раскрывающих их ИТ-инфраструктуры и политики. Между тем, наблюдение за тысячами уязвимостей, миллионами атак и существенным улучшением в определении стандартов безопасности и компьютерной криминалистике ставит под сомнение обоснованность этих факторов для причинного объяснения отсутствия страхового рынка. ^{[ требуется проверка ]}

Типы

• Безопасность сети — страхование убытков, возникших в результате кибератак или хакерских атак.
• Кража и мошенничество . Покрывает потерю денег (или аналогичного денежного инструмента) в результате кражи таких активов злоумышленником(ами), мошенническая деятельность которого, в первую очередь несанкционированный доступ к системам страхователя, позволяет такому лицу получить такие активы путем мошеннического перевода.
• Судебное расследование . Охватывает юридические, технические или судебно-медицинские услуги, необходимые для оценки того, произошла ли кибератака, для оценки последствий атаки и для ее прекращения.
• Перерыв в бизнесе . Покрывает потерю дохода и связанные с этим расходы, когда страхователь не может вести бизнес из-за кибератаки или потери данных.
• Вымогательство . Обеспечивает покрытие расходов, связанных с расследованием угроз совершения кибератак на системы страхователя, а также выплат вымогателям, угрожающим получить и раскрыть конфиденциальную информацию.
• Страхование репутации  : страхование от атак на репутацию и киберклеветы.
• Потеря и восстановление компьютерных данных . Покрывает физический ущерб или потерю возможности использования компьютерных активов, включая расходы на извлечение и восстановление данных, оборудования, программного обеспечения или другой информации, уничтоженной или поврежденной в результате кибератаки.
• Восстановление данных . Покрывает расходы, связанные с восстановлением или воссозданием данных, которые были утеряны из-за сбоя безопасности или системы.

Текущая потребность

Инфраструктура, пользователи и услуги, предлагаемые в компьютерных сетях сегодня, подвержены широкому спектру рисков, создаваемых угрозами , которые включают в себя распределенные атаки типа «отказ в обслуживании» , вторжения различных видов , подслушивание, ^{[22] [23]} взлом , ^[24] фишинг , черви , вирусы , спам и т. д. Чтобы противостоять риску, создаваемому этими угрозами, пользователи сети традиционно прибегают к антивирусному и антиспамовому программному обеспечению , брандмауэрам , системам обнаружения вторжений (IDS) и другим надстройкам, чтобы снизить вероятность воздействия угроз. На практике крупная отрасль (такие компании, как Symantec, McAfee и т. д.), а также значительные исследовательские усилия в настоящее время сосредоточены вокруг разработки и развертывания инструментов и методов для обнаружения угроз и аномалий с целью защиты киберинфраструктуры и ее пользователей от негативного воздействия аномалий.

Несмотря на улучшения в методах защиты от рисков за последнее десятилетие благодаря аппаратным средствам, программному обеспечению и криптографическим методологиям, невозможно достичь идеальной/почти идеальной защиты от кибербезопасности. Невозможность возникает из-за ряда причин: ^[25]

• Редкое наличие надежных технических решений.
• Сложность разработки решений, учитывающих различные намерения сетевых атак.
• Несогласованность стимулов между пользователями сети, поставщиками продуктов безопасности и регулирующими органами в отношении защиты сети.
• Пользователи сети, пользуясь положительными эффектами безопасности, создаваемыми инвестициями других пользователей в безопасность, в свою очередь, сами не инвестируют в безопасность, что приводит к проблеме «безбилетника».
• Привязанность к клиентам и эффект первопроходца в области уязвимых продуктов безопасности.
• Сложность измерения рисков, приводящая к проблемам при разработке соответствующих решений по устранению рисков.
• Проблема «рынка лимонов», когда у поставщиков систем безопасности нет стимула выпускать на рынок надежные продукты.
• Игры в наперстки с ответственностью, в которые играют поставщики продукции.
• Наивность пользователя в отношении оптимального использования преимуществ технических решений.

Учитывая вышеупомянутые неизбежные препятствия к почти 100% снижению рисков, возникает необходимость в альтернативных методах управления рисками в киберпространстве. Чтобы подчеркнуть важность улучшения текущего состояния кибербезопасности, президент США Барак Обама в феврале 2013 года издал указ о кибербезопасности ^[26] , в котором подчеркивается необходимость сокращения киберугроз и устойчивости к ним. В связи с этим некоторые исследователи безопасности в недавнем прошлом определили киберстрахование как потенциальный инструмент эффективного управления рисками.

Киберстрахование — это метод управления рисками, посредством которого риски сетевых пользователей передаются страховой компании в обмен на плату, т. е. страховую премию. Примерами потенциальных киберстраховщиков могут быть интернет-провайдеры, поставщики облачных услуг, традиционные страховые организации. Сторонники киберстрахования считают, что киберстрахование приведет к разработке страховых контрактов, которые переложат соответствующие суммы ответственности за самооборону на клиентов, тем самым сделав киберпространство более надежным. Здесь термин «самозащита» подразумевает усилия пользователя сети по защите своей системы с помощью технических решений, таких как антивирусное и антиспамовое программное обеспечение, брандмауэры, использование защищенных операционных систем и т. д. Киберстрахование также может стать рыночным решением, которое может соответствовать экономическим стимулам киберстраховщиков, пользователей (частных лиц/организаций), политиков и поставщиков программного обеспечения безопасности. То есть, киберстраховщики будут получать прибыль за счет правильного ценообразования премий, пользователи сети будут стремиться хеджировать потенциальные убытки, совместно покупая страховку и инвестируя в механизмы самозащиты, политики будут обеспечивать повышение общей безопасности сети, а поставщики программного обеспечения безопасности могут получить рост продаж своей продукции за счет формирования альянсов с киберстраховщиками. ^[27]

Ключевой областью управления рисками является установление приемлемого риска для каждой организации или «разумной безопасности» для их конкретной рабочей среды. Практика « обязанности проявлять заботу » помогает защитить все заинтересованные стороны — руководителей, регулирующие органы, судей, общественность, которые могут быть затронуты этими рисками. Стандарт анализа рисков «обязанности проявлять заботу» (DoCRA) ^[28] содержит практики и принципы, помогающие сбалансировать соответствие, безопасность и бизнес-цели при разработке средств контроля безопасности.

Законодательство

В 2022 году Кентукки и Мэриленд приняли законодательство о безопасности данных в страховании на основе Типового закона о безопасности данных в страховании Национальной ассоциации страховых комиссаров («NAIC») (MDL-668). ^[29] Законопроект SB 207 Мэриленда ^[30] вступает в силу 1 октября 2023 года. Законопроект 474 Кентукки ^[31] вступает в силу 1 января 2023 года.

Существующие проблемы

В результате в 2005 году появилось «второе поколение» литературы по киберстрахованию, нацеленное на управление рисками современных киберсетей. Авторы такой литературы связывают провал рынка с фундаментальными свойствами информационных технологий, специально коррелированными асимметриями информации о рисках между страховщиками и застрахованными и взаимозависимостями. ^[32]

Асимметрия информации оказывает существенное негативное влияние на большинство страховых сред, где типичные соображения включают неспособность различать пользователей разных типов (высокого и низкого риска), т. е. так называемую проблему неблагоприятного отбора, а также пользователей, предпринимающих действия, которые отрицательно влияют на вероятность потерь после подписания страхового договора, т. е. так называемую проблему морального риска. Проблема, вызванная взаимозависимой и коррелированной природой киберрисков, характерна для киберстрахования и отличает традиционные страховые сценарии (например, страхование автомобиля или здоровья) от первых. В большой распределенной системе, такой как Интернет, риски охватывают большой набор узлов и коррелируют. Таким образом, инвестиции пользователей в безопасность для противодействия рискам создают положительные внешние эффекты для других пользователей в сети. Цель киберстрахования здесь состоит в том, чтобы позволить отдельным пользователям интернализировать внешние эффекты в сети, чтобы каждый пользователь оптимально инвестировал в решения по безопасности, тем самым уменьшая моральный риск и улучшая безопасность сети. В традиционных сценариях страхования диапазон риска довольно мал (иногда он охватывает только одну или две организации) и некоррелирован, поэтому интернализация внешних эффектов, создаваемых инвестициями пользователей в безопасность, намного проще.

Неясности в терминах

FM Global в 2019 году провела опрос финансовых директоров компаний с оборотом более 1 миллиарда долларов. Опрос показал, что 71% финансовых директоров считают, что их страховщик покроет «большую часть или все» убытки, которые их компания понесет в результате кибератаки или преступления. Тем не менее, многие из этих финансовых директоров сообщили, что ожидают ущерба, связанного с кибератаками, который не покрывается типичными полисами кибератак. В частности, 50% финансовых директоров упомянули, что они ожидают после кибератаки обесценивания бренда своей компании, в то время как более 30% ожидают снижения доходов. ^[33]

Положения об исключении войны

Как и другие страховые полисы, киберстрахование обычно включает пункт об исключении войны — явно исключающий ущерб от военных действий. Хотя большинство исков по киберстрахованию будут связаны с простым преступным поведением, все больше компаний, вероятно, станут жертвами кибервойновых атак со стороны национальных государств или террористических организаций — будь то целенаправленные или просто сопутствующие убытки. После того, как правительства США и Великобритании охарактеризовали атаку NotPetya как российскую военную кибератаку, страховщики утверждают, что они не покрывают такие события. ^{[34] [35] [36]}

Почему рынки киберстрахования и киберперестрахования недостаточно популярны с коммерческой точки зрения?

Из рыночной практики хорошо известно, что рынки киберстрахования не расцвели с точки зрения притока вложенных премий в соответствии с их дальновидным потенциалом. Существует большой многомиллиардный разрыв между спросом и предложением, указывающий на провал рынка в экономическом смысле. Хотя политические и правовые исследования ^[37] высказали весомое мнение о том, почему это так, именно область исследований математического моделирования официально установила факт того, почему это так.

Примерами основополагающих работ по моделированию, изучающих экономическую эффективность ненакопительных киберрисков, охватывающих рынки киберстрахования, являются: (i) Lelarge и Bolot, ^[38] (ii) Pal и др., ^[39] (iii) Pal и др., ^[40] (iv) Pal и др., ^[41] (v) Johnson и др., ^[42] и (vi) Shetty и др. ^[43]. В этих работах сначала показано поведение интернет-пользователей (в первую очередь пользователей и организаций) в стиле «безбилетник» без наличия киберстрахования, а затем изучается, как страхование может сократить «безбилетник» в сети организаций.

Работы Леларжа и Болота, а также Шетти и др. представляют преимущества киберстрахования в стимулировании пользователей Интернета к соответствующим инвестициям в безопасность. Однако их работы рассматривают ограниченные типы рынка, которые учитывают только независимые остаточные киберриски из различных источников пользователей, поступающие к киберстраховщикам. Леларж и др. не моделируют информационную асимметрию в своей работе. Хотя Шетти и др. доказывают, что рынки киберстрахования неэффективны в условиях информационной асимметрии, их результаты, как правило, не распространяются на ситуации, когда застрахованные организации объединены в сеть. Джонсон и др. обсуждают роль совместного существования самострахования и рыночного страхования в принятии различных типов страхования пользователями, но не моделируют сеть взаимозависимых организаций. В последней работе Пал и др. в серии совместных статей доказывают неэффективность рынков киберстрахования в условиях частичной информационной асимметрии и коррелированных рисков и показывают существование эффективных рынков (как регулируемых, так и нерегулируемых) при дискриминации по премиям.

Недавние работы по математическому моделированию киберрисков для изучения устойчивости рынка покрытия совокупного киберриска кибер(пере)страховщиками были предприняты только Палом и др. ^{[44] [45] [46]} На основе серии строгих модельных анализов по измерениям экономики и статистики они доказывают, что только в случае агрегирования легкохвостых и независимо исходящих киберрисков (практически менее вероятное событие) эффективные рынки киберстрахования будут устойчивыми. Во всех других случаях рынки кибер(пере)страхования будут существовать, но будут в значительной степени неэффективными с такими симптомами, как низкая инъекция премии, рынок лимонов, высокий разрыв спроса и предложения и малое количество перестраховщиков. Асимметрия информации между страхователем и страховщиком наряду с коррелированной природой киберрисков являются основными причинами такой неэффективности рынка.

Каннингем, Пфлигер ^[47] , Пал, Лю и др. ^[48] и Лю и др. ^[49] вычислительно выступают против существования устойчивых рынков кибер(пере)страхования в условиях информационной асимметрии. Общий вывод из их исследования заключается в том, что ИТ-системы имеют слишком много уязвимостей для компьютеров, чтобы обнаружить их (тем самым устранив информационную асимметрию) в практически осуществимое время — не говоря уже о людях. В то время как Каннингем логически доказывает, что эта проблема является неразрешимой по Тьюрингу, Пал и др. ^[50] и Лю и др. ^[51] первыми официально доказали, что проблема является NP-сложной, и вывели приближенное решение для смягчения проблемы информационной асимметрии. Результаты объясняют, почему рынки кибер(пере)страхования были такими редкими в течение последнего десятилетия.

Доступность

По состоянию на 2014 год 90% объема страховых премий по киберстрахованию покрывали риски в Соединенных Штатах. Хотя по крайней мере 50 страховых компаний предлагают продукты киберстрахования, фактическое написание сосредоточено в группе из пяти андеррайтеров. Многие страховые компании не решались выходить на этот рынок покрытия, поскольку надежных актуарных данных по киберрискам не существует. Препятствием для разработки этих актуарных данных является недостаточное раскрытие информации о кибератаках со стороны пострадавших. ^[52] Однако после значительного инцидента с вредоносным ПО в 2017 году Reckitt Benckiser опубликовала информацию о том, насколько сильно кибератака повлияет на финансовые показатели, что заставило некоторых аналитиков полагать, что компании стремятся быть более прозрачными с данными о киберинцидентах. ^[53]

С учетом ожидаемого роста премий по киберстрахованию с примерно 2 миллиардов долларов в 2015 году до предполагаемых 20 миллиардов долларов или более к 2025 году страховщики и перестраховщики продолжают совершенствовать требования к андеррайтингу. Незрелость рынка и отсутствие стандартизации — две причины, по которым андеррайтинг киберпродуктов сегодня делает его интересным местом в мире страхования. У вас не только есть рынок страхования, который пытается достичь стандарта и удовлетворить потребности сегодняшних страхователей, но и в то же время у вас есть быстро развивающийся ландшафт рисков и доступная емкость.

Ценообразование

По состоянию на 2019 год средняя стоимость страхования киберответственности в Соединенных Штатах оценивалась в 1501 доллар США в год при покрытии ответственности в размере 1 миллиона долларов США с франшизой в размере 10 000 долларов США. ^[54] Средняя годовая премия за лимит киберответственности в размере 500 000 долларов США с франшизой в размере 5000 долларов США составила 1146 долларов США, а средняя годовая премия за лимит киберответственности в размере 250 000 долларов США с франшизой в размере 2500 долларов США составила 739 долларов США. ^[55] Помимо местоположения, основными факторами, влияющими на стоимость киберстрахования, являются тип бизнеса, количество выполненных транзакций по кредитным/дебетовым картам и хранение конфиденциальной личной информации, такой как дата рождения и номера социального страхования.

Ссылки

1. Торегас, Костис. «Страхование от кибератак: проблема установления премий в контексте» (PDF) . Архивировано (PDF) из оригинала 27.07.2020.
2. БОЛЬШИЕ (2017)
3. Tsohou, Aggeliki; Diamantopoulou, Vasiliki; Gritzalis, Stefanos; Lambrinoudakis, Costas (2023-06-01). «Киберстрахование: современное состояние, тенденции и будущие направления». International Journal of Information Security . 22 (3): 737–748. doi :10.1007/s10207-023-00660-8. ISSN  1615-5270. PMC 9841933. PMID 36684688  . 
4. "Schneier on Security". www.schneier.com . Получено 2022-07-19 .
5. «Страхование кибербезопасности — Шнайер о безопасности».
6. Вольф, Жозефина. «Киберстрахование пытается справиться с непредсказуемым миром хакеров». Wired .
7. «Страховщик ссылается на исключение из киберполиса, чтобы оспорить урегулирование вопроса об утечке данных».
8. Вольф, Жозефина (2022). Политика киберстрахования: переосмысление риска в эпоху программ-вымогателей, компьютерного мошенничества, утечек данных и кибератак. MIT Press. ISBN 978-0-262-37075-2. OCLC  1334725282.
9. Вольф, Жозефина (30 августа 2022 г.). «Краткая история киберстрахования». Slate . Получено 29 сентября 2024 г. .
10. Уильямс, Карл (7 июня 2024 г.). «Как Стивен Хаазе стал пионером киберстрахования и сформировал отрасль». Tech Times . Получено 29 сентября 2024 г.
11. Щепански, Кевин (2 марта 2022 г.). «Barclay Damon Live представляет: подкаст Cyber ​​Sip, эпизод 8: состояние рынка – страхование кибербезопасности с Келли Гири» (PDF) . Barclay Damon . Получено 29 сентября 2024 г. .
12. Вольф, Жозефина (30 августа 2022 г.). «Краткая история киберстрахования». Slate . Получено 29 сентября 2024 г. .
13. Гаган, Марк (18 января 2022 г.). «Подкаст «Голос страхования», выпуск 107: Дэвид Уолш и Грэм Ньюман из CFC Underwriting: создайте свой собственный». PodBean . Получено 29 сентября 2024 г.
14. Frost, Jen (29 ноября 2023 г.). «Генеральные директора CFC Ньюман и Уолш уйдут в отставку после расследования Ллойда». Insurance Business Magazine . Получено 29 сентября 2024 г.
15. Бронсон, Кейтлин (23 апреля 2015 г.). «Пять минут с…Крисом Коттереллом, Safeonline LLP». Журнал Insurance Business Magazine . Получено 29 сентября 2024 г.
16. "SafeOnline". Журнал делового страхования . Получено 29 сентября 2024 г.
17. Вольф, Жозефина (2022). Политика киберстрахования: переосмысление риска в эпоху программ-вымогателей, компьютерного мошенничества, утечек данных и кибератак; Глава 2 — Утечка на пляже . Кембридж, Массачусетс, США: MIT Press. С. 27–30.
18. Вольф, Жозефина (30 августа 2022 г.). «Краткая история киберстрахования». Slate . Получено 29 сентября 2024 г. .
19. Кесан, Джей П.; Маджука, Руперто П.; Юрчик, Уильям Дж. «Экономическое обоснование киберстрахования». Семинар по экономике информационной безопасности (WEIS), 2004 .
20. Управление по подотчётности правительства США (27.09.2023). «Рост киберугроз увеличивает размер киберстраховых премий, одновременно снижая доступность | US GAO». www.gao.gov . Получено 30.01.2024 .
21. Джонсон, Бенджамин; Бёме, Райнер; Гроссклагс, Йенс. «Игры безопасности с рыночным страхованием». В трудах GameSec, 2011 .
22. "Атаки сетевого прослушивания и как они работают". Риски кибербезопасности для бизнеса . Получено 31 июля 2023 г.
23. "Прослушивание сети - OWASP". Архивировано из оригинала 2014-12-05 . Получено 2014-12-30 .
24. Моррис, Шон (6 января 2015 г.). «Уязвим ли ваш бизнес к этим киберугрозам?». Архивировано из оригинала 11 марта 2015 г. Получено 2 февраля 2015 г.
25. Андерсон, Росс; Мур, Тайлер. «Экономика информационной безопасности: обзор и открытые вопросы». Труды 5-го Международного симпозиума по человеческим аспектам информационной безопасности и обеспечения безопасности .
26. "Executive Order -- Improving Critical Infrastructure Cybersecurity". Архивы Обамы Уайтхауса . 12 февраля 2013 г. Получено 11 апреля 2019 г.
27. Пал, Ранджан; Голубчик, Леана; Псоунис, Константинос; Хуэй, Пан (2014). «Улучшит ли киберстрахование безопасность сети: анализ рынка». Труды IEEE INFOCOM .
28. "Duty of Care Risk Analysis Standard". Совет DoCRA . Архивировано из оригинала 2018-08-14.
29. NAIC. "МОДЕЛЬНЫЙ ЗАКОН О БЕЗОПАСНОСТИ СТРАХОВЫХ ДАННЫХ" (PDF) . NAIC .
30. "Законопроект 207 Сената Мэриленда". LegiScan .
31. "Законопроект 474". Генеральная Ассамблея Кентукки .
32. Шварц, Галина; Бёме, Райнер. «Моделирование киберстрахования». В трудах WEIS, 2010 .
33. Global, FM (30 июля 2019 г.). «Киберстрахование может создать ложное чувство безопасности у старших финансовых руководителей ведущих компаний мира, предполагает исследование FM Global». FM Global . Архивировано из оригинала 20-09-2020.
34. Сатариано, Адам (15 апреля 2019 г.). «Крупные компании думали, что страховка покрывает кибератаку. Они могут ошибаться». New York Times . Получено 25 апреля 2019 г.
35. Осборн, Чарли (11 января 2019 г.). «NotPetya — это «акт войны», компания по киберстрахованию привлечена к ответственности за отказ выплачивать страховку». ZDNet . Получено 25 апреля 2019 г.
36. Menapace, Michael (10 марта 2019 г.). «Убытки от вредоносных программ могут не покрываться из-за исключения враждебных действий в вашей политике». The National Law Review . Получено 25 апреля 2019 г.
37. Вольф, Жозефина. Политика киберстрахования: переосмысление риска в эпоху программ-вымогателей, компьютерного мошенничества, утечек данных и кибератак .
38. Леларж, Марк; Болот, Жан (2009). «Экономические стимулы для повышения безопасности в Интернете: аргументы в пользу страхования». IEEE Infocom 2009. стр. 1494–1502. doi :10.1109/INFCOM.2009.5062066. ISBN 978-1-4244-3512-8. S2CID  9520569.
39. Пал, Ранджан; Голубчик, Леана; Псоунис, Константинос; Хуэй, Пан (2014). «Улучшит ли киберстрахование безопасность сети: анализ рынка». Труды IEEE INFOCOM .
40. Пал, Ранджан; Голубчик, Леана (2010). «Анализ инвестиций в самооборону в сфере интернет-безопасности в рамках покрытия киберстрахования». Труды Международной конференции IEEE по распределенным вычислительным системам .
41. Пал, Ранджан; Голубчик, Леана; Псоунис, Константинос; Хуэй, Пан (2018). «Улучшение кибербезопасности с помощью прибыльных рынков страхования». Обзор оценки производительности ACM SIGMETRICS . 45 (4): 7–15. doi :10.1145/3273996.3273999. S2CID  43919975.
42. Джонсон, Бенджамин; Бёме, Райнер; Гроссклагс, Йенс (2011). «Игры безопасности с рыночным страхованием». Теория принятия решений и игр для безопасности . Конспект лекций по информатике. Том 7037. С. 117–130. doi :10.1007/978-3-642-25280-8_11. ISBN 978-3-642-25279-2.
43. Шетти, Нихил; Шварц, Галина; Уолранд, Джин (2010). «Могут ли конкурентоспособные страховщики улучшить безопасность сети?». Доверие и надежные вычисления . Конспект лекций по информатике. Том 6101. С. 308–322. doi :10.1007/978-3-642-13869-0_23. ISBN 978-3-642-13868-3.
44. Пал, Ранджан; Псоунис, Константинос; Кроукрофт, Джон; Келли, Фрэнк; Хуэй, Пан; Таркома, Сасу; Кумар, Абхишек; Келли, Джон; Чаттерджи, Аритра; Голубчик, Леана; Шастри, Нишант; Наг, Бодхибрата (2020). «Когда вероятны киберотключения в современных сетях обслуживания?: Теория отсутствия связи в сети осуществимости кибер(пере)страхования». ACM Transactions on Management Information Systems . doi : 10.1145/3386159. hdl : 10138/318422 . S2CID  218517399.
45. Пал, Ранджан; Хуан, Цзыюань (2021). «Будет ли катастрофическая агрегация киберрисков процветать в эпоху Интернета вещей? Поучительная экономическая история для (пере)страховщиков и им подобных». ACM Transactions on Management Information Systems . 12 (2): 1–36. doi : 10.1145/3446635 . S2CID  235649675.
46. Пал, Ранджан; Хуан, Цзыюань; Инь, Синьлун (2021). Взаимодействие гетерогенных платформ Интернета вещей. Интернет вещей. doi : 10.1007/978-3-030-82446-4. ISBN 978-3-030-82445-7. S2CID  245119168.
47. Пфлигер, Шари; Каннингем, Роберт (2010). «Почему сложно измерять безопасность». IEEE Security & Privacy . 8 (4): 46–54. doi :10.1109/MSP.2010.60. S2CID  10893419.
48. Пал, Ранджан; Лю, Пейхан; Лу, Таоан; Хуа, Эдвард (2022). «Насколько сложно управление киберрисками в системах ИТ/ОТ? Теория классификации и преодоления сложности страхования ICS». Труды ACM по киберфизическим системам . 6 (4): 1–31. doi : 10.1145/3568399 . S2CID  252920065.
49. Пал, Ранджан; Лу, Таоань; Лю, Пейхан; Синьлун, Инь (2021). «СОСТАВЛЕНИЕ ПОЛИСА КИБЕР(ПЕРЕ)СТРАХОВАНИЯ ЯВЛЯЕТСЯ NP-СЛОЖНОЙ ЗАДАЧЕЙ В ОБЩЕСТВАХ IOT». Труды Зимней конференции по моделированию IEEE .
50. Пал, Ранджан; Лю, Пейхан; Лу, Таоан; Хуа, Эдвард (2022). «Насколько сложно управление киберрисками в системах ИТ/ОТ? Теория классификации и преодоления сложности страхования ICS». Труды ACM по киберфизическим системам . 6 (4): 1–31. doi : 10.1145/3568399 . S2CID  252920065.
51. Пал, Ранджан; Лу, Таоань; Лю, Пейхан; Синьлун, Инь (2021). «СОСТАВЛЕНИЕ ПОЛИСА КИБЕР(ПЕРЕ)СТРАХОВАНИЯ ЯВЛЯЕТСЯ NP-СЛОЖНОЙ ЗАДАЧЕЙ В ОБЩЕСТВАХ IOT». Труды Зимней конференции по моделированию IEEE .
52. Veysey, Sarah (10 июня 2015 г.). "Данные для страховщиков, покрывающих киберриски, ограничены" . Cyber ​​Insurance . Получено 11 июня 2015 г.
53. Данешкху, Шехерезада. «Рекитт стремится количественно оценить хаос атаки вредоносного ПО». Financial Times . № 7 июля 2017 г. Получено 24 августа 2017 г.
54. Лернер, Мэтью (19 сентября 2019 г.). «Изучены средние затраты на страхование киберответственности». Business Insurance . Получено 7 января 2021 г.
55. Мак, Адриан (17 сентября 2019 г.). «Средняя стоимость киберстрахования». AdvisorSmith . Получено 7 января 2021 г. .