Barometr Ryzyk Allianz: przerwy w działalności i ryzyka cybernetyczne zdominują krajobraz ryzyk spółek z wszystkich sektorów i każdej wielkości w 2018 r.
- Zmienna natura ryzyka i wzrost przestępczości cybernetycznej oznaczają, że przerwy w działalności są głównym zagrożeniem dla firm na całym świecie zdaniem ponad 1900 ekspertów ds. ryzyka z 80 krajów.
- Potencjalny „huragan cybernetyczny” i zaostrzone zasady ochrony danych kształtują środowisko ryzyka cybernetycznego na najbliższy rok. Reakcja na sytuacje kryzysowe jest kluczowa dla złagodzenia skutków.
- Przerwy w działalności są jednym z głównych ryzyk w Polsce.
- Przedsiębiorstwa obawiają się pojawiających się ryzyk i obciążeń wynikających z nowych technologii.
Z Barometru Ryzyk Allianz 2018 wynika, że najważniejszymi ryzykami biznesowymi na świecie w tym roku są przerwy w działalności (#1 z 42 procentami wskazań / #1 w 2017 r.) oraz ryzyka cybernetyczne (#2 z 40 procentami wskazań, awans z #3 w 2017 r.).
Większe straty wynikające z klęsk żywiołowych (#3 z 30 procentami wskazań, #4 w 2017 r.) także przysparzają biznesowi coraz większych zmartwień. 2017 był rekordowym rokiem pod względem katastrof, przez co zmiany klimatu i coraz większa zmienność pogody (#10) po raz pierwszy znalazły się w top 10 najważniejszych ryzyk. Jednocześnie ryzyko związane z nowymi technologiami (#7 w 2018 / #10 w 2017 r.) awansowało w zestawieniu. Firmy zaczęły zdawać sobie sprawę, że w przyszłości innowacje takie jak sztuczna inteligencja czy mobilność autonomiczna mogą skutkować nowymi obciążeniami i większymi stratami, ale też możliwościami. Z drugiej strony firmy martwią się niestabilnością rynkową mniej niż rok temu(#4 w 2018 r. / #2 w 2017 r.).
To najważniejsze wnioski siódmego Barometru Ryzyk Allianz publikowanego co roku przez Allianz Global Corporate & Specialty (AGCS). Raport 2018 powstał w oparciu o ankietę przeprowadzoną wśród rekordowej liczby 1911 ekspertów ds. ryzyka z 80 państw.
– Także w Polsce przerwy w działalności są postrzegane jako jedno z największych ryzyk – wyjaśnia Ole Ohlmeyer odpowiedzialny za działalność AGCS w Europie Wschodniej. – Przez długi czas działalność była paraliżowana głównie przez zagrożenia naturalne i wypadki przemysłowe. W połączonej cyfrowo gospodarce do tej listy dochodzą takie zagrożenia jak cyberataki, awarie systemów informatycznych czy konsekwencje strajków lub ataków terrorystycznych. W takich wypadkach możliwe są olbrzymie straty finansowe bez uszkodzenia lub zniszczenia obiektów czy budynków. Z punktu widzenia zarządzających ryzykiem oznacza to, że ochrona dóbr niematerialnych, takich jak dane, sieci i własność intelektualna staje się coraz ważniejsza.
Spis treści:
Nowe czynniki powodujące przerwy w działalności
Szósty rok z rzędu przerwy w działalności zostały uznane za najważniejsze ryzyko, zajmując pierwsze miejsce w 13 krajach, a także w Europie oraz regionie Azji i Pacyfiku, w Afryce oraz w regionie Środkowego Wschodu. Nawet najmniejsza działalność może ucierpieć. Firmy wystawione są na coraz więcej niebezpieczeństw, poczynając od tak tradycyjnych jak pożar, klęski żywiołowe czy zakłócenia w łańcuchu dostaw, a kończąc na nowych czynnikach będących wynikiem cyfryzacji i połączeń firm, które zwykle nie powodują fizycznych uszkodzeń, ale pociągają za sobą wysokie straty finansowe. Awaria kluczowych systemów informatycznych, akty terroryzmu czy przemocy politycznej, spadek jakości produktów czy niespodziewane zmiany regulacyjne – wszystko to może spowodować tymczasowy lub przedłużony zastój, a w efekcie druzgocące straty w przychodach.
Zdaniem ekspertów ds. biznesu i ryzyka ataki cybernetyczne po raz pierwszy zajęły czołowe miejsce wśród wzbudzających największe obawy czynników prowadzących do przerw w działalności. Dodatkowo przerwy w działalności zajmują drugie miejsce na liście czynników powodujących największe straty (po ryzyku cybernetycznym). Firma Cyence zajmująca się modelowaniem ryzyka cybernetycznego, ocenia, że awaria usług w chmurze trwająca powyżej 12 godzin w wypadku firm z sektora finansowego, opieki medycznej i handlu detalicznego może kosztować średnio 850 mln dolarów dla firm z Ameryki Północnej i 700 mln dolarów dla Europy.
Przerwy w działalności zajęły także drugie miejsce na liście najbardziej niedocenianych ryzyk Barometru Ryzyk Allianz. – Rzeczywiste przyczyny, zakres i wpływ finansowy przerwy mogą zaskoczyć firmy, które mogą nie doceniać jak bardzo złożony jest proces ‘powrotu do działalności’. Powinny one wciąż dopasowywać swoje plany dotyczące sytuacji awaryjnych tak by odzwierciedlały one nowe otoczenie i odpowiednio uwzględniały rosnące cybernetyczne zagrożenie – mówi Volker Muench, ekspert ds. Global Property i przerw w działalności, AGCS.
Dalszy rozwój ryzyk cybernetycznych
Trwa zwyżkowy trend ryzyk cybernetycznych w Barometrze Ryzyk Allianz. Pięć lat temu zajmowały 15. miejsce. W 2018 r. są drugie. Liczne zagrożenia obejmujące naruszenie bezpieczeństwa danych, problemy związane z siecią, ataki hackerskie czy cybernetyczne przerwy w działalności sprawiają, że ryzyka cybernetyczne zajmują pierwsze miejsce wśród ryzyk biznesowych w 11 państwach objętych badaniem i w regionie Ameryk, a także drugie miejsce w Europie i regionie Azji i Pacyfiku. Jest to także najbardziej niedoceniane ryzyko i główne długofalowe zagrożenie.
Ostatnie wydarzenia takie jak ataki oprogramowania szantażującego WannaCry i Petya doprowadziły do znacznych strat finansowych wielu firm. Inne, takie jak botnet Mirai, największy w historii atak rozproszonej odmowy usługi (DDoS) na najważniejsze platformy i usługi w Europie i Ameryce Północnej przeprowadzony pod koniec 2016 r, pokazują związki między ryzykami oraz współzależność od powszechnej infrastruktury internetowej i dostawców usług. Na poziomie indywidualnym zidentyfikowane niedawno wady zabezpieczeń chipów komputerowych zastosowanych w nieomalże każdym współczesnym urządzeniu pokazują jak bardzo podatne cybernetycznie są współczesne społeczeństwa. Możliwość zaistnienia tzw. huraganu cybernetycznego, kiedy to hackerzy zakłócają funkcjonowanie większej liczby firm, atakując wspólne jednostki infrastruktury, będzie w 2018 r. nadal rosnąć.
Jednocześnie ryzyko naruszenia prywatności znów znalazło się w centrum uwagi w następstwie olbrzymiego naruszenia bezpieczeństwa danych w USA. Wprowadzenie w Europie ogólnego rozporządzenia o ochronie danych planowane na maj 2018 jeszcze bardziej zintensyfikuje kontrolę, wprowadzając możliwość częstszych i większych kar dla przedsiębiorstw nie stosujących się do rozporządzenia. Firmy mają coraz mniej czasu na przygotowanie się do jego wdrożenia. – W USA prawa dotyczące prywatności są od dziesięcioleci restrykcyjne, a bezpieczeństwo cybernetyczne oraz regulacje w zakresie prywatności wciąż ewoluują. Teraz także firmy w Europie muszą przygotować się na ostrzejsze zobowiązania i wymogi dotyczące notyfikacji. Po pełnym wdrożeniu wiele przedsiębiorstw może szybko zorientować się, że kwestie prywatności mogą pociągać za sobą poważne koszty – mówi Emy Donavan, Globalna Dyrektor ds. Cybernetyki, AGCS. – Doświadczenia z przeszłości pokazały, że sposób, w jaki firma odpowiada na kryzys cybernetyczny, taki jak wszelkie naruszenia, ma bezpośredni wpływ zarówno na koszty, jak i na reputację firmy i wartość rynkową.
Zagrożenia cybernetyczne różnią się także w zależności od wielkości firmy i sektora. – Małe firmy poniosą najprawdopodobniej duże straty, jeśli ucierpią na skutek ataku oprogramowaniem szantażującym, podczas gdy większe firmy narażone są na więcej niebezpieczeństw, jak ataki DDoS, które mogą uszkodzić systemy – mówi Donavan.
Wyniki Barometru Ryzyk Allianz pokazują, że świadomość zagrożeń cybernetycznych rośnie w sektorze MŚP, notując znaczny skok z #6 na #2 wśród małych przedsiębiorstw i z #3 na #1 dla średnich firm. W odniesieniu do narażenia sektora, ryzyka cybernetyczne zajmują pierwszą pozycję w sektorze rozrywkowym i w mediach, usługach finansowych, sektorze technologii i telekomunikacji.
Rosnące ryzyko związane ze zjawiskami pogodowymi i technologią
W następstwie rekordowych strat objętych ubezpieczeniem w wysokości 135 mld dolarów powstałych na skutek klęsk żywiołowych w samym tylko roku 2017[1] – huraganów Harvey, Irma i Maria w USA i na Karaibach, klęski żywiołowe powróciły do czołowej trójki globalnych ryzyk biznesowych. – Wpływ klęsk żywiołowych wykracza znacznie poza fizyczne uszkodzenia struktur na dotkniętych obszarach. Wraz z upraszczaniem struktur i coraz większym połączeniem sektorów, klęski żywiołowe mogą mieć negatywny wpływ na wiele gałęzi gospodarki na całym świecie, które na pierwszy rzut oka nie powinny bezpośrednio ucierpieć – mówi Ali Shahkarami, Dyrektor ds. Badań Ryzyka Klęsk, AGSC.
Respondenci obawiają się, że rok 2017 mógł być zwiastunem narastającej siły i częstotliwości zagrożeń naturalnych. Zmiany klimatu / coraz większa zmienność pogody to nowa pozycja w top 10 Barometru Ryzyk za 2018.
Tymczasem wpływ ryzyka nowych technologii zaliczył jeden z największych skoków w Barometrze Ryzyk Allianz – z #10 na #7. Jest to także drugie najważniejsze ryzyko w długofalowej przyszłości po ryzykach cybernetycznych, z którymi nowe technologie są ściśle powiązane. Podatność zautomatyzowanych albo wręcz autonomicznych lub samouczących się maszyn na awarie lub wrogie ataki cybernetyczne (takie jak wyłudzenia czy działalność szpiegowska) będzie w przyszłości rosnąć i może mieć znaczny wpływ, jeśli objęte zostaną najważniejsze elementy infrastruktury, jak sieci IT lub źródła zasilania.
– Możemy mieć do czynienia z mniejszą ilością niewielkich strat, co ma związek z automatyzacją i monitoringiem minimalizującym czynnik w postaci błędu ludzkiego, ale jednocześnie może pojawić się możliwość zaistnienia szkód na dużą skalę w następstwie incydentów – wyjaśnia Michael Bruch, Dyrektor Wschodzących Trendów, AGCS. – W miarę jak odpowiedzialność przenosi się z ludzi na maszyny, a w związku z tym na producenta lub dostawcę oprogramowania, firmy muszą także przygotować się na nowe ryzyka i obciążenia.
[1] Munich Re NatCatSERVICE