Риски киберпреступности стали материальными
Корпоративный сектор пока относится к ним как к стихийному бедствию
Риски кибербезопасности не только модная тема начала XXI века, но и реальная угроза для стоимости компаний, подвергающихся кибератакам, показало исследование Лондонской школы бизнеса (LSB). Такие риски сейчас представляют опасность скорее для крупных, а не средних компаний, они коррелируют с политическими циклами в крупных странах мира и способны снижать стоимость компаний в целых индустриях через «эффекты заражения». Кроме этого, новая финтех-индустрия подвержена таким рискам сильнее, чем традиционный банкинг, как и сама IT-индустрия, которую киберпреступность атакует активнее всего.
Исследование «Анатомия киберриска» трех авторов LSB — известного макроэкономиста Хелен Рэй, а также ее соавторов Рустама Джамилова и Ахмеда Тахуна — вышло в серии препринтов NBER. Хелен Рэй, Рустам Джамилов и Ахмед Тахун на данных биржевой отчетности 12,5 тыс. компаний с 2002 года, используя достаточно сложный инструментарий цифрового анализа текстов (в том числе и дискуссий на советах директоров, конференц-коллов компаний и т. д.), впервые проанализировали структуру рисков кибербезопасности для крупных компаний. Напомним, проблема самым активным образом обсуждается, однако по теме, являются ли такие риски сопоставимыми по воздействию на компании и экономики со стандартными рисками краж или же речь идет о хайпе на технологическую тему, работ почти нет.
Рустам Джамилов, Хелен Рэй и Ахмед Тахун показывают, что речь идет не о моде, во всяком случае не только о ней.
Реализовавшиеся киберриски действительно существенно влияют сейчас на стоимость компаний, в центре работы — предложенный исследователями LSB дизайн стандартизованных показателей этого влияния (индексы CyberE) и инструментарий, претендующий на предсказание будущего распространения киберрисков в экономиках: работа показывает, что они распространяются по иным принципам, чем обычные криминальные риски.
Наиболее интересные находки — масштабные особенности киберрисков: Хелен Рэй и ее коллеги демонстрируют, что они выше (для капитализации и устойчивости бизнеса) для крупных компаний, причем в наибольшей степени в сфере IT и в услугах, где число инцидентов в этой сфере максимально. Компании, имеющие на балансе крупные активы в недвижимости или большую ликвидность, чаще являются жертвой кибератак. В финансовой сфере, отмечается в работе, киберриски, сейчас активно мигрирующие в сектор страховых компаний, ниже для традиционных банков и брокеров (где борьба за безопасность рутинна) и выше для финтех-компаний, крайне уязвимых к ним. Для остальных секторов, в том числе для промышленности, киберриски относительно экзотичны.
Кроме того, LSB показывает, что проблема киберрисков сейчас может быть отраслевой — крупный инцидент в одной компании отрасли значимо снижает через «механизм заражения» стоимость других ее игроков.
Впрочем, это явное следствие пока еще малой распространенности киберрисков: «заражение», идентифицированное LSE, с 2002 года могло реализовываться не только по отраслевому, но и по географическому принципу (сходно со стихийными бедствиями), а его эффект часто превосходит риски собственно утраты активов. Наконец, Хелен Рэй и коллеги обнаружили явные корреляции динамики киберрисков с политическими циклами и с выборами, по крайней мере в США: объяснения этому авторы не дают, возможно предположить и активизацию кибермошенничеств под предвыборные всплески активности в соцсетях, и связь крупной киберпреступности с политическими игроками, в том числе в международном масштабе.