О страховании кибербезопасности

К страхованию чего угодно − от собственной жизни до облезлости своего кота можно относиться по-разному. Но если говорить об инцидентах, связанных с данными, они и в самом деле могут принести очень крупные неприятности. Может, действительно стоит обратиться к страховщикам?

Согласно исследованию Ponemon Institute «2014 Cost of Data Breach Study: Global Analysis», нарушения, связанные с данными, обходились опрошенным компаниям в среднем примерно в $3,5 млн. в год. Это значение возросло на 15% с 2013 г., и все говорит о том, что в наступившем 2015 г. году нарушений будет еще больше.

О страховании кибербезопасности

Мировая карта инцидентов в области безопасности данных за 2014 г. Ну, не везде, не везде…Только там, где есть соответствующий уровень IT…

О страховании кибербезопасности

Да и обходятся нарушения, связанные с данными в расчете на потерянную запись (слева) и на инцидент довольно по-разному

IBM в 2014 г. спонсировала уже девятое независимое ежегодное исследование Ponemon Institute, которое считается эталонным в промышленности. В нем участвовали более 250 организаций из показанных на диаграмме стран.

Хотя результаты в разных странах отличаются, исследование показывает и некоторые общие тенденции, имеющие существенное значение для организаций во всем мире.

Стоимость нарушений, связанных с данными, постоянно повышается. Большинство стран указало рост и стоимости украденной или потерянной записи, и средней общей стоимости нарушения.
Все меньше клиентов остаются лояльными после нарушения, особенно в индустрии финансовых услуг.
Исследование впервые показало, что сохранение непрерывности бизнеса при инцидентах безопасности (т.е., за счет страховых компенсаций) может помочь уменьшить стоимость потерь.

Затраты, вызываемые такими нарушениями, бывают настолько велики, что неудивительно, что компании малого и среднего размера часто просто не могут пережить возникший, как принято говорить, «инцидент кибербезопасности» (cybersecurity incident). Вместе с данными они обычно теряют деньги или репутацию (или и то, и другое).

Ну, как говорится, кому война, а кому − мать родна. Все больше компаний покупают страховку кибербезопасности. В 2014 г. американские компании, по предварительным оценкам, заплатили более $2 млрд. страховых взносов по статьям кибербезопасности − на 67% больше, чем в 2013 г.

Здесь действуют те же законы, что и при страховании здоровья человека. Например, компания перед заключением контракта должна сначала сама для себя выяснить уровень собственной безопасности; понять и оценить соответствующие риски.

О страховании кибербезопасности

Статистика подтверждает аналогию между страхованием здоровья компании и здоровья человека. Дороже всего обходится потеря данных в медицине − в основном из-за судебных издержек и компенсаций потерпевшим пациентам

Страховщики, как всегда, осторожны и действуют с многочисленными правилами и оговорками. «Перед тем, как подписывать соглашение, бизнес-лидеры компаний, которые хотят получить страховку, должны признать, что это будет не более, чем еще один, дополнительный, уровень защиты от нарушений, связанных с данными». − отметил в одном из интервью Тед Дивайн (Ted Devine), СЕО компании TechInsurance, предоставляющей услуги такого класса, − «Им более важно принять меры для предотвращения нарушений, связанных с данными, чем только для ликвидации последствий инцидентов».

О страховании кибербезопасности

Компаний, активно и успешно работающих на ниве страхования кибербезопасности, в мире становится все больше. Сверху вниз − TechInsurance, Guidance Software, The Hartford’s Business Owner’s Policy

Такие «меры» включают обучение значительного процента служащих компании правилам и приемам безопасной работы с данными, а также поддержку обновлений и патчей корпоративного ПО и целевые инвестиции в IT-департамент, который управляет технической и организационной стороной общей системы безопасности.

Согласно исследованиям, проведенным самой TechInsurance, из экономии IT-отделы часто недостаточно укомплектованы для того, чтобы эффективно осуществлять функции службы информационной безопасности. Поэтому, в частности, страховщики не желают нести дополнительные риски. Они рекомендуют сначала устранить подобные проблемы, а уж затем обращаться к ним.

Другая компания, The Hartford’s Business Owner’s Policy, формулирует еще одну проблему безопасности следующим образом: «Легко обвинять во всем злобных хакеров, то и дело крадущих вашу информацию. Но в действительности наиболее распространенные нарушения происходят случайно».

О страховании кибербезопасности

Это − как раз о злобных хакерах. Они (вместе с вредоносным ПО всех видов) дают только 42% инцидентов. Остальное − человеческий фактор и системные глюки

В шорт-листе компании следующие наиболее распространенные инциденты.

потеря или кража файлов или устройств (бумага и электронные файлы; ноутбуки, смартфоны, планшеты; компьютерные диски и кредитные карты и т.д.;
воровство или упущение данных по причине несанкционированного доступа (например, бывшие сотрудники или партнеры);
различные ошибки и оплошности сотрудников.

Третья компания, к опыту которой мы обращаемся в данном материале, − Guidance Software, − рекомендует, чтобы страховое покрытие кибербезопасности включало следующее:

оплату службы управления рисками (risk-management services), что освобождает вашу компанию от ряда затрат превентивного повышения безопасности − на обучение сотрудников, разработку алгоритмов предотвращения инцидентов, тестирование проникновения в IT-системы и т.д.;
расходы на судебные разбирательства и возможные штрафы;
возмещение затрат, связанных с прерыванием бизнеса, потерей доходов, исправлением повреждений и восстановлением;
оплата юристов, служб связи с общественностью, услуг судебной экспертизы, кризисного управления и т.п.

Перечисленное − это только самые основные, необходимые меры. Поскольку фирмы отличаются, хорошо организованная, полная киберполитика безопасности также будет уникальна для разных компаний и различных отраслей промышленности.

Совершенно естественно, что никто не хочет иметь потребности в страховом полисе и оплачивать его. Однако оказывается, что он может позволить бизнесу продолжать работать даже в случае самого худшего варианта развития событий.

А что же по этому поводу думает потенциально страдающая от нарушений сторона? Как всегда, надеется на авось. Лучше положение в крупных богатых компаниях. Наихудшее − в SMB. На вопросы «Есть ли у вас стратегия безопасности для…» категорическим «нет» ответили:

62% – …для всей вашей IT-инфраструктуры?

58% – …для защиты работы онлайн?

55% – …для информационных активов компании?

Как обычно в наших материалах, попробуем провести некие параллели с отечественными организациями. Следует признать, что за последнее десятилетие отмечались определенные положительные тенденции в организации системной корпоративной безопасности. Это характерно прежде всего для финансовых компаний.

Если же говорить о типичном подходе к безопасности в секторе SMB и большинстве государственных учреждений, то, как правило, единой выработанной и постоянно поддерживаемой политики безопасности там не наблюдается.

Тем большей экзотикой в наших условиях представляются предложения о страховании в области кибербезопасности. Если же говорить о спросе на такие услуги, то отечественные страховые компании, очень мягко говоря, еще не готовы их предоставлять.

Ну что ж, тогда все написанное выше остается «на вырост». Тем более, что данная небольшая статья, по-моему, впервые в Украине затрагивает эту тему.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365