Хорошо подумайте, прежде чем приобретать киберстрахование. Почему стоит повременить с решением, и какие подводные камни могут встретиться на вашем пути? Об этих и других нюансах – читайте в статье.
Тем, кто следит за сферой информационной безопасности, может показаться, что прошедший год ознаменовался серией нарушений корпоративной безопасности. «Вторжения» в Equifax, Marriot и многие другие, всколыхнули общественность после того, как личные данные сотен миллионов клиентов попали в руки хакеров.
Страх быть следующей целью злоумышленников заставил многие компании искать гарантии, которые уменьшат их потери в случае взлома, что привело к появлению нового рынка – полисов киберстрахования. Принимая во внимание шумиху вокруг угрозы взломов, вызванную не только незначительным маркетинговым FUD (от англ. Fear, uncertainty and doubt – «Страх, неуверенность и сомнение» – тактика психологической манипуляции, применяемая в маркетинге и пропаганде), вполне понятно, почему многие будут искать решения, которые могли бы защитить их.
Киберстрахование: для чего оно нужно?
Предполагается, что киберстрахование поможет компаниям справиться с последствиями взломов и надёжнее защитить себя в будущем.
На практике это означает помощь в покрытии расходов от реагирования на атаку, начиная от предоставления команды экспертов по безопасности для минимизации ущерба и проведения судебной экспертизы до специалистов по связям с общественностью, которые будут работать, чтобы не допустить дезинформации в СМИ.
Кроме того, существуют расходы, которые могут быстро возрасти из-за вреда, причинённого кражей пользовательских данных, или убытков от выведенных из строя компьютеров. А доходы существенно сокращаются из-за простоев.
В конце концов, разбираться с последствиями взломов всегда очень дорого. Чего стоит пример Maersk и FedEx, столкнувшихся с вредоносной атакой NotPetya в 2017 году.
Защищены ли вы?
К сожалению, киберстрахование не всегда является простым и всеобъемлющим решением для компаний, кроме того существует ряд серьёзных проблем, которые необходимо учитывать, прежде чем подписывать полис.
Начнём с того, что сегодня недостаточно информации о реальных затратах, связанных с утечкой данных, что усложняет задачу актуариев (страховых статистов) – правильно оценить свою продукцию. Это не только проблема для страховщиков, которые могут оказаться беспомощными в случае атаки, затрагивающей несколько крупных предприятий и наносящей видимый ущерб, как мы могли пронаблюдать на примере NotPetya.
Страховщики поддерживаются андеррайтерами их полисов, которые сами могут не знать, как написать полисы. По оценкам экспертов убытки от NotPetya составляют около $10 млрд, и маловероятно, что страховая индустрия действительно готова возместить истинные издержки более масштабной атаки. Реальная подготовка потребует не только точного определения затрат, но и взимания с клиентов более высоких сумм.
Следующее препятствие заключается в том, что в отличие от других форм риска, для которых компании могут применять стандартные методы для снижения риска, и, следовательно, надеяться на снижение страховых взносов, передовые методы обеспечения информационной безопасности по-прежнему далеко не однотипны во всём мире. Это важная проблема, поскольку нарушение может произойти на устаревшей конечной точке в каком-то закоулочном филиале многонациональной корпорации, а затем быстро добраться до штаб-квартиры в Нью-Йорке, что приведёт к отключению всей организации.
Несмотря на годы предупреждений, сотрудники офисов по-прежнему включают макросы в документах Word, вследствие чего фишинговые атаки становятся постоянной угрозой – хакеры получают лёгкий доступ в сеть. Возможно, если киберстраховщики начнут предлагать стимулы (поощрения) организациям, которые обучают свои команды гигиене кибербезопастности и проводят регулярные «красные команды» (красная команда – это независимая группа, которая бросает вызов организации, чтобы повысить её эффективность, принимая на себя соперничающую роль или точку зрения. – прим. автора), чтобы держать сотрудников в напряжении, то в скором времени можно будет пронаблюдать существенное улучшение готовности в более широком круге компаний.
Так пекутся пироги?
Последним примером киберстрахования, не оправдавшее ожиданий, стала история гиганта по распространению продуктов питания Mondelez, который в январе текущего года объявил, что требует от Zurich Insurance Group возмещение на сумму $100 млн за ущерб, нанесённый им вследствие NotPetya. Они утверждают, что 1700 серверов и более 24 000 ноутбуков были повреждены, когда вредоносная программа-вымогатель попала в их сеть. Иск подан после того, как Zurich отклонил их требование о возмещении убытков, сославшись на пункт договора о «враждебных и военных действиях».
Хотя утверждалось, что полис Mondelez в отношении Zurich не был предназначен для киберстрахования, также сообщалось, что они должны быть застрахованы в случае «физической потери или повреждения электронных данных, программ или программного обеспечения», а также «злонамеренного введения машинного кода или инструкции».
Таким образом, для страховщика было бы несколько абсурдно пытаться уклониться от совершения платежа, тем более что им приходится доказывать принадлежность к российскому правительству.
В прошлом у компаний, возможно, был стимул говорить, что они стали жертвой государственного субъекта, как способ преувеличить их собственную значимость или оправдать то, как злоумышленники смогли прорваться через их защиту. Теперь у них есть причина утверждать, что за нарушением стоят преступные элементы, если это означает более лёгкий путь к получению выплат от страховщиков.
Киберстрахование заслуживает ажиотажа?
В то время как каждая компания должна самостоятельно оценить свой уровень риска, краткий ответ на вопрос из подзаголовка: нет. Если мы можем оставить это дело на усмотрение суда, компаниям необходимо время прежде, чем приобрести пакет киберстрахования.
Если Zurich победит, появятся некоторые колебания в этой сфере, поскольку многие компании пересматривают свои инвестиции в покупку киберстрахования в пользу инструментов, которые могут помочь им предотвратить вторжения.
Совершенно очевидно, что для продвижения вперёд потребуется комбинация двух подходов: инструменты и методы для предотвращения взломов и обнаружения угроз в вашей сети, а также страхование, которое, если атака всё же произойдёт, сделает последствия менее болезненными.
На данный момент компании с полисами должны пересмотреть свои условия, чтобы получить чёткое представление о том, от чего именно они имеют защиту, и понять, достаточно ли у них страхового покрытия для их моделей угроз. В то же время, они должны избегать спешных покупок дорогих полисов из-за чувства страха.
ЧИТАЙТЕ ТАКЖЕ:
Источник: TNW